关于加强网络安全和数据保护工作的指导意见

2021年4月6日国家医疗保障局发布《 关于加强网络安全和数据保护工作的指导意见》。意见中指出应从以下七个方面加强数据安全保护：

（一）实施数据全生命周期安全管理

依法依规对数据的产生、传输、存储、使用、共享、销毁等实行全生命周期安全管理，提高数据安全防护能力和个人隐私保护力度。强化个人隐私保护，采用适当的安全控制措施，确保数据的产生、采集和汇集过程合规、安全。个人信息的采集，坚持法定授权原则，法定授权外个人信息采集事项须先获得自然人或者其监护人同意。处理个人信息应当遵循合法、正当、必要原则，不得过度使用。采用适当的系统架构、技术手段对数据传输和数据存储进行安全加固，确保数据安全和高效可用。建立数据清除和销毁机制，防止因存储介质上数据内容的恶意恢复而导致的数据泄露风险。加强数据迁移销毁流程安全管理，全力确保平台迁移中的数据安全。

（二）实施分级分类管理

根据本单位本系统数据安全保护的实际需要，结合医疗保障数据特点，制定统一的分级分类管理制度，按照数据分级分类保护标准、规则，对数据划分安全等级，实行分级分类管理。地方医保部门要落实分级分类规则标准，参照《国家医疗保障局数据安全管理办法》制定本地的数据安全管理办法。

（三）加强重要数据和敏感字段保护

制定重要数据保护目录，对列入目录的数据进行重点保护，涉及国家秘密、工作秘密的数据应严格保密，不予共享及公开。建立敏感数据字段库，包含但不限于个人隐私数据、参保单位隐私数据、协议机构隐私数据、药品诊疗目录项目隐私数据等。

（四）强化数据安全审批管理

严格执行数据处理和使用审批流程，按照“知所必须，最小授权”的原则划分数据访问权限，实施脱敏、日志记录等控制措施，防范数据丢失、泄露、未授权访问等安全风险。

加强对数据共享(含交换、导出、开放)环节的安全管控，防止不经审批、不受控制的数据共享行为。

（五）落实数据安全权限

明确各级权限，分离信息系统运维权限和经办业务角色，对不同角色设置不同权限。根据经办业务人员职责区分设置业务操作和数据查询范围。按照网络安全等级保护2.0制度要求，结合实际设置安全保密管理员、安全审计员和系统管理员等岗位。加强信息系统运维人员和经办业务人员权限管理，落实岗位安全职责。

（六）推动数据安全共享和使用

在保障数据安全的前提下，稳妥推动数据资源开发利用，发挥数据生产要素作用，保障数据依法依规有序共享。建立先试点、后推广机制，强化医疗保障大数据运用，更好地服务医保政策制定和医保精细化管理，推动多层次医疗保障体系建设。对于敏感数据需要落地到外部的业务场景，应做好脱敏处理，制定统一数据出口和统一销毁要求，建立严格的审批流程和数据交付流程。

（七）建立健全数据安全风险评估机制

定期评估安全系统软硬件运行状况、制度执行情况、数据复制情况、告警或故障设备的数据保护状况、权限的审批收回情况、密码强度、外包服务中的数据保护管理情况、研发测试环境数据保护情况，对发现的问题及时整改。