(七)数据销毁时应采用确保数据无法还原的销毁方式,重点关注数据残留风险及数据备份风险。
第四章 监督管理
第二十三条 各医疗卫生机构应积极配合有关主管监管机构监督管理,接受网络安全管理日常检查,做好网络安全防护等工作。
第二十四条 各医疗卫生机构应及时整改有关主管监管机构检查过程中发现的漏洞和隐患等问题,杜绝重大网络安全事件发生。
第二十五条 发生个人信息和数据泄露、毁损、丢失等安全事件和网络系统遭攻击、入侵、控制等网络安全事件,或者发现网络存在漏洞隐患、网络安全风险明显增大时,各医疗卫生机构应当立即启动应急预案,采取必要的补救和处置措施,及时以电话、短信、邮件或信函等多种方式告知相关主体,并按照要求向有关主管监管部门报告。
第二十六条 各级卫生健康行政部门应建立网络安全事件通报工作机制,及时通报网络安全事件。
第二十七条 发生网络安全事件时,各医疗卫生机构应及时向卫生健康行政部门、公安机关报告,做好现场保护、留存相关记录,为公安机关等监管部门依法维护国家安全和开展侦查调查等活动提供技术支持和协助。
第五章 管理保障
第二十八条 各医疗卫生机构应高度重视网络安全管理工作,将其列入重要议事日程,加强统筹领导和规划设计,依法依规落实人员、经费投入、安全保护措施建设等重大问题,保证信息系统建设时安全保护措施同步规划、同步建设和同步使用。
第二十九条 各医疗卫生机构应加强网络安全业务交流,严格执行网络安全继续教育制度,鼓励管理岗位和技术岗位持证上岗。通过组织开展学术交流及比武竞赛的方式,发现选拔网络安全人才,建立人才库,建立健全人才发现、培养、选拔和使用机制,为做好网络安全工作提供人才保障。
第三十条 各医疗卫生机构应保障开展网络安全等级测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等经费投入。新建信息化项目的网络安全预算不低于项目总预算的5%。
第三十一条 各医疗卫生机构应进一步完善网络安全考核评价制度,明确考核指标,组织开展考核。鼓励有条件的医疗卫生机构将考核与绩效挂钩。
第六章 附则
第三十二条 违反本办法规定,发生个人信息和数据泄露,或者出现重大网络安全事件的,按《网络安全法》《密码法》《基本医疗卫生与健康促进法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规处理。
第三十三条 涉及国家秘密的网络,按照国家有关规定执行。
第三十四条 本办法自印发之日起实施。
