医保信息安全管理制度

医保信息安全管理制度医保信息安全管理制度1第一章总则第一条为了进一步加强全市医保网络信息安全，规范医保信息系统权限设置和使用，特制定本管理办法。第二条本办法适用于全市医保部门的各类人员、网络、数据、硬件设备、软件系统等。第三条医保网络信息安全管理由市医保局基金监管和信息化科、市医保信息管理部门和各使用单位分工负责。第四条基金监管和信息化科负责网络信息系统项目规划、申报、立项等工作。市医保信息管理部门负责网络信息系统的项目实施、测试、运维、培训等工作。各使用单位负责单位内部网络安全制度落实，计算机安全管理，权限规范使用。第五条加强网络安全培训，培训可采用内部培训或外部聘请，也可以请第三方服务商提供专业人员进行培训。第六条信息安全考核至少一年进行一次，对各级医保部门考核由市医保局基金监管和信息化科牵头负责，对第三方厂商考核由市医保信息管理部门牵头负责。第二章系统运维管理第七条医保网络信息运维服务包括数据中心运维、网络运维、业务系统运维。数据中心运维主要包括负责机房通用环境的维护和保养，机房设备的管理、保养及维修，云平台的运行情况监控及扩容。网络运维主要包括医保专线的规划、设计、建设，常规网络服务的接入协调、运行维护、配置、管理工作、日常故障响应和技术援助等。业务系统运维包括全市医保部门使用的信息系统的运行维护。系统上线运行及后续补丁版本升级，须经规范的系统测试，功能测试由项目需求单位组织业务人员实施，性能测试和安全测试由市医保信息管理部门组织相关技术人员实施。第八条驻场工作的第三方运维人员应当签署保密协议并遵守市医保局各项管理制度和服务合同中约定的各种条款。运维人员离场后，及时删除人员的账户和权限等。第九条市医保信息管理部门应采取日常考核和定期考核相结合的方式，对第三方人员的日常考勤、工作成果、服务质量等方面进行评价。对于考核不合格者，应要求第三方单位调换工作人员。考核结果与费用支付实施挂钩。第三章帐号权限管理第十条账号权限管理由市医保信息管理部门牵头负责，并分别设立信息系统管理员。第十一条市医保信息管理部门统一管理各信息系统管理员权限的变动、授权范围。各信息系统管理员负责本部门信息系统权限分配工作。第十二条信息系统权限的变动实行审批管理，由申请人填写《系统权限登记申报表》，经业务科室、分管局（中心）领导审批后，由各信息系统管理员授权，并抄报市医保信息管理部门。第十三条对系统的访问须经过授权，任何人不得在未经授权的情况下在系统中运行未经审批的程序。拥有帐号的用户不得随意将帐号交于他人使用。第十四条帐号权限的分配应遵循满足需求的最小授权原则,即为用户分配权限时,以其能进行系统管理、操作的最小权限进行授权，避免为其分配无关的或更大的权限。第十五条当工作人员工作调动或离职时，信息系统管理员应立即将其在系统中的帐号撤销，不得继续将帐号分配给他人使用。第十六条系统中的帐号口令应避免使用弱口令.口令长度不得低于12位，须由数字、大小字母以及特殊字符组成,并定期进行更新。第四章数据备份和恢复第十七条数据备份采用零级备份或增量备份。第十八条数据备份时，应及时记录备份情况，包括备份周期、时间、内容、相关变更记录等信息。第十九条数据恢复前，须根据情况对所需要恢复的数据进行必要的备份，防止有用数据的丢失。第二十条数据恢复后，须进行验证、确认，确保数据恢复的完整性和可用性。第五章资产资源管理第二十一条硬件资产的管理。购买新的硬件设备或者从其他部门接收转移的设备时，要核对设备清单，对相关设备进行测试验证，然后登记并建立资产清单。第二十二条软件资产的管理。要避免软件资产的丢失、泄密，在安装软件时要规定使用权限，防止非授权访问。第二十三条数据资产的管理。各级医保部门要预防和减少数据错误，确保前台录入数据真实、准确、完整。需后台对信息系统中的数据进行维护的，由各级医疗保险经办机构填写《医保业务数据处理申请表》，待中心业务科室、中心分管领导审批后，由市医保信息管理部门审核后，通知软件服务提供商处理。第二十四条网络资源管理。从中心机房到业务部门的各项网络资源由市医保信息管理部门统一管理。各单位内部的网络布线、设备的采购等由单位自行管理。所有接入中心业务网络申请、变更，由市医保信息管理部门审核后进行办理。第二十五条云平台资源管理。云平台资源使用包含申请、变更和退出。使用单位在信息系统开发完成后，按支撑信息系统正常运行所需，合理申请云资源。信息系统运行过程中，使用单位根据业务需要，确需要云资源配置变更的，向云管理机构提出申请。使用单位不再使用云平台服务时，须做好应用系统下线和数据迁移备份工作，向云主管部门提出退出申请。第二十六条闲置报废资产管理。闲置资产根据资产类别进行分类归档管理。闲置资产中不能再使用的，要存储在安全的环境中。需要报废销毁的，按照单位固定资产管理要求，进行处置。涉及包含有敏感信息的闲置资产处置，要进行严格的消密处理，并做好登记备案。第二十七条有关行政部门、司法机关等因执法工作需要查阅、复制或者调取数据的，应当履行相关查阅程序，并遵守下列规定：（一）工作人员不少于两人；（二）出示个人工作证件和单位证明材料；（三）履行登记手续；第六章安全检查管理第二十八条项目立项阶段即要对信息系统项目及其建设的各个环节进行统一的安全管理规划。依据国家信息系统安全的相关要求对项目进行等保定级。信息系统建设完成后要向公安机关进行备案，并按国家关于信息安全等级保护相关要求开展等保测评工作。第二十九条市医保信息管理部门定期开展网络安全检查，根据需要组织安全专项检查。检查完成后形成检查报告，相关部门应针对检查报告中所提出的问题组织整改，整改完成后进行复查确认。第三十条市医保信息管理部门负责数据中心病毒防治工作，并通过购买专业的安全厂商防病毒服务，及时升级查杀策略。同时指导各单位个人防病毒产品的部署和使用,组织计算机防病毒教育和培训,对计算机的防病毒情况进行检查。第七章责任追究第三十一条各部门主要负责人为医保网络信息安全管理第一责任人。按照“谁使用，谁负责”的原则，加强医保网络信息安全管理。因管理不善致使本部门内发生重、特大信息安全事故或严重违纪违法事件的，按有关规定对部门和有关责任人进行处理，情节特别严重的依法追究法律责任。第三十二条一旦发现网络违法案件或者接到有关网络违法案件举报，应当详细、如实记录事件经过，保存相关证据记录，及时通知有关领导，并立刻与公安等部门取得联系。第三十三条所有人员必须自觉遵守国家有关保密法规：（一）不得利用国际联网泄露国家秘密；（二）涉密文件、资料、数据严禁上网流传、处理、储存；（三）与涉密文件、资料、数据相关的计算机严禁联网运行。第三十四条任何用户不得制作、复制、查阅和传播下列信息：（一）煽动抗拒、破坏宪法和法律、行政法规实施；（二）煽动颠覆国家政权，推翻社会主义制度；（三）煽动分裂国家、破坏国家统一；（四）煽动民族仇恨、民族歧视，破坏民族团结；（五）捏造或者歪曲事实，散布谣言，扰乱社会秩序；（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖，教唆犯罪；（七）公然侮辱他人或者捏造事实诽谤他人；（八）损害国家机关信誉的；（九）其他违反宪法和法律、行政法规的。第三十五条任何用户不得从事下列危害计算机信息网络安全的活动：（一）未经允许，进入计算机信息网络或者使用计算机信息网络资源；（二）未经允许，对计算机信息网络功能进行删除、修改或者增加的；（三）未经允许，对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的；（四）故意制作、传播计算机病毒等破坏性程序的；（五）其他危害计算机信息网络安全的。第八章附则第三十六条本办法由市医疗保障局负责解释。第三十七条本办法自印发之日起施行。医保信息安全管理制度2第一章总则第一条为加强医保信息安全管理，确保医保信息的完整性、准确性和安全性，根据国家有关法律、法规和政策，结合本单位的实际情况，特制定本制度。第二条本制度适用于本单位所有涉及医保信息的部门、岗位和人员，所有相关人员必须严格遵守本制度，确保医保信息安全。第三条医保信息安全管理工作应坚持“安全第一、预防为主、综合治理”的原则，确保医保信息在采集、传输、存储、使用、共享和销毁等各个环节的安全。第二章组织架构与职责第四条成立医保信息安全领导小组，由单位主管领导担任组长，相关部门负责人为成员，负责医保信息安全管理的全面领导和决策。第五条设立医保信息安全管理部门或指定专责人员，负责医保信息安全的日常管理工作，包括制定安全策略、监督执行、组织培训、应急响应等。第六条各部门应明确医保信息安全的具体责任人，负责本部门医保信息的安全管理，确保本部门信息不被泄露、篡改或滥用。第三章医保信息安全管理第七条建立医保信息分类管理制度，明确信息的敏感级别和保密要求，对敏感信息进行特殊保护。第八条严格执行医保信息访问控制，实施用户身份认证和权限管理，确保只有授权人员能够访问和操作相关信息。第九条加强医保信息传输安全，采取加密、签名等安全措施，确保信息在传输过程中不被窃取或篡改。第十条定期对医保信息系统进行安全漏洞扫描和风险评估，及时发现并修复潜在的安全隐患。第十一条建立医保信息备份和恢复机制，确保在发生安全事件时能够及时恢复数据，保障业务的连续性。第十二条加强员工安全意识教育，定期组织医保信息安全培训，提高员工对医保信息安全的重视程度和应对能力。第四章应急响应与处置第十三条制定医保信息安全应急预案，明确应急响应流程和组织架构，确保在发生安全事件时能够迅速响应和处置。第十四条建立医保信息安全事件报告制度，要求员工在发现安全事件时及时报告，确保事件得到及时处理。第十五条对发生的医保信息安全事件进行调查和分析，总结经验教训，完善安全措施，防止类似事件再次发生。第五章监督与考核第十六条医保信息安全管理部门应定期对各部门医保信息安全管理工作进行监督和检查，发现问题及时督促整改。第十七条将医保信息安全管理工作纳入单位绩效考核体系，对在医保信息安全工作中表现突出的部门和个人给予表彰和奖励。第六章附则第十八条本制度自发布之日起执行，由医保信息安全领导小组负责解释和修订。第十九条本制度与之前的相关规定有冲突的，以本制度为准。第二十条本制度未尽事宜，按照国家有关法律、法规和政策执行。医保信息安全管理制度3为保障医保信息系统的操作安全和数据库系统安全，根据《中华人民共和国计算机信息系统安全保护条例》，结合本单位系统建设实际情况，制定本制度。一、工作制度（一）遵守各项规章制度，配合信息中心做好雅安市医保系统信息网络的正常运行、日常维护工作。（二）与软件公司协作，负责医保信息系统数据的管理、汇总、分析和系统升级，协助做好医保统计数据工作。（三）按照有关规定，做好医保系统计算机管理工作。（四）尽职尽责做好本职工作，及时完成领导交办的.任务。二、保密原则（一）严格执行国家保密局《信息系统和信息设备使用保密管理规定》。（二）遵守信息安全的“五禁止”。1.禁止将涉密信息系统接入国际互联网及其他公共信息网络。2.禁止在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备。3.禁止在没有防护措施的情况下将国际互联网等公共信息网络上的数据拷贝到涉密信息系统。4.禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用。5.禁止使用具有无线互联功能的设备接入网络或处理涉密信息。同时遵守涉密信息不上网，上网信息不涉密。（1）不将秘密文件、资料和存储介质放在不安全的地方．（2）不擅自翻印、复印、转抄、拷贝秘密文件、资料、数据。（3）不隐瞒失密、泄密事故；保密检查不敷衍，不马虎。三、信息安全管理（一）日常管理协助信息中心做好医保信息系统的服务器、网络及周边设备管理，保障网络设备完好。（二）网络安全管理1.医保信息系统做到专网专用。安装实时病毒防护软件，做好病毒防范工作。2.加强对网络系统的管理工作，并对用户做好安全教育，提高安全意识。医保信息系统计算机严禁外来存储介质直接安装、使用。3.为确保医保信息系统正常使用，使用者要遵守信息中心关于医保信息系统专网使用的有关规定。4.为防止非法用户的侵入和病毒对网络的破坏，严格执行系统用户分级管理规定。（三）数据安全管理1.协助信息中心做好医保信息系统数据的备份及应急安全管理工作，确保医保信息系统和网络的通畅运行。2.为确保数据的准确性，严禁随意修改、删除系统数据。对系统数据的正常维护，应做好记录，记录应包括操作人员、操作时间和操作内容等详细信息。3.工作人员要做好数据信息的保密工作，系统内各项数据均要保密，严格执行有关保密规定。（四）用户权限管理1.系统用户增加和权限设置应由专人负责管理。2.系统维护人员需与业务操作人员相互分离。3.其他股室权限设置应由各股室负责人提出申请，填写《系统权限申请表》报分管领导审批后，由系统维护人员增设相关功能权限。权限设定应遵循最小最少设置原则。（1）管理员权限：维护系统，对数据库与服务器进行维护。（2）普通操作权限：对于系统的使用人员，针对其工作岗位给予操作权限。（3）查询权限：对于单位管理人员可以以此权限查询数据，但不能输入、修改数据。（4）特殊操作权限：严格控制单位管理方面的特殊操作，只将权限赋予相关负责人员并互相审核，如待遇开通、退费操作等，形成监督机制。4.人员离职或调职时需交回相关系统账号及密码，经系统管理员冻结账号后方能离职或调职。四、信息系统网络设备管理（一）职工需爱护信息系统网络设备，禁止任何破坏网络设备的行为。（二）非系统维护人员未经网络主管部门的批准，不得擅自更换、修理网络设备。五、专业人员培训考核（一）各类专业人员认真执行培训考核制度。（二）定期或不定期学习各项规章制度及岗位职责，熟练掌握各项操作规程。（三）认真组织相关人员的专业培训工作，制定软、硬件及网络维护培训计划，组织有关人员参加相关岗位系统上岗培训。六、惩处违反本管理制度，将提请单位行政部门视情节给予相应的批评教育、通报批评、行政处分或处以警告、以及追究其他责任。触犯国家法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。医保信息安全管理制度4第一章总则第一条为了保障医保信息系统的安全稳定运行，保护参保人员信息安全，根据国家有关法律法规和医保政策，特制定本管理制度。第二条本制度适用于所有参与医保信息管理、运营、维护和使用的部门和个人。第三条医保信息安全管理的目标是确保医保信息的保密性、完整性和可用性，防止信息泄露、损坏、丢失和非法使用。第二章组织管理第四条成立医保信息安全领导小组，负责全面指导、监督和检查医保信息安全工作。第五条明确各部门在医保信息安全中的职责和分工，确保工作有序开展。第六条定期对医保信息安全工作人员进行培训和考核，提高信息安全意识和技能。第三章技术保障第七条采用先进的技术手段和设备，保障医保信息系统的网络安全、物理安全和应用安全。第八条定期对医保信息系统进行安全漏洞扫描和风险评估，及时修复安全漏洞。第九条建立完善的数据备份和恢复机制，确保医保数据的完整性和可用性。第四章信息保密第十条严格执行信息保密制度，确保医保信息的保密性。第十一条对医保信息进行分类管理，对不同级别的信息采取不同的保密措施。第十二条加强对医保信息存储、传输和处理过程中的安全监管，防止信息泄露。第五章应急处置第十三条制定医保信息安全应急预案，明确应急处置流程和责任人。第十四条定期组织应急演练，提高应对突发事件的能力和水平。第十五条在发生信息安全事件时，应立即启动应急预案，及时报告、处置和记录。第六章监督与责任第十六条加强对医保信息安全工作的监督检查，确保各项制度得到有效执行。第十七条对违反本管理制度的行为，依法依规追究相关责任人的责任。第七章附则第十八条本管理制度自发布之日起施行，由医保信息安全领导小组负责解释和修订。第十九条本管理制度的修改和废止，须经医保信息安全领导小组审议通过，并报请上级主管部门批准后实施。第二十条本管理制度的最终解释权归医保信息安全领导小组所有。医保信息安全管理制度5为确保医保联网计算机应用能够正常、高效、安全地运行，实现系统安全、数据安全、网络安全和应用安全的目标，特制定《医保联网计算机信息安全管理制度》。一、安全管理机构（1）平阳县人事劳动社会保障局负责所有医保联网单位计算机信息安全。（2）医保联网单位计算机安全，温州市平阳县平安医药连锁有限公司自行负责。二、人员管理（1）应定期对系统所有工作人员从政治思想、业务水平、工作表现等方面进行考核，尽可能保证这部分人员安全可靠。对不适合接触信息系统的人员要适时调离。（2）所有工作人员除进行业务培训外，还必须进行相应的计算机安全课程培训，才能进入系统工作。（3）医保联网计算机专人负责，定期更改系统口令。三、计算机安全管理（1）除医保应用相关程序外，严禁随意安装其他软件。重要的数据文件必须多份拷贝异盘存放。（2）严禁利用u盘、移动硬盘、光盘等移动外设，拷贝文件至医保联网计算机上。（3）严禁修改、删除医保联网计算机上文件。（4）医保联网计算机必须设置口令，对口令的产生、登记、更换期限实行严格管理。口令最好在8位以上。（5）严禁医保联网计算机上互联网。未经批准不得向他人提供查询或拷贝。（6）医保线路为专线专用，任何人员不得通过不正当手段非法进入医保信息系统网络。医保信息安全管理制度6一、总则1.1为保障医保信息系统的安全、稳定运行，保护参保人员的个人隐私和医疗信息安全，根据国家有关法律法规，结合本单位实际情况，特制定本医保信息安全管理制度。1.2本制度适用于本单位所有涉及医保信息的收集、存储、处理、传输和使用的部门、岗位和人员。二、信息安全管理原则2.1保密性原则：确保医保信息