四、工作任务

（一）定级备案。

1．卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查，对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。

国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级：

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

（3）三级甲等医院的核心业务信息系统；

（4）卫生部网站系统；

（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

2.拟定为第三级以上（含第三级）的卫生信息系统，应当经信息安全技术专家委员会论证、评审。

3.卫生行业各单位在确定信息系统安全保护等级后，对第二级以上（含第二级）信息系统，应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案；在各地运行、应用的分支系统，应当报属地公安机关备案。

（二） 建设与整改。

1.对已确定安全保护等级的第二级以上（含第二级）卫生信息系统，应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。

2.根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准，制订信息系统安全等级保护建设整改方案。第三级以上（含第三级）卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。

3.卫生行业各单位应当按照信息系统安全建设整改方案，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障卫生信息系统安全。

（三）等级测评。

1.系统建设整改工作完成后，应当按照《信息安全等级保护管理办法》要求，从全国信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级以上（含第三级）卫生信息系统进行等级测评。

2.测评合格后，应当将测评报告报属地公安机关及卫生行政部门备案。

3.应当每年对第三级以上（含第三级）卫生信息系统进行等级测评。对于重要部门的第二级信息系统，可参照上述要求进行等级测评。

（四）宣传培训。

1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训，提高各单位信息安全管理人员的技术能力和管理水平。

2.卫生行业各单位应当开展内部信息安全培训，提升全员信息安全意识，规范信息安全操作行为，提高信息安全保障能力。

（五）监督检查。

1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况，并督促部机关重要信息系统责任单位开展信息安全等级保护工作。

2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并督促本单位开展信息安全等级保护工作。

3.省级卫生行政部门信息化工作领导小组应当于每年年底，向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。

五、 工作要求

（一）高度重视，加强领导。卫生行业各单位要高度重视，充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责，分管负责同志要具体抓，明确职责与任务，突出重点，将信息安全等级保护工作列入重要议事日程和工作绩效考核指标，一级抓一级，层层抓落实。

（二）保障经费，加强监管。卫生行业各单位要建立经费投入机制，将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算，并加强对资金使用的监管。

（三）加强沟通，密切合作。各级卫生行政部门应当加强与本地信息安全等级保护管理部门的沟通交流，建立协作机制，在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作，共同推进信息安全等级保护工作。