医疗保障信息化是医疗保障事业高质量发展的基础，是医保治理体系和治理能力现代化的重要支撑。为全面落实习近平总书记关于网络强国战略、大数据战略、数字经济的重要指示批示精神，以及党中央关于网络安全工作的总体部署，扎实推进医疗保障信息平台建设及运营维护，防范化解医疗保障系统数据安全风险，促进数据合理安全开发利用，现就加强医疗保障网络安全和数据保护工作，提出以下指导意见。

一、总体要求

（一）指导思想

坚持以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神，坚持总体国家安全观，深入实施网络强国和大数据战略，以医保系统网络安全为基础，以智慧医保和安全医保建设为目标，以医保信息安全技术为支撑，以制度建设和人才队伍建设为保障，筑牢安全防线，促进数据安全应用，更好助力医保治理体系和治理能力现代化，推动医保事业高质量发展。

（二）基本原则

坚持安全为本，促进发展。统筹网络安全保障和数据安全保护，夯实医疗保障信息化发展的安全底线，稳步推动医保大数据建设，为智慧医保建设、合法合规数据信息共享、多层次医疗保障体系建设提供有力支撑。

坚持健全制度，强化技术。制定实施网络安全管理和数据安全保护的系列制度，建立有效工作机制，广泛运用先进的网络安全和数据安全保护技术，建立健全数据安全治理体系，提高数据安全保障能力。

坚持强化基础，提升能力。把网络基础设施建设放在重要位置，加快提升医疗保障系统网络安全管理能力、数据安全保护能力、数据共享服务能力，加强人才队伍建设，筑牢安全发展基础。

坚持明晰责任，闭环管理。坚持“谁主管、谁负责，谁使用、谁负责”原则，落实网络安全责任制，落实数据主管单位、数据使用单位责任，建立健全安全审查审批和权限管理机制，实现数据全流程全生命周期管理。

（三）主要目标

到2022年，基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末，医疗保障系统网络安全和数据安全保护制度体系更加健全，智慧医保和安全医保建设达到新水平。

——网络安全水平显著提升。主体责任明晰，监督管理机制完善，基础设施完备，网络安全技术能力、态势感知、预警能力、突发网络安全事件应急响应能力显著提升，网络安全有效保障。

——数据安全管理有效实施。数据安全审批制度全面建立，分级分类管理及重要数据保护目录全面落实，数据实现全生命周期安全管理，数据安全评估机制日益完善。

——数据共享使用安全有序。数据共享使用流程明晰、机制健全，医疗保障数字化、智能化水平显著提升。

二、加强网络安全管理

（一）落实网络安全主体责任

建立健全网络安全责任制。各级医保部门是本级网络安全的责任主体，各级医保部门主要负责人是第一责任人。各级医保部门要组建网络安全和信息化领导小组，落实网络安全主体责任，明确信息技术保障和意识形态工作责任边界，强化行政部门网络安全管理责任和担当，健全考核机制，严格责任追究，确保网络安全责任全覆盖。

（二）完善网络安全监督管理机制

各级医保部门要强化日常工作中网络安全“红线”意识和底线思维，建立多环节、多层次、全方位的网络安全监督管理机制。定期对信息系统运行的相关软硬件开展安全防护检查。对涉及关键网络岗位和重要数据岗位的从业人员实施严格的背景审查。全面梳理网络、系统和关键设备的网络安全责任部门和责任人。

（三）加强关键信息基础设施安全保护

全面推进网络安全等级保护工作。根据行业规范合理定级备案，在系统规划、设计阶段同步确定安全保护等级，按照国家和行业标准进行等级测评。切实落实关键信息基础设施重点保护要求，加强关键信息基础设施网络安全监测预警体系建设，提升关键信息基础设施应急响应和恢复能力。按照“安全分区、网络专用、横向隔离、纵向认证”的原则，进一步完善网络结构安全、本体安全和基础设施安全，逐步推广安全免疫。加强内外网安全隔离，严禁医保专网接入互联网。

（四）强化网络安全技术防护能力

建立并完善入侵检测与防御、防病毒、防拒绝服务攻击、防信息泄露、异常流量监测、网页防篡改、域名安全、漏洞扫描、集中账号管理、数据加密、安全审计等网络安全防护技术手段。积极研究利用云计算、大数据等技术提高网络安全监测预警能力。加强网站安全防护和日常办公、维护终端的安全管理。完善域名系统安全防护措施，做好网络和业务系统上线前的风险评估。

（五）提高网络安全态势感知、预警和协同能力

加强网络安全和数据保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施，推进全国医疗保障信息系统网络安全和数据保护态势感知、预警能力建设。加强网络安全和数据保护信息的汇集、研判，建立健全网络安全和数据保护信息共享和通报机制，健全完善上下协同的通报预警机制。