一、網絡安全管理制度

（一）網絡安全管理組織及其職責

明確網絡安全工作領導機構和負責網絡安全管理工作的單位分管領導。明確網絡安全管理工作的內設機構。

（二）計算機網絡設施安全管理

網絡設施安全應統一部署、統一實施、統一管理。對網絡硬件設施和部署環境、網絡接入資源、網絡服務系統、網絡安全系統等進行規劃、建設實施、運行維護及資源共享服務管理，制定操作規范和日常管理要求，包括：

1.內部局域網管理；

2.桌面網絡終端管理；

3.存儲介質管理；

4.電子郵件等文件交換管理；

5.防病毒管理。

（三）人員安全管理

明確內部人員入職、培訓、考核、離崗全流程安全管理，對網絡安全專職人員、關鍵崗位人員按規定開展網絡安全責任簽約。

（四）系統應用安全管理

在信息系統建設、實施和管理中落實“同步規劃、同步建設、同步運行”的安全管理機制。制定用戶賬號權限管理流程。針對第三方應明確人員接觸網絡時的申請及批準流程，做好實名登記、全員背景審查、保密協議簽署等工作。開展網絡安全等級保護定級、備案、測評、安全建設整改等工作。

（五）數據安全管理

應對數據資產進行全面梳理，在落實網絡安全等級保護制度的基礎上開展廳數據分類分級保護，重點保障重要數據和個人信息。對數據收集、存儲、傳輸、處理、使用、交換、銷毀進行全生命周期安全管理。

（六）應急保障與應急演練

制定應急預案，并根據單位業務情況制定必要的網絡安全備份和恢復計劃。定期備份，定期組織開展應急演練和恢復測試。

（七）檢查、通報與懲處

建立網絡信息安全管理工作的定期檢查、通報和考核制度。

二、信息系統管理制度

（一）信息系統管理組織及其職責

成立信息化工作領導小組，明確信息化工作領導小組職責；確定信息系統建設部門，明確其職責；明確信息管理部門職責。

（二）信息系統項目申報

信息系統建設意向征求，納入預備項目庫管理；對擬申報的信息系統項目進行專家論證，通過論證的項目按照財政項目、科研項目、其他項目等分類申報流程進行項目申報。根據市級信息系統建設要求，配套申報區級信息系統建設項目。

（三）信息系統項目實施

1.組建信息系統項目組，明確項目組成員的分工及職責；

2.信息系統項目招投標及合同簽訂。

3.信息系統建設。制定項目實施計劃，按計劃開展信息系統建設。項目建設關鍵節點確定，包括需求確認、系統功能測試確認和試運行確認等。

4.信息系統測試與試運行。信息系統開發完成后，需進行系統測試，包括第三方軟件測評和安全測評；第三方測評測通過后，開展信息系統試運行。

5.信息系統項目驗收。系統試運行結束后，項目組提交項目工作總結，清點、準備驗收所需相關材料，組織開展項目驗收。

（四）信息系統運行管理。

1.信息系統上線。信息系統建設項目驗收通過后，系統使用或牽頭使用部門提交正式上線部署申請，投入正式使用。

2.信息系統運維管理。按照財政項目、科研項目、其他項目等運維要求進行信息系統運維管理。

3.信息系統變更管理。信息系統運維期間，系統使用或牽頭使用部門如出于實際情況需要調整，提出書面申請，審批通過后實施變更。

4.信息系統下線。信息系統如停止使用，系統使用或牽頭使用部門提出下線申請，評估通過后實施下線。

三、個案數據使用管理制度

（一）各部門職責分工

明確信息化工作領導小組職責、信息管理部門職責；相關職能部門（辦公室、業務管理部門、科研管理部門等）職責；其他部門職責。

（二）數據分級分類管理要求

按照“分級授權、分級管理”的原則，將個案數據使用管理責任分解到科室和具體工作人員，落實個案數據的在線使用、離線使用與存儲保管。

（三）個案數據使用管理流程

1.明確本部門個案數據使用流程，包括個案數據使用申請、使用審批、個案數據具體使用等相關流程的要求；

2.明確本單位其他部門個案數據使用流程，包括個案數據使用申請、使用審批、個案數據具體使用等相關流程的要求；

3.明確個案數據提供外部使用流程，包括個案數據使用申請、使用審批、個案數據具體使用等相關流程的要求。

（四）個案數據使用與管理的具體要求

涉及個案數據的業務信息系統應按信息系統安全等級保護要求，落實信息系統安全責任簽約；連接互聯網的計算機不得留存個案數據，不得在互聯網上進行個案數據傳輸及保存；落實個案數據交接的要求及安全責任。

轉載自-上海衛健委官網