一、信息安全管理

(一)个人信息安全规范

1、个人信息安全管理的定义

个人信息安全管理涵盖个人信息的收集、传输、存储、使用、共享、销毁等各个环节。信息的载体包括电子和纸质两种形式。

2、个人信息的管理应遵循的原则

(1)主体责任明确原则—按照“谁主管谁负责、谁使用谁负责”的原则，明确责任分工，各科室应对其持有的群众个人信息承担安全责任，无论这些信息通过何种途径获得。

(2)个人知情同意原则—收集、使用个人信息时，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

(二)个人信息的内容

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定用户身份或者反应特定用户活动情况的个人信息。包括个人身份、医疗服务和健康服务等三大类。

(三)个人信息的收集规范

1、收集个人信息时，应具备合法、正当的目的，并清晰、准确地予以描述。

2、应根据已确定的规定程序，收集最少的客户信息，不得要求群众提供规定以外的个人信息相关资料。

3、应当在办公或者服务场所、网站等公布个人信息收集、使用规则。

（四）事后问责

我局有权利根据国家的法律、法规和相关规章制度，对于发现的任何侵害个人信息安全的科室或个人采取相应的处罚措施，根据个人信息安全事件造成的影响及相关责任主体的态度，作出如下处理：

（1）批评教育：包括责令责任主体检查、诚勉谈话等；

（2）书面检查：责令责任主体向上级主管部门作出书面检查；

（3）通报批评：在全局范围内对责任主体发文通报；

（4）绩效处分：降低或扣除责任主体绩效，纳入年度考核；

（5）行政处分：追究信息安全事件发生负有领导责任的负责人的管理责任，对相关责任人予以行政处分。

（6）法律责任：如涉嫌犯罪的，则移交司法机关处。

以上方式可以单独适用，也可以同时适用。

二、数据安全管理

（一）安全原则

数据安全管理遵循“责任明确、授权合理、流程规范、技管结合”的工作方针。

1、主体责任明确原则：按照"谁主管谁负责、谁运营谁负责、谁使用谁负责、谁接入谁负责”的原则，明确责任分工，各科室应对其持有的数据承担安全责任，无论这些数据通过何种途役获得。

2、分类分级管控原则：对数据进行分类分级，根据类别属性、重要及敏感程度等差异性，采取适当的、与数据安全风险相适应的管理措施和技术手段，保障数据安全。

3、安全三同步原则：在承载数据的相关平台系统的设计、建设和运行过程中，应做到数据安全保护措施的同步规划、同步建设、同步运行。

4、敏感数据不出网原则：涉及国家安全的各类卫生健康敏感数据不得开放给他人或第三方。

5、安全与发展并重原则：坚持保障数据安全与发展并重，鼓励在合法合规、安全可信的条件下积极推进卫生健康数据的开发利用。

6、可追溯原则：对于敏感数据操作的日志应完整准确记录，确保所有操作可追溯到具体的操作人和操作依据，杜绝擅自篡改、删除记录等违规行为。

（二）账号与权限管理

各处室对主管的业务信息系统应加强账号权限管理，需遵循“权限明确、职责分离、最小特权''的原则明确岗位角色和权限的匹配规则，建立所管辖系统的账号权限申请、变更、注销审批流程，指定专人作为管理员，按照权限最小化原则、依据人员岗位角色进行账号授权。

账号与人员应保持一一对应，形成并实时维护系统权限分配表。各科室应确保所主管各系统的密码复杂度符合安全要求，应至少8位，至少包含大写字母、小写字母、数字、特殊符号中的三种。

各科室应至少每半年组织系统账号便用情况的审核，确认系统中用户身份的有效性、账号创建的合法性、权限的合理性。

（三）数据使用

各业务系统产生的公民个人信息、医疗服务和健康服务信息仅作为行业监管使用，不对外公布公开、转让或披露，但存在以下情形的除外：

（1）与国家安全、国防安全有关的；（2）与公共安全、公共卫生、重大公共利益有关的；（3）与犯罪侦查、起诉和审判等有关的；（4）其他法律法规规定的情形。