潜江市卫生健康委员会

关于印发《潜江市卫生健康行业网络安全与数据安全职责责任清单》的通知

各区、镇、街道卫生院（社区卫生服务中心）、市直各医疗卫生机构、各民营医疗机构、委机关各科室：

根据湖北省卫生健康委《关于印发湖北省卫生健康行业网络安全与数据安全责任职责责任清单的通知》（鄂卫办通〔2023〕60号）的有关工作要求，为进一步规范我市卫生健康行业网络安全与数据安全责任，特制定了《潜江市卫生健康行业网络安全与数据安全责任清单》，现印发给你们，请认真贯彻执行。

2023年8月18日

潜江市卫生健康行业网络安全与数据安全

职责责任清单

为进一步加强对全市卫生健康行业网络安全与数据安全的领导，切实提高卫生健康网络安全与数据安全工作水平，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等有关法律、法规、规定及相关责任制要求，参照GB/T39725-2020《信息安全技术健康医疗数据安全指南》、《GB/T35273-2020信息安全技术个人信息安全规范》，按照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”原则，制定《潜江市卫生健康行业网络安全与数据安全职责责任清单》。

一、市卫生健康委职责责任清单

市卫生健康委对本行业本系统网络安全与数据安全负有监督管理职责，依法加强本行业本系统网络安全与数据安全监督管理工作。

（一）单位职责责任清单

1.认真贯彻落实党中央、国务院，省委、省政府关于网络安全与数据安全决策部署，严格执行网络安全与数据安全法律法规、方针政策、制度规定。

2.将网络安全与数据安全工作纳入重要议事日程和年度重点工作，定期研究部署网络安全与数据安全工作，及时贯彻落实有关网络安全与数据安全会议、文件精神。将网络安全与数据安全工作与行业管理工作同谋划、同部署、同落实。单位每年至少召开1次网络安全与数据安全工作专题会议，分管领导每年至少听取2次相关工作汇报。

3.及时研究解决网络安全与数据安全制度机制和所需人、财、物等重大问题。加大网络安全与数据安全设施、隐患治理、教育培训和应急演练等方面投入，保障网络安全与数据安全工作必需经费。

4.将网络安全与数据安全工作纳入考核体系，作为领导班子和领导干部考核的重要内容，并认真组织实施。推动落实网络安全与数据安全履职绩效考核和失职责任追究。

5.推动领导班子成员和领导干部履行网络安全与数据安全监管职责，指导、监督本级本系统落实网络安全与数据安全责任制，加强网络安全与数据安全管理工作。

6.加强网络安全与数据安全监督管理机构和队伍建设，充实安全管理人员力量，统筹协调各方重视支持网络安全与数据安全工作。

（二）主要负责同志职责责任清单

主要负责同志为本部门网络安全与数据安全第一责任人，对

网络安全与数据安全工作承担全面领导责任。

1.认真贯彻落实党中央、国务院，省委、省政府关于网络安全与数据安全决策部署，贯彻执行网络安全与数据安全管理部门及业务主管部门关于网络安全与数据安全工作的指示要求。

2.把网络安全与数据安全工作与业务工作同规划、同安排、同检查、同推进。每年至少主持召开1次网络安全与数据安全工作会议，分析研判网络安全与数据安全形势，解决突出矛盾和问题，制定完善监督管理措施。

3.加强网络安全与数据安全队伍建设和机构建设，统筹协调各方面重视支持网络安全与数据安全工作。及时研究解决同网络安全与数据安全有关的体制机制和所需人、财、物等重大问题。

4.将网络安全与数据安全工作纳入议事日程和年度重点任务，并就领导班子和领导干部网络安全与数据安全工作履职情况进行年度述职。督促落实网络安全与数据安全相关制度，督促开展网络安全与数据安全的检查、考核、表彰奖励等工作。

5.定期组织网络安全与数据安全检查，督促所属医疗卫生机构落实主体责任，健全安全制度，加强安全管理，排查治理问题隐患。

6.强化网络安全与数据安全宣传教育和舆论引导，树牢安全发展理念，增强安全责任意识，落实网络安全与数据安全责任。将网络安全与数据安全宣传教育纳入党的宣传思想工作范畴，及时组织集体学习教育。

（三）分管负责同志职责责任清单

协助主要负责同志分管网络安全与数据安全工作，对本级卫生健康系统网络安全与数据安全工作负具体指导、综合监督的直接领导责任。

1.组织制定贯彻落实党中央、国务院，省委、省政府关于网络安全与数据安全决策部署的具体措施，贯彻执行本单位关于网络安全与数据安全工作的决定事项。

2.负责领导本级网络安全与数据安全领导小组日常工作，制定年度网络安全与数据安全工作计划，每半年至少听取1次网络安全与数据安全工作会议，系统解决网络安全与数据安全工作重点难点问题。

3.组织实施网络安全与数据安全监督检查、督查巡查、考核考评等工作，组织开展网络安全与数据安全隐患排查整改、零报告工作。

4.定期组织分析网络安全与数据安全形势，组织开展网络安全与数据安全事件责任追究和整改措施落实情况评估，及时研究解决网络安全与数据安全存在的问题。

5.加强行业网络安全与数据安全工作，统筹推进网络安全与数据安全体系建设、信息化建设和教育培训、科技支撑等工作。

6.按照要求，抓好分管科室及对口联系单位网络安全与数据安全工作。

（四）其他负责同志职责责任清单

负责督促分管科室做好网络安全与数据安全工作，并对分管范围内的网络安全与数据安全工作负直接领导责任。

1.组织分管科室及对口联系单位贯彻执行上级关于网络安全与数据安全的决策部署，网络安全与数据安全方针政策、法律法规、制度规定。贯彻执行本单位关于网络安全与数据安全工作决定事项。

2.督促分管科室及对口联系单位健全和落实网络安全与数据安全责任制，将网络安全与数据安全工作与业务工作同安排部署、同组织实施、同监督检查。

3.指导分管科室及对口联系单位加强网络安全与数据安全能力建设，支持依法履行网络安全与数据安全工作职责。督促开展网络安全与数据安全宣传教育、安全检查、专项整治等工作。

4.按照要求，抓好分管科室和对口联系单位网络安全与数据安全工作。

（五）委信息管理中心职责责任清单

对本单位本系统网络安全与数据安全工作负有组织协调、贯彻落实和监督考核等管理职责。

1.贯彻落实网络安全与数据安全法律法规、方针政策和主管部门相关工作部署，贯彻落实本单位关于网络安全与数据安全工作决定事项。

2.拟定本级本系统网络安全与数据安全行业标准，制定职责范围内的网络安全与数据安全年度监督检查计划并组织实施。

3.组织实施网络安全与数据安全监管工作，督促、指导本级本系统加强网络安全与数据安全管理，组织开展网络安全与数据安全责任目标考核。

4.组织开展网络安全与数据安全风险隐患排查整治，重要时间节点、重大活动期间，及时开展督查检查零报告工作。

5.定期组织召开网络安全与数据安全工作会议，分析研判网络安全与数据安全形势，及时解决网络安全与数据安全中的具体问题，安排部署阶段性工作任务。

6.指导开展网络安全与数据安全专项整改工作，制定落实整改措施，形成工作闭环。

7.负责加强行业系统网络安全与数据安全队伍建设，指导抓好学习宣传、教育培训、应急演练，提高网络安全与数据安全管理能力和技术水平。

8.发生网络安全与数据安全事件时，及时赶赴现场，开展应急处置，将安全事件影响降到最低，并及时报告相关情况。

（六）机关科室共同职责责任清单

落实网络安全与数据安全责任体系，各科室主要负责人是本科室网络安全与数据安全责任人，全面履行其职责责任。

1.将网络安全与数据安全工作与本科室业务工作同时安排部署、同时组织实施、同时监督检查，在个人年度述职中就网络安全与数据安全工作履职情况进行述职。

2.组织本科室干部职工积极参与网络安全与数据安全教育培训和应急演练，树牢安全理念，增强安全意识，履行安全职责。

3.依照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”原则，对本科室主管业务范围内的网络安全与数据安全工作负责。明确科室人员网络安全与数据安全职责，落实相关责任。

4.科室人员负责各自业务领域相关的网络安全与数据安全监管，熟悉网络安全与数据安全常识，防止发生安全事件。科室明确1名网络安全与数据安全管理员(联络员)，具体承担日常安全管理工作。

（七）机关科室专项职责责任清单

1.规信科、信息管理中心。在本级网络安全和信息化领导小组统一领导下，负责统筹组织，综合协调相关部门落实总体规划、顶层设计、重点项目立项、标准安全、认证认可、建设进度、监管评估和人员培训等具体任务；负责协调推进全市卫生健康系统网络安全与数据安全工作。督促指导辖区医疗卫生机构网络安全与数据安全隐患排查和重大问题整改。

2.办公室（宣传科）。负责部门网站、政务新媒体和机关显示屏建设与管理，做好网络舆情监测、网络安全宣传等工作；负责机关办公计算机、打印机等办公自动化设施的硬件资产管理、办公设备维护维修工作；负责与本级网络安全和信息化领导小组相关工作任务对接，将网络安全与数据安全工作和安全生产、平安医院相结合，负责保密工作。

3.人事科。负责将网络安全工作纳入委机关、各医疗卫生机构年度考核。

4.财务科。负责网络安全和信息化经费的申请、管理等财务保障工作。

5.政法科。负责“一网办”政务服务有关工作的协调办理，做好事项清理、窗口受理、流程梳理和行政审批等工作。

二、医疗卫生机构职责责任清单

医疗卫生机构对本单位的网络安全与数据安全承担主体责任。

（一）单位职责责任清单

1.认真贯彻落实党中央、国务院，省委、省政府关于网络安全与数据安全决策部署，贯彻执行卫生健康行政部门工作要求，严格执行网络安全与数据安全法律法规、方针政策、制度规定。

2.建立健全网络安全与数据安全管理责任体系，明确网络安全与数据安全管理机构和全员职责责任。将网络安全与数据安全工作纳入目标考核、职称评定、评先评优，严格落实网络安全与数据安全工作责任制。

3.制定完善网络安全与数据安全规章制度、操作规程、突发事件应急预案等。研究制定本单位年度网络安全与数据安全工作计划和贯彻落实措施，建立网络安全与数据安全管理台账。

4.定期分析研判网络安全与数据安全形势，研究布置网络安全与数据安全工作，重视抓好本单位重点部位、重要岗位、特种设施设备安全检查和风险隐患排查整治工作，及时消除安全隐患。每年至少召开1次网络安全与数据安全工作专题会议。

5.建立健全安全风险分级管控和隐患排查治理机制，落实安全风险辩识、分级管控工作，落实重大风险防范措施。

6.强化“三防”建设力度，提高人防、物防、技防综合防治能力，加强医院信息化建设和网络安全工作，落实经费保障。

7.健全完善网络安全和数据安全风险预警机制，组织实施网络安全与数据安全知识宣传、教育、培训和应急演练工作。

8.建立网络安全与数据安全事件信息报告制度，按规定报告各类安全事件。

（二）主要负责人职责责任清单

主要负责人为本单位网络安全与数据安全第一责任人，对本单位的网络安全与数据安全工作全面负责。

1.认真传达学习和贯彻落实上级关于网络安全与数据安全决策部署、方针政策、法律法规。贯彻执行本单位关于网络安全与数据安全工作决定事项。

2.把网络安全与数据安全纳入单位议事日程和年度重点工作，定期组织召开网络安全与数据安全专题会议，分析研判网络安全与数据安全形势，及时研究解决网络安全与数据安全管理和所需人、财、物等重大问题。每年至少组织召开1次网络安全与数据安全专题工作会议。

3.根据上级网络安全与数据安全以及业务主管部门安排，结合单位实际，研究部署网络安全与数据安全工作，组织制定单位年度网络安全与数据安全工作计划。加强网络安全与数据安全标准化建设。

4.成立以主要负责人为主任，分管负责人为副主任，各相关部门负责人为成员的网络安全和信息化工作领导小组，明确职责责任范围。

5.明确网络安全与数据安全管理机构，按要求配备管理人员，统筹协调各方面重视支持网络安全与数据安全工作。将网络安全与数据安全所需费用纳入预算，保障网络安全与数据安全工作有序开展。

6.推动将网络安全与数据安全工作纳入领导干部工作考核的重要内容，督促开展网络安全与数据安全检查、考核、表彰奖励等工作。

7.组织制定网络安全与数据安全教育培训计划及网络安全与数据安全事件应急处置预案。依法领导和组织网络安全与数据安全事件应急处置、调查处理及信息报送工作。

8.组织建立网络安全和数据安全风险防范机制，督促、检查本单位的网络安全与数据安全工作，及时消除安全隐患。

（三）分管负责人职责责任清单

分管负责人协助本单位主要负责人履行网络安全与数据安全管理职责，对网络安全与数据安全工作负直接领导责任。

1.组织学习贯彻上级关于网络安全与数据安全决策部署，网络安全与数据安全方针政策、法律法规，组织制定具体的贯彻落实措施。贯彻执行本单位关于网络安全与数据安全工作决定事项。

2.协助主要负责人督促落实关于网络安全与数据安全的决策部署，统筹推进网络安全与数据安全工作，协调解决重点难点问题，在年度述职中就网络安全与数据安全工作履职情况进行述职。

3.制定完善与单位实际相适应的网络安全与数据安全管理制度、操作规程。组织开展安全风险辨识、管控工作，督促相关部门落实风险管控措施。

4.组织学习有关网络安全与数据安全法律、法规、标准和文件。监督、检查网络安全与数据安全各项规章制度执行情况，及时纠正失职、失责和各类违规行为。

5.每半年至少听取1次网络安全与数据安全专题工作会议，听取网络安全与数据安全管理机构和其他部门的汇报，研究解决网络安全与数据安全工作中的具体问题，组织落实会议决定事项。

6.定期组织开展网络安全与数据安全检查巡查，督促问题隐患整改。对违反网络安全与数据安全规章制度的行为启动问责程序。

7.制订完善网络安全与数据安全应急预案，每年至少开展1次网络安全与数据安全教育培训和应急演练。如发生网络安全与数据安全事件，应及时处理并向上级和主管部门报告相关情况。

（四）其他分管负责人职责责任清单

按照“谁主管、谁负责，谁运营、谁负责，谁使用、谁负责”的原则，对职责范围内的网络安全与数据安全工作负责。

1.组织分管部门及时学习有关网络安全与数据安全法律、法规、规章、标准及有关文件。督促分管部门落实网络安全与数据安全责任制、管理制度和操作规程。贯彻执行本单位关于网络安全与数据安全工作决定事项。

2.定期召开分管部门的网络安全与数据安全例会，研究解决工作中的矛盾和问题，布置网络安全与数据安全工作任务，并对例会讨论决定的事项负责组织贯彻落实。

3.协助编制、审查年度安全技术计划措施，做好分管工作范围内安全技术计划措施的实施工作。

4.监督检查分管部门网络安全与数据安全各项规章制度执行情况，及时纠正失职和违章行为，发现事故隐患及时整改，对重大事件隐患及时报告，并制定有效的安全防范措施。

5.督促分管部门落实网络安全与数据安全工作要求，参与单位组织的日常、综合、专项整改和重大节日网络安全与数据安全检查、零报告工作。

6.按照单位要求组织分管部门干部职工参加网络安全与数据安全培训和应急演练。依法协助开展安全事件调查处理，及时向上级部门报告安全事件情况。

（五）管理机构负责人职责责任清单

1.贯彻落实网络安全与数据安全法律法规、方针政策和上级关于安全生产工作的决策部署，认真落实单位网络安全与数据安全工作计划。

2.在单位主要负责人和分管安全负责人的领导下开展网络安全与数据安全管理工作，结合单位实际，组织制定年度网络安全与数据安全工作计划，统筹推进各部门网络安全与数据安全工作落实。

3.组织开展重点部位、重要设施设备和重点部门网络安全与数据安全问题隐患自查、排查，督促指导责任部门抓好整改落实，提出改进网络安全与数据安全管理工作意见建议。

4.组织召开网络安全与数据安全工作会议，分析研判网络安全与数据安全形势，制定详细具体的网络安全与数据安全管理措施。

5.组织开展网络安全与数据安全学习宣传活动，加强干部职工网络安全与数据安全知识教育培训，每年至少组织开展1次网络安全与数据安全培训演练。

6.协助开展安全风险辨识、分级管控，督促重大风险管控措施的落实。

7.协助开展网络安全与数据安全调查处理，及时报告风险隐患。

8.认真贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》，抓好各项工作落实。

（六）科室（部门）负责人职责责任清单

科室（部门）负责人是本科室（部门）第一责任人，对本科室(部门)网络安全与数据安全工作全面负责。

1.学习宣传国家网络安全与数据安全法律法规、方针政策和规章、标准以及本单位网络安全与数据安全管理制度、操作规范。

2.组织网络安全与数据安全工作例会，及时处理本科室（部门）工作人员提出的关于安全工作意见建议。

3.按照规定对本科室的IT系统（办公电脑、手持终端等）设施进行定期检测，保证数据安全。制止和纠正违反操作规程行为。

（七）科室（部门）工作人员职责责任清单

每位干部职工(含进修生、研究生、实习生、短期学习培训人员等)均对职责内网络安全与数据安全负责。

1.网络安全与数据安全人人有责，医疗卫生机构的每位职工都要在自己的岗位上，认真履行安全职责，对本岗位的网络安全与数据安全负直接责任。

2.认真学习遵守网络安全与数据安全各项规章制度、安全操作规程，知悉岗位风险，了解掌握应急处置程序。

3.接受网络安全与数据安全教育培训，掌握本职工作所需的安全知识，提高安全技能，增强事故预防和应急处理能力。

4.对本科室网络安全与数据安全工作中存在的问题提出意见和建议。

三、责任追究

全市卫生健康系统必须对照职责责任清单，认真履行网络安全与数据安全职责责任。对不认真履行网络安全与数据安全工作职责责任，发生个人信息和数据泄露、毁损、丢失等安全事件和网络系统遭攻击、入侵、控制等重大网络安全事件时，对落实网络安全与数据安全责任制工作不力的部门（单位），严格按照相关法律法规进行追究问责。