深圳市医疗保障局关于市七届人大五次会议第20240846号建议的答复函

　　深医保函〔2024〕5号

陈雄英等代表：

　　你们提出的《关于加强医保网络安全和数据安全管理的建议》收悉。感谢你们对深圳医保网络安全和数据安全工作提出的宝贵建议。经研究，现答复如下：

　　一、办理过程

　　我局收到该建议后高度重视，对你们提出的加强定点医药机构网络安全管理、加强网络安全基础设施建设、加强数据安全管理等建议进行了深入研究分析。结合我市医保网络和数据安全管理现状，对照提出的问题和建议，并在和陈雄英代表充分沟通的基础上，最终形成书面反馈意见。

　　二、办理情况

　　（一）关于加强定点医药机构网络安全管理

　　根据国家医保局《全国医疗保障系统核心业务区骨干网络建设指南》要求，我市已建立医保专网核心业务骨干网络，纵向连接省医保平台，横向接入了8000多家定点医药机构。定点医药机构作为医保业务终端用户及接入医保专网的最后一环，其安全管理对整个医保专网的安全影响不容忽视。部分机构相关人员安全意识不足，对网络安全重视程度不够，安全防护管理制度不健全，技术防范措施缺失，由机构端发起的对医保专网的攻击行为时有发生。

　　为做好定点医药机构医保专网管理工作，我局在《深圳市医疗保障定点医疗机构服务协议书》及《深圳市医疗保障定点零售药店服务协议书》中，明确要求定点医药机构需落实医保专网安全防护规范，违反相关管理要求对医保专网的造成影响的，我局可先行中断其与医保专网的连接，待整改完毕后再重新接入。此外，为进一步规范我市医保专网管理，我局正在起草医保专网接入和安全管理相关规章制度，进一步明确机构的管理责任，要求接入机构通过技术及管理方式实现可信入网、安全入网。

　　为进一步加强定点医药机构的边界安全，我局计划向市发改部门申请实施智慧医保配套安全管控能力提升项目，拟采用零信任的防护理念，部署基于零信任的终端一体化平台，确保接入终端身份可信、设备可信和链路可信；部署网络审计设备，在定点医药机构接入医保专网时，进行网络行为安全审计，确保其安全入网。

　　（二）关于加强网络安全基础设施建设

　　医保专网安全管理方面，我局在医保专网深圳市骨干网络出口、定点医药机构接入汇聚边界部署了全流量攻击溯源平台、网站应用防火墙、日志审计系统、堡垒机、下一代防火墙、入侵防御系统等网络安全措施，组建了运维团队对医保专网进行全天候监测，发现风险事件立即研判，第一时间响应处置。

　　目前我市医保专网未做区域管理，多机构、多方式接入等问题日益凸显，需要对医保专网架构进行升级。我局计划实施智慧医保配套安全管控能力提升项目，拟对医保专网架构进行全面升级，全面支持IPv4与IPv6双栈运行，强化网络架构；支持SRv6先进组网技术，提升网络承载能力；采用安全技术保证通信过程中数据的保密性；部署网络审计系统，监测政务云医保专区网络出口流量，通过对网络流量日志、事件日志、账号日志的全面记录，实现对网络行为的检测、分析与发现能力；部署流量态势监测安全产品，及时发现流量攻击，阻断攻击行为告警，提升网络安全态势感知、威胁发现和攻击溯源的能力；部署“蜜罐”攻击诱捕平台，提供基于网络欺骗技术实现的“蜜罐”诱捕服务能力，对蠕虫扩散、病毒传播、端口嗅探、恶意扫描及黑客攻击等行为进行捕获和收集，实现对内部主机、WEB应用、数据库和网络服务的精准威胁监测及攻击溯源。

　　（三）关于加强数据安全管理

　　医保数据中包含个人身份信息、个人就诊信息和医药机构信息等敏感信息，这些信息的泄露或滥用可能导致严重的隐私侵犯和安全风险。为做好我局网络与信息安全管理工作，我局印发了《深圳市医疗保障局网络与信息安全管理办法》，成立网络与信息安全工作领导小组，统筹全局网络与信息安全管理工作，并明确各部门在网络和信息安全管理中的职责，确保网络与信息安全工作能够有序、高效地进行。

　　为规范我局数据资源的共享开放，确保安全可控，我局印发了《深圳市医疗保障局数据资源共享与开放管理办法》，明确了各部门在数据共享与数据安全中的职责，规范了数据共享的取数和供数流程，要求数据共享过程需严格遵守“所知必须、最小化授权”的原则，并依托省大数据中心或市共享平台的渠道进行共享。

　　为进一步做好数据安全管理工作，及时监测和防范个人敏感信息泄露问题，我局计划实施智慧医保配套安全管控能力提升项目，提升数据分级分类管理、数据安全监测与运营、API安全检测和防护、数据库安全防护、数据脱敏、数据安全风险评估等能力。

　　感谢你们对医保网络安全与数据安全工作的关注与支持，欢迎继续对我们的工作提出宝贵意见与建议。

　　专此函复。

　　深圳市医疗保障局

　　2024年4月30日