医保网络安全和信息化标准(医保网络安全和信息化标准是什么)

一、医保网络安全和信息化标准

网络分为五个安全保护等级。

（一）第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络。

（二）第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络。

（三）第三级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络。

（四）第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络。

（五）第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。

二、医保网络安全和信息化标准是什么

做好网络安全和信息化工作，是实现强军目标的重要基础，是应对世界新军事革命挑战的紧迫需要，是解决作战体系突出矛盾问题的实际举措。

三、医保网络安全和信息化标准有哪些

在项目开发过程中，应该按要求编写好十三种文档，文档编制要求具有针对性、精确性、清晰性、完整性、灵活性、可追溯性。

　　◇ 可行性分析报告：说明该软件开发项目的实现在技术上、经济上和社会因素上的可行性，评述为了合理地达到开发目标可供选择的各种可能实施方案，说明并论证所选定实施方案的理由。

　　◇ 项目开发计划：为软件项目实施方案制订出具体计划，应该包括各部分工作的负责人员、开发的进度、开发经费的预算、所需的硬件及软件资源等。

　　◇ 软件需求说明书（软件规格说明书）：对所开发软件的功能、性能、用户界面及运行环境等作出详细的说明。它是在用户与开发人员双方对软件需求取得共同理解并达成协议的条件下编写的，也是实施开发工作的基础。该说明书应给出数据逻辑和数据采集的各项要求，为生成和维护系统数据文件做好准备。

　　◇ 概要设计说明书：该说明书是概要实际阶段的工作成果，它应说明功能分配、模块划分、程序的总体结构、输入输出以及接口设计、运行设计、数据结构设计和出错处理设计等，为详细设计提供基础。

　　◇ 详细设计说明书：着重描述每一模块是怎样实现的，包括实现算法、逻辑流程等。

　　◇ 用户操作手册：本手册详细描述软件的功能、性能和用户界面，使用户对如何使用该软件得到具体的了解，为操作人员提供该软件各种运行情况的有关知识，特别是操作方法的具体细节。

　　◇ 测试计划：为做好集成测试和验收测试，需为如何组织测试制订实施计划。计划应包括测试的内容、进度、条件、人员、测试用例的选取原则、测试结果允许的偏差范围等。

　　◇ 测试分析报告：测试工作完成以后，应提交测试计划执行情况的说明，对测试结果加以分析，并提出测试的结论意见。

　　◇ 开发进度月报：该月报系软件人员按月向管理部门提交的项目进展情况报告，报告应包括进度计划与实际执行情况的比较、阶段成果、遇到的问题和解决的办法以及下个月的打算等。

　　◇ 项目开发总结报告：软件项目开发完成以后，应与项目实施计划对照，总结实际执行的情况，如进度、成果、资源利用、成本和投入的人力，此外，还需对开发工作做出评价，总结出经验和教训。

　　◇ 软件维护手册：主要包括软件系统说明、程序模块说明、操作环境、支持软件的说明、维护过程的说明，便于软件的维护。

　　◇ 软件问题报告：指出软件问题的登记情况，如日期、发现人、状态、问题所属模块

四、医保网络安全和信息化标准的区别

主要是确保国家网络信息的安全性，和信息化的整理性

五、医保网络安全管理制度

1. 组织工作人员认真学习《计算机信息网络国际互联网安全保护管理办法》，提高工作人员的维护网络安全的警惕性和自觉性。

2. 负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

3. 加强对单位的信息发布和BBS公告系统的信息发布的审核管理工作，杜绝违犯《计算机信息网络国际互联网安全保护管理办法》的内容出现。

4. 一旦发现从事下列危害计算机信息网络安全的活动的：

（一）未经允许进入计算机信息网络或者使用计算机信息网络资源；

（二）未经允许对计算机信息网络功能进行删除、修改或者增加；

（三）未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、 修改或者增加；

（四）故意制作、传播计算机病毒等破坏性程序的；

（五）从事其他危害计算机信息网络安全的活动。做好记录并立即向当地公安机关报告。

5. 在信息发布的审核过程中，如发现有以下行为的：

（一）煽动抗拒、破坏宪法和法律、行政法规实施

（二）煽动颠覆国家政权，推翻社会主义制度

（三）煽动分裂国家、破坏国家统一

（四）煽动民族仇恨、民族歧视、破坏民族团结

（五）捏造或者歪曲事实、散布谣言，扰乱社会秩序

（六）宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪

（七）公然侮辱他人或者捏造事实诽谤他人

（八）损害国家机关信誉

（6.接受并配合公安机关的安全监督、检查和指导，如实向公安机关提供有关安全保护的信息、资料及数据文件，协助公安机关查处通过国际联网的计算机信息网络的违法犯罪行为.

信息发布登记制度

1. 在信源接入时要落实安全保护技术措施，保障本网络的运行安全和信息安全；

2. 对以虚拟主机方式接入的单位，系统要做好用户权限设定工作，不能开放 其信息目录以外的其他目录的操作权限。

3. 对委托发布信息的单位和个人进行登记并存档。

4. 对信源单位提供的信息进行审核，不得有违犯《计算机信息网络国际联网安全保护管理办法》的内容出现。

5. 发现有违犯《计算机信息网络国际联网安全保护管理办法》情形的，应当保留有关原始记录，并在二十四小时内向当地公安机关报告。

信息内容审核制度

一、必须认真执行信息发布审核管理工作，杜绝违犯《计算机信息网络国际联网安全保护 管理办法》的情形出现。

二、对在本网站发布信息的信源单位提供的信息进行认真检查，不得有危害国家安全、泄露国家秘密，侵犯国家的、社会的、集体的利益和公民的合法权益的内容出现。

三、对在BBS公告板等发布公共言论的栏目建立完善的审核检查制度，并定时检查，防止违犯《计算机信息网络国际联网安全保护管理办法》的言论出现。

四、一旦在本信息港发现用户制作、复制、查阅和传播下列信息的：

1. 煽动抗拒、破坏宪法和法律、行政法规实施

2. 煽动颠覆国家政权，推翻社会主义制度

3. 煽动分裂国家、破坏国家统一

4. 煽动民族仇恨、民族歧视、破坏民族团结

5. 捏造或者歪曲事实、散布谣言，扰乱社会秩序

6. 宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪

7. 公然侮辱他人或者捏造事实诽谤他人

8. 损害国家机关信誉

9. 其他违反宪法和法律、行政法规

10. 按照国家有关规定，删除本网络中含有上述内容的地址、目录或者关闭服务器。并保留原始记录，在二十四小时之内向当地公安机关报告。

用户备案制度

一、用户在本单位办理入网手续时，应当填写用户备案表。

二、公司设专人按照公安部《中华人民共和国计算机信息网络国际联网单位备案表的通知》的要求，在每月20日前，将济南地区本月因特网及公众多媒体通信网（网外有权部分）新增、撤消用户的档案材料完整录入微机，并打印两份。

三、将本月新增、撤消的用户进行分类统计，并更改微机存档资料，同时打印一份。

四、每月20日之前，将打印出的网络用户的备案资料（2份）及统计信息（1份）送至济南市公安局专人处。

安全教育培训制度

一、定期组织管理员认真学习《计算机信息网络国际互联网安全保护管理办法》、《网络安 全管理制度》及《信息审核管理制度》，提高工作人员的维护网络安全的警惕性和自觉 性。

二、负责对本网络用户进行安全教育和培训，使用户自觉遵守和维护《计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

三、对信息源接入单位进行安全教育和培训，使他们自觉遵守和维护《计算机信息网络国际 互联网安全保护管理办法》，杜绝发布违犯《计算机信息网络国际互联网安全保护管理办法》的信息内容。

四、不定期地邀请公安机关有关人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防犯能力。

用户登记和管理制度

一 、建立健全计算机信息网络电子公告系统的用户登记和信息管理制度； 组织学习《计算机信息网络国际联网安全保护管理办法》，提高网络安全员的警惕性；负责对本网络用户进行安全教育和培训；建立电子公告系统的网络安全管理制度和考核制度，加强对电子公告系统的审核管理工作，杜绝BBS上出现违犯《计算机信息网络国际联网安全保护管理办法》的内容。

二、对版主的聘用本着认真慎重的态度、认真核实版主身份，做好版主聘用记录；对各版聘用版主实行有针对性的网络安全教育，落实版主职责，提高版主的责任感；版主负责检查各版信息内容，如发现违反《计算机信息网络国际互联网安全保护管理办法》即时予以删除，情节严重者，做好原始记录，报告解决，由管理员向公安机关计算机管理监察机构报告；负责考核各版版主，如发现不能正常履行版主职责者，

三、检查时严格按照《计算机信息网络国际互联网安全保护管理办法》、及（见附页）的标准执行；如发现违犯《计算机信息网络国际互联网安全保护管理办法》（见附页）的言论及信息，即时予以删除，情节严重者保留有关原始记录，并在二十四小时内向当地公安机关报告；负责对本网络用户进行安全教育和培训，网络管理员加强对《计算机信息网络国际互联网安全保护管理办法》的学习，进一步提高对维护的警惕性。

六、医保网络安全体系2022年建成

大型复杂的网络必须有一个全面的网络安全合规体系。

一、防火墙技术

在网关上安装防火墙，分组过滤和ip伪装，监视网络内外的通信。

二、用户身份验证技术

不同用户分设不同权限，并定期检查。

三、入侵检测技术

四、口令管理

每个用户设置口令，定义口令存活期，不准使用简单数字、英文等

五、病毒防护

建立病毒防火墙，安装杀毒软件，及时查杀服务器和终端；限制共享目录及读写权限；限制网上下载和盗版软件使用；

六、系统管理

及时打系统补丁；定期对服务器安全评估，修补漏洞；禁止从软盘、光驱引导；设置开机口令（cmos中）；设置屏保口令；nt系统中使用ntfs格式；删除不用账户；

七、硬件管理

八、代理技术

在路由器后面使用代理服务器，两网卡一个对内，一个对外，建立物理隔离，并隐藏内网ip。

九、系统使用双机冗余、磁盘陈列技术。

七、医保网络与信息安全突发事件应急预案

《网络安全法》第25条规定：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。 《网络安全法》第53条规定：国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。 负责关键基础信息设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。 网络安全应急预案应立足安全防护，加强预警，重点保护重要信息网络和关系社会稳定的重要信息系统，在预防、监控、应急处理、应急保障等方面采取多种措施，构筑网络与信息安全保障体系。加强计算机信息网络安全的宣传和教育，提高工作人员的信息安全意识。要对机房、网络设备、服务器等设施定期开展安全检查,密切关注互联网信息动态，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大限度地减少危害和影响。 希望可以帮到您，谢谢！

八、医保信息系统网络安全自查报告

社保定点药店自查报告主要写几个方面的内容:

1.全年定点销售药品的类别,数量,金额,与去年同期比较增加减少情况;

2.与社保定管理机构的资金结算情况;

3.在定点销售药品中是否按照规定,对自费药品和可报销药品进行分类管理和销售,有无违反规定的销售;4,在定点销售药中存在的问题,如果有是怎样纠正的;5.有什么好的建议,以及群众意见的反馈.你可以根据这以上几点扩展一下就可以了。

九、医疗网络信息安全

严禁网络涉黄、涉赌，严禁传输不文明音频文件，严禁泄露国家机密。

十、2020年医保信息化工作要点

第一、启动领航项目，做好知识转移。

　　面对复杂的信息化项目，企业尤其刚刚开始信息化建设的企业往往无所适从，既无IT项目管理、建设的经验，也没有保证项目实施的技术人员，一切从零开始，除了摸着石头过河，似乎别无它法。对于这样的企业，当务之急是启动领航项目，也就是试点项目。领航项目可以是一个小的信息化项目，也可以是大型信息化项目中的一个小的流程。通过明确并细化的项目目标、完整的项目管理来模拟大型项目实施的“原型”，导入信息化项目管理，在掌握了相关知识、完成知识转移之后再扩展，开展大型信息化项目建设。

　　就像发明飞机之前，人们只能用汽车的速度来衡量运输效率；企业对信息化的认知也是一个循序渐近的过程。起初，人们只能基于现有的生产流程来考虑信息化建设，无论流程设计再完善、规划再详细也不能超越现有思维方式的限制，所以实施领航项目最重要的意义在于，将企业员工的思维拉近信息化，让企业真正拥有信息化的“思维”，哪怕这个领航项目在不久的将来就可能被推倒重来，也不是简单意义上的重复建设和浪费，而是在领航项目基础上有更大的提高和优化。

　　对于领航项目来说，一要“低标准、严要求”，企业信息化要一步一步走，一定要踏踏实实，因此刚开始目标不能太高，但要求一定要严格，确保实现既定目标。二要“速度第一，质量第二”，企业对信息化的迫切需求，要求领航项目的实施速度一定要快，通过快速实现项目目标，来增强老板对信息化的信心，从而为今后的大型信息化项目奠定基础。但由于企业自身对信息化项目的知识相对缺乏，所以领航项目的完成质量也肯定无法完美，这种螺旋式发展、不断优化往往成为企业信息化建设的常见模式。

　　此外，启动领航项目还有助于规避项目成本风险。目标小的领航项目，虽然需要一定的成本，但比起大的项目成本要低的多，通过这种方法不断的扩展，人的能力和技能都培养起来之后，再实施大型项目能够有效规避大型信息化项目的成本风险。

　　第二、寻找企业“核心价值环”。

　　任何成功的商业模式都有一个核心价值环，企业也一样，其核心价值环就是企业核心业务的体现。信息化项目的实施归根结底是为企业的核心业务服务的，因此评价信息化项目好坏的标准就是对核心业务的促进程度。找到企业目前最核心、最终体现企业最大价值的一个价值环，聚焦这一核心价值环开展信息化项目建设是保证信息化项目成功的第二个要点。

　　光明乳业的核心价值环是“订货-生产-物流”。每天，早上订货，白天生产，晚上或者第二天送到用户家中或超市，在为光明乳业创造价值便的同时，完成着企业的核心价值环。这个过程，简单的说就是销售执行流程。光明乳业公司的信息化就是围绕这个流程展开，基于沉淀数据，进行财务核算、生产、物流运输的信息化都是围绕这一核心价值环进行，有效提高了核心价值环的运行效率。

　　永恩投资（集团）有限公司主要产品是达芙妮鞋，顾客到商店看到一双鞋，通过扫描枪扫描，付款就是永恩的核心价值环。因此，围绕该价值环，永恩的信息化通过对沉积数据的管理，加强了对价格发到每个POS机的控制，以及

　　对后台支持的供货、生产的控制，使前台操作更加简单有效，后台保障更加有力，巩固并提高了永恩核心价值环的运行效率。

　　第三、聚焦信息化项目“期望”

　　企业信息化项目是一个复杂的系统工程，牵扯到企业内部决策层、业务部门、IT部门、以及外部软件供应方、实施方，甚至还有第三方咨询机构，因此信息化项目中，IT人员需要处理好与各方的关系。聚焦项目“期望”，明确项目期望，细化项目目标，用“期望”来衡量与项目实施中各方的关系。

　　明确信息化项目目标，不能贪大求全，要聚焦企业核心价值环，重点考虑对企业核心价值环影响大的目标，对于核心价值环影响不大的目标要少考虑，甚至不考虑。目标明确，将主要的资源放到有效目标上来，才能保证项目的时间、成本和质量。同时，要聚焦期望有助于信息化项目中企业与软件供应方（实施方）矛盾的解决。信息化项目中企业与软件的供应方（或实施方）之间往往会遇到这样的争论：改变企业流程来适应软件需要，还是改变软件来适应企业的流程？解决这一争论的关键就是聚焦项目期望。找到本质的东西，哪个符合企业自然规律，有利于实现项目期望，就按照哪个来做。

　　此外，用期望对业务部门不断变化的需求进行合理判断，舍弃无关项目期望的需求，有助于控制信息化项目的时间和成本；但对能够改善和支持项目期望的需求，也不能一概否定。对期望进行必要修正，有利于提高项目的实施效果，哪怕这样做会延长时间、增加成本。

十一、国家医疗保障局网络安全和信息化

第一条　为了加强对计算机信息网络国际联网的管理，保障国际计算机信息交流的健康发展，制定本规定。

第二条　中华人民共和国境内的计算机信息网络进行国际联网，应当依照本规定办理。

第三条　本规定下列用语的含义是：

（一）计算机信息网络国际联网（以下简称国际联网），是指中华人民共和国境内的计算机信息网络为实现信息的国际交流，同外国的计算机信息网络相联接。

（二）互联网络，是指直接进行国际联网的计算机信息网络；互联单位，是指负责互联网络运行的单位。

（三）接入网络，是指通过接入互联网络进行国际联网的计算机信息网络；接入单位，是指负责接入网络运行的单位。

第四条　国家对国际联网实行统筹规划，统一标准、分级管理、促进发展的原则。

第五条　国务院经济信息化领导小组（以下简称领导小组），负责协调、解决有关国际联网工作中的重大问题。领导小组办公室按照本规定制定具体管理办法，明确国际出入口信息提供单位、互联单位、接入单位和用户的权利、义务和责任，并负责对国际联网工作的检查监督。

第六条　计算机信息网络直接进行国际联网，必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。

第七条　已经建立的互联网络，根据国务院有关规定调整后，分别由邮电部、电子工业部，国家教育委员会和中国科学院管理。新建互联网络，必须报经国务院批准。

第八条　接入网络必须通过互联网络进行国际联网。

拟建立接入网络的单位，应当报经互联单位的主管部门或者主管单位审批；办理审批手续时，应当提供其计算机信息网络的性质、应用范围和所需主机地址等资料。

第九条　接入单位必须具备下列条件：

（一）是依法设立的企业法人或者事业法人；

（二）具有相应的计算机信息网络、装备以及相应的技术人员和管理人员；

（三）具有健全的安全保密管理制度和技术保护措施；

（四）符合法律和国务院规定的其他条件。

第十条　个人、法人和其他组织（以下统称用户）使用的计算机或者计算机信息网络，需要进行国际联网的，必须通过接入网络进行国际联网。前款规定的计算机或者计算机信息网络，需要接入接入网络的，应当征得接入单位的同意，并办理登记手续。

第十一条　国际出入口信道提供单位、互联单位和接入单位，应当建立相应的网络管理中心，依照法律和国家有关规定加强对本单位及其用户的管理，做好网络信息安全管理工作，确保为用户提供良好、安全的服务。

第十二条　互联单位与接入单位，应当负责本单位及其用户有关国际联网的技术培训和管理教育工作。

第十三条　从事国际联网业务的单位和个人，应当遵守国家有关法律、行政法规，严格执行安全保密制度，不得利用国际联网从事危害国家安全、泄露国家秘密等违法犯罪活动，不得制作、查阅、复制和传播妨碍社会治安的信息和淫秽色情等信息。

第十四条　违反本规定第六条、第八条和第十条规定的，由公安机关或者公安机关根据国际出入口信道提供单位、互联单位、接入单位的意见，给予警告、通报批评、责令停止联网，可以并处1.5万元以下的罚款。

第十五条　违反本规定，同时触犯其他有关法律、行政法规的，依照有关法律、行政法规的规定予以处罚；构成犯罪的，依法追究刑事责任。

第十六条　与台湾、香港、澳门地区的计算机信息网络的联网，参照本规定执行。

第十七条　本规定自发布之日起施行。