卫生部


卫生部关于印发《卫生行业信息安全等级保护工作的指导意见》的通知

卫办发〔2011〕85号


各省、自治区、直辖市卫生厅局，新疆生产建设兵团及计划单列市卫生局，部直属各单位，部机关各司局：

为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，按照公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）要求，我部结合卫生行业实际，研究制定了《卫生行业信息安全等级保护工作的指导意见》。现印发给你们，请遵照执行。

二〇一一年十一月二十九日




卫生行业信息安全等级保护工作的指导意见

卫生信息安全工作是我国卫生事业发展的重要组成部分。做好信息安全等级保护工作，对于促进卫生信息化健康发展，保障医药卫生体制改革，维护公共利益、社会秩序和国家安全具有重要意义。为贯彻落实国家信息安全等级保护制度，规范和指导全国卫生行业信息安全等级保护工作，制定本指导意见。

一、工作目标

依据国家信息安全等级保护制度，遵循相关标准规范，在卫生行业全面开展信息安全等级保护定级备案、建设整改和等级测评等工作，明确信息安全保障重点，落实信息安全责任，建立信息安全等级保护工作长效机制，切实提高卫生行业信息安全防护能力、隐患发现能力、应急处置能力，为卫生信息化健康发展提供可靠保障，全面维护公共利益、社会秩序和国家安全。

二、 工作原则

（一）遵循标准，重点保护。遵循国家信息安全等级保护相关标准规范，结合卫生行业信息系统特点，优先保护重要卫生信息系统，优先满足重点信息安全需求。

（二）行业指导，属地管理。卫生行业信息安全等级保护工作实行行业指导、属地管理。地方各级卫生行政部门要按照国家信息安全等级保护制度有关要求，做好本地区卫生信息系统安全等级保护的指导和管理工作。卫生行业各单位要按照“谁主管、谁负责，谁运营、谁负责”的要求，落实信息安全责任。

（三）同步建设，动态完善。在信息系统规划设计与建设过程中，同步开展信息安全等级保护工作。因信息和信息系统的业务类型、应用范围等条件改变导致安全需求发生变化时，应当重新调整信息系统安全保护等级，及时完善安全保障措施。

三、工作机制

地方各级卫生行政部门承担本地卫生信息安全责任，信息化工作领导小组统筹组织本地卫生信息安全等级保护工作。卫生部信息化工作领导小组负责对全国卫生行业信息安全等级保护工作的组织协调、监督指导，并组织开展部机关信息安全等级保护工作。省级、地市级卫生行政部门信息化工作领导小组负责对本地区卫生行业信息安全等级保护工作的组织协调、监督指导，并组织开展本单位信息安全等级保护工作。

卫生部建立信息安全等级保护工作联络员机制，各省级卫生行政部门应当设置信息安全等级保护工作联络员。联络员职责是落实国家信息安全等级保护工作的有关政策和技术标准，掌握本地区信息安全等级保护工作动态和总体情况，代表本地区与卫生部及同级信息安全等级保护管理部门进行日常联系和交流，协调落实本地区信息安全等级保护工作。

卫生部和各省级卫生行政部门应当分别建立信息安全技术专家委员会，参与信息系统定级指导、备案审查、方案论证、安全咨询、安全检查等技术工作。信息安全技术专家委员会应当包含卫生行业、公安机关及信息安全技术等专家。

四、工作任务

（一）定级备案。

1．卫生行业各单位应当对本单位建设与运营的卫生信息系统进行自查，对未定级、定级不准的信息系统,应当按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作。

国家信息安全等级保护制度将信息安全保护等级分为五级：第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级。以下重要卫生信息系统安全保护等级原则上不低于第三级：

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

（3）三级甲等医院的核心业务信息系统；

（4）卫生部网站系统；

（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

2.拟定为第三级以上（含第三级）的卫生信息系统，应当经信息安全技术专家委员会论证、评审。

3.卫生行业各单位在确定信息系统安全保护等级后，对第二级以上（含第二级）信息系统，应当报属地公安机关及卫生行政部门备案。跨省全国联网运行并由卫生部定级的信息系统，由卫生部报公安部备案；在各地运行、应用的分支系统，应当报属地公安机关备案。

（二） 建设与整改。

1.对已确定安全保护等级的第二级以上（含第二级）卫生信息系统，应当按照国家信息安全等级保护工作规范和《信息安全技术信息系统安全等级保护基本要求》等国家标准，开展安全保护现状分析，查找安全隐患及与国家信息安全等级保护标准之间的差距，确定安全需求。

2.根据信息系统安全保护现状分析结果，按照《信息安全技术信息系统安全等级保护基本要求》、《信息安全技术信息系统等级保护安全设计技术要求》等国家标准，制订信息系统安全等级保护建设整改方案。第三级以上（含第三级）卫生信息系统安全建设整改方案应当经信息安全技术专家委员会论证。

3.卫生行业各单位应当按照信息系统安全建设整改方案，完善安全保护设施，建立安全管理制度，落实安全管理措施，形成信息安全技术防护体系和信息安全管理体系，有效保障卫生信息系统安全。

（三）等级测评。

1.系统建设整改工作完成后，应当按照《信息安全等级保护管理办法》要求，从全国信息安全等级保护测评机构推荐目录中选择等级测评机构，对第三级以上（含第三级）卫生信息系统进行等级测评。

2.测评合格后，应当将测评报告报属地公安机关及卫生行政部门备案。

3.应当每年对第三级以上（含第三级）卫生信息系统进行等级测评。对于重要部门的第二级信息系统，可参照上述要求进行等级测评。

（四）宣传培训。

1.各级卫生行政部门信息化工作领导小组应当对本地区各级各类医疗卫生机构开展等级保护政策和标准规范培训，提高各单位信息安全管理人员的技术能力和管理水平。

2.卫生行业各单位应当开展内部信息安全培训，提升全员信息安全意识，规范信息安全操作行为，提高信息安全保障能力。

（五）监督检查。

1.卫生部信息化工作领导小组负责督导检查各地医疗卫生机构信息安全等级保护工作落实情况，并督促部机关重要信息系统责任单位开展信息安全等级保护工作。

2.省级卫生行政部门信息化工作领导小组负责督导检查本地区卫生行业各单位信息安全等级保护工作落实情况，并督促本单位开展信息安全等级保护工作。

3.省级卫生行政部门信息化工作领导小组应当于每年年底，向卫生部信息化工作领导小组报送本地区信息系统定级备案、建设整改、等级测评和自查等工作开展情况。

五、 工作要求

（一）高度重视，加强领导。卫生行业各单位要高度重视，充分认识信息安全等级保护工作对保护居民健康信息安全、医疗卫生机构正常运转和社会稳定的重要意义。各单位主要负责同志要负总责，分管负责同志要具体抓，明确职责与任务，突出重点，将信息安全等级保护工作列入重要议事日程和工作绩效考核指标，一级抓一级，层层抓落实。

（二）保障经费，加强监管。卫生行业各单位要建立经费投入机制，将信息安全等级保护建设整改、等级测评、信息安全服务、技术培训等费用纳入信息化建设预算，并加强对资金使用的监管。

（三）加强沟通，密切合作。各级卫生行政部门应当加强与本地信息安全等级保护管理部门的沟通交流，建立协作机制，在信息安全等级保护工作中的定级备案、建设整改、等级测评、监督检查等环节密切合作，共同推进信息安全等级保护工作。

国家质量监督检验检疫总局 商务部等


关于贯彻《国务院关于加强食品等产品安全监督管理的特别规定》实施产品质量电子监管的通知

国质检质联〔2007〕582号


各省、自治区、直辖市质量技术监督局，商务厅（局），工商行政管理局：

为贯彻《国务院关于加强产品质量和食品安全工作的通知》和《国务院办公厅关于印发全国产品质量和食品安全专项整治行动方案的通知》（国办发〔2007〕57号）关于建立产品质量和食品安全追溯体系和产品质量监管网络的要求，加强重点产品的监管，完善产品标识制度和查验制度，根据《中华人民共和国工业产品生产许可证管理条例》、《中华人民共和国认证认可条例》、《国务院关于加强食品等产品安全监督管理的特别规定》，国家质检总局、商务部、国家工商总局决定对纳入工业产品生产许可证和强制性产品认证（CCC）管理的重点产品实施电子监管。重点产品生产企业必须在产品包装上使用电子监管码后，方可出厂销售。各有关部门要按照本通知的要求，加强对产品使用电子监管码的监管。

一、生产工业产品生产许可证管理和强制性产品认证（CCC）管理产品的生产企业, 必须加入产品质量电子监管网（以下简称电子监管网），并在产品包装上使用统一标识的电子监管码（附件1）。按照全面实施、分步推进的原则，由国家质检总局制定、公布《入网产品目录》（《首批入网产品目录》见附件2）和实施办法，逐步将列入工业产品生产许可证（以下简称生产许可证）管理和强制性产品认证（CCC）管理的产品纳入电子监管网管理。

二、列入《入网产品目录》产品的生产企业，在申请生产许可证和强制性产品认证（CCC）时，必须同时办理产品质量电子监管赋码和入网手续。已获得生产许可证和强制性产品认证（CCC）证书的企业要尽快赋码入网。因产品包装印刷周期的原因不能及时赋码的，过渡期不应超过半年。前期可贴码，后期须印码。

三、实施产品质量电子监管产品的生产企业，在申请取得电子监管码、加入电子监管网时，要提供准确的企业名称、产品商标、产品品牌、保质期、生产日期、检验合格证编号、生产许可证编号、强制性产品认证（CCC）证书编号等信息。生产企业在取得电子监管码之前，首先要取得商品条码使用资格。电子监管码的基础码与商品条码保持一致，赋码入网企业的信息须在中国物品编码中心备案。

四、生产未列入入网目录产品但已入网的企业要继续做好产品赋码工作，鼓励未列入入网目录产品的生产企业积极入网。

五、产品销售者对列入《入网产品目录》的产品，应当重点查验产品是否有生产许可证、CCC认证证书并使用统一标识的电子监管码，严格履行索证索票和建立购销台账等法定责任和义务。

六、电子监管网的技术服务机构必须确保网络的正常运行和数据信息的安全、可靠，积极主动做好企业入网、产品赋码、核准核销、消费查询、监管追溯、通报预警等各个环节的技术服务工作，为尽快建立产品质量和食品安全追溯体系，加强质量安全监管，打击假冒伪劣提供有效的技术保障。

七、对列入《入网产品目录》的产品，未获得生产许可证、CCC认证证书并未使用统一标识电子监管码的，产品不得生产销售；产品生产企业和销售者不得伪造或者冒用电子监管码。

本通知自发文之日起执行。质检、商务、工商等部门按照各自职能和依照工业产品生产许可证管理条例、认证认可条例及特别规定等相关法律法规，对实施产品质量电子监管的产品和生产、经营企业进行监督管理，有违法行为的依照有关法律法规进行处罚。



附件：1.电子监管码标识式样

2.《首批入网产品目录》









质检总局 商务部 工商总局







二〇〇七年十一月二十九日

附件1：

电子监管标识式样


附件2：

首批入网产品目录(9类69种)

类别号
产品类别
序号
产 品 目 录

1
家用电器
1
家用电冰箱和食品冷冻箱：有效容积在500立升以下。

2
空调器：制冷量不超过21000大卡/小时

3
家用电动洗衣机：带或不带水加热装置、脱水装置或干衣装置的洗涤衣物的电动洗衣机

4
电热水器：把水加热至沸点以下的贮水式

5
室内加热器

6
真空吸尘器

7
电烤箱

8
微波炉

9
吸油烟机

2
人造板
10
实木地板

11
复合木地板

3
电线电缆
12
交联聚乙烯电力电缆

4
农资
13
复混肥

14
磷肥

15
农药

5
燃气用具
16
燃气用具

6
劳动防护用品
17
安全帽

18
绝缘靴

7
电热毯
19
电热毯

8





























8



























8




食品





























食品





























食品






20
小麦粉

21
大米

22
酱油

23
醋

24
灭菌乳

25
巴氏杀菌乳

26
碳酸饮料

27
矿泉水

28
纯净水

29
方便面

30
饼干

31
冷冻饮品

32
白酒

33
葡萄酒

34
啤酒

35
婴幼儿配方奶粉店

36
大豆油

37
白砂糖

38
赤砂糖

39
冰糖

40
方糖

41
巧克力

42
奶粉

43
酸奶

44
乳饮料

45
肉类罐头

46
禽类罐头

47
水产品罐头

48
水果罐头

49
蔬菜罐头

50
味精

51
淀粉

52
辣椒制品

53
速冻米面制品

54
黄酒

55
饮用水

56
炼乳

57
果菜汁饮料

58
固体饮料

59
植物蛋白饮料

60
红茶

61
绿茶

62
花茶



63
乌龙茶

64
紧压茶

9
化妆品
65
护肤品

66
洗发水

67
护发素

68
洗手液

69
沐浴剂