为保障我省医疗保障信息平台网络和数据安全，规范医保定点机构接入吉林省医疗保障信息平台工作，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规和国家医保局有关规定，我们结合工作实际，研究起草了《吉林省医疗保障信息平台定点机构接入管理办法（征求意见稿）》，现向社会公开征求意见。欢迎社会各界提出意见和建议，公众可通过以下途径和方式提出意见：

一、通过电子邮件方式将意见发送至：singahoo@dingtalk.com，邮件主题请注明“定点机构接入管理办法意见反馈”。

二、通过信函方式将意见邮寄至：吉林省长春市二道区自由大路3999号省社会医疗保险管理局信息服务部（邮编130031），并请在信封上注明“定点机构接入管理办法意见反馈”字样。

三、意见反馈截止时间为2025年1月24日。

 

吉林省医疗保障局

2025年1月6日

 

吉林省医疗保障信息平台定点机构接入管理办法

（征求意见稿）

 

第一章 总则

第一条 为规范定点机构网络安全管理工作，维护吉林省医疗保障信息平台网络和数据安全，保障医疗保障业务正常运行，依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《医疗机构医疗保障定点管理暂行办法》《零售药店医疗保障定点管理暂行办法》《医疗保障核心业务区网络安全接入规范》等相关规定，结合吉林省实际，制定本办法。

第二条 本办法所称网络安全是指信息系统及网络的硬件、软件和系统中的数据受到保护，不受偶然或恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。

第三条 本办法适用于吉林省医疗保障定点医疗机构、定点零售药店、长期护理保险定点机构(以下简称“定点机构”)，申请成为吉林省医疗保障定点医疗机构、定点零售药店、长期护理保险定点机构的机构（以下简称“申请成为定点的机构”），网络运营商，第三方医保服务软件开发商接入医保网络及吉林省医疗保障信息平台管理工作。

 

第二章 组织机构

第四条 各地医保经办机构负责定点机构、申请成为定点的机构、网络运营商和第三方软件开发商接入吉林省医疗保障信息平台工作，主要履行以下职责：

（一）落实医疗保障行政部门关于网络及信息系统接入吉林省医疗保障信息平台管理的相关决策、部署。

（二）指导定点机构接入医保信息平台，提供必要的技术支撑。

（三）受理、反馈、协调、跟踪、处置定点机构突发网络安全事故、及时汇总报告事件处置情况，向同级医疗保障行政部门汇报突发网络安全事故及处理情况。

（四）开展本地定点机构、申请成为定点的机构信息系统及网络安全检查工作。

 

第三章 机构接入管理

第五条 定点机构及申请成为定点的机构应具有符合医保协议管理要求的信息系统技术和接口标准，实现与医保信息系统有效对接，为参保人员提供直接联网结算。

第六条 定点机构及申请成为定点的机构自行向本地医保经办机构合作的基础网络运营商采购医保网络线路服务，并确保接入医保网络的设备与互联网物理隔离，与其它外部网络联网时采用有效的安全及隔离措施。禁止医保线路与非医保线路共用边界设备及安全设备。各级医保经办机构不得收取费用及指定网络服务商。

第七条 定点机构及申请成为定点的机构自主选择满足医保业务及接口要求的医保服务软件，并对接入医保的信息系统的安全性负责。禁止使用部署在互联网上的医保服务软件。各级医保经办机构不得收取费用及指定软件服务商。

第八条 定点机构及申请成为定点的机构使用的浏览器（客户端）/服务器架构的医保服务软件，应确保其服务器部署在吉林省内，且在一年内开展过第三等级网络安全等级保护测评。

第九条 申请成为定点的机构，选定网络和服务软件后，向属地医保经办机构申请网络权限及吉林省医保信息平台测试权限，在测试环境下，完成系统适配及测试工作。

第十条 申请成为定点的机构通过评估并签订协议后，属地医保经办机构为其分配吉林省医保信息平台正式权限。未签订协议的，各级医保经办机构及时取消其网络及吉林省医保信息平台测试权限。

 

第四章 网络服务管理

第十一条 具备《中华人民共和国基础电信业务经营许可证》的基础网络运营商，有意愿医保专网接入服务，能严格执行医保网络安全相关管理规定要求的，可向当地市级医保经办机构申请接入医保骨干网络，为定点机构及申请成为定点的机构提供医保网络服务。

第十二条 各地医保经办机构对申请接入的网络运营商相关资质进行审核，满足合作条件的，签订合作协议后准许网络运营商接入。原则上，医保经办机构不应限制符合条件的基础网络运营商接入。

第十三条 医保网络运营商接入医保骨干网需要严格执行国家医疗保障局《医疗保障核心业务区网络安全接入规范》（医保网信办〔2019〕3号）要求。

第十四条 医保网络服务商应根据各地医保经办机构要求，向定点机构及申请成为定点的机构提供基于点对点有线专线线路、有线VPN线路或无线VPDN线路的医保网络服务，其中有线VPN线路仅限于基于专网的VPN，禁止提供基于互联网VPN方式接入医保网络。

第十五条 各级医保部门应加强医保网络建设，完善医保网络接入准入管理。定点机构、申请成为定点的机构及第三方医保服务软件服务器接入医保网络，需由医保经办机构分配IP或进行授权。医保网络服务商不得将医保网络延伸到未经医保部门允许的外部机构或个人使用。

第十六条 各地医保经办机构对本地医保网络服务商进行管理，对服务情况开展监督评价。

 

第五章 第三方接入管理

第十七条 各地医保经办机构应允许符合条件的第三方医保服务软件服务器接入医保网络、对接吉林省医保信息平台，向医保定点机构提供软件服务。

第十八条 申请接入的第三方医保服务软件服务商，应具备软件开发、软件服务相关资质，且至少与一家定点机构及申请成为定点的机构达成合作意向，其医保服务软件应满足医保定点机构开展医保服务的各项功能需要。

第十九条 申请接入的第三方医保服务软件服务商，应将医保服务软件的服务器端部署在吉林省内，通过医保专线网络接入医保网络，具有一年内公安部门颁发的《信息系统安全等级保护备案证明》，且备案等级为第三级，其软件系统功能应按照医保部门的要求进行调整。

第二十条 医保服务软件的服务器接入医保网络、对接吉林省医保信息平台需要向属地医保经办机构提出书面申请，同时将企业资质信息、软件功能、网络拓扑、系统安全证明、保密承诺，与定点机构及申请成为定点的机构的合作协议等材料作为附件。

第二十一条 各地医保经办机构收到材料后，10个工作日内组织对申请接入的材料进行审核评估，评估通过后，分配网络及吉林省医保信息平台测试权限，测试完成后其辖区内定点机构可使用该医保服务软件开展医保服务。

第二十二条 第三方医保服务软件服务商在吉林省内跨地区提供服务的，需要向服务地区医保经办机构分别提出申请。

第二十三条 第三方医保服务软件服务商应每年对其医保服务信息系统开展一次第三级网络安全等级评测，向公安部门备案后，将测评报告及备案证书报送属地医保经办机构备案。未按时向医保经办机构备案的，暂停或限制其与医保网络及医保信息平台的对接。

第二十四条 第三方医保服务软件服务商应定期对信息系统进行安全检测，及时排查存在的风险，确保网络和系统安全，不得将信息系统采用的关键安全技术措施和核心安全功能设计、拓扑结构对外公开，不得对外泄露、传输公民就医、购药等信息数据。其工作人员应当严格遵守相关安全、保密规定与操作规程。发生重大网络安全事故及造成个人信息泄露的，医保经办机构应及时切断其与医保网络之间的连接。

第二十五条 第三方医保服务软件服务商应及时对医保经办机构发现的问题与漏洞进行排查整改，对于整改不及时或拒不整改的，暂停或限制其与医保信息平台的对接。

 

第六章 安全管理

第二十六条 定点机构及申请成为定点的机构应当指定部门及专人负责医保信息管理，明确工作职责，合理设置管理权限。

第二十七条 定点机构及申请成为定点的机构采购及使用第三方提供的医保服务软件，应当严格按照规定与服务提供者签订安全保密协议,明确安全和保密义务与责任。

第二十八条 定点机构及申请成为定点的机构不得延伸其他机构的终端设备连接医保信息平台。定点机构不得将不具备医保定点资质的分支机构或其他机构的费用纳入本机构结算。相关机构应严格遵守数据安全有关制度，保护参保人员个人信息，保障医保数据安全。

第二十九条 使用医保网络的计算机，应遵循“专机专用”原则，严禁“一机双网”或“一机多用”等方式在医保专网和互联网间切换操作。严格管理使用移动存储介质，严禁交叉互用。不得通过插拔网线、设置路由表等方式将连接医保网络的计算机及相关设备同时或分时接入互联网，不得使用远程控制计算机的软硬件。

第三十条 定点机构及申请成为定点的机构不得在接入医保网络的计算机上使用、运行来历不明的计算机软件和信息载体。严禁下载、传播和使用黑客软件。不得利用医保专用计算机实施观看影碟、玩游戏等与医保无关的操作。

第三十一条 传输的医疗保障相关业务数据和个人权益数据，应对数据采取加密方式，防止医保数据泄露或非法破解。定点机构及申请成为定点的机构应加强计算机密码和业务软件口令管理，不得将医保信息系统、网络或接入医保信息平台的密钥、账号、密码等信息转借、转租、出售、赠予其他机构使用，或与其他机构合用，因密码或口令保管不善造成的后果由定点机构或申请成为定点的机构自行承担。

第三十二条 定点机构及申请成为定点的机构应当自行负责所使用医保网络计算机的安全防范工作，对接入医保网络的计算机定期进行安全漏洞扫描和病毒查杀，及时更新系统补丁程序，定点机构应禁止将从互联网未经处理的任何数据资料拷贝到专网终端计算机或在专网终端计算机上进行读取操作，防范信息泄露。

第三十三条 各级医保经办机构负责监测本级定点机构及申请成为定点的机构网络系统安全运行情况，可根据情况开展实地检查。发现定点机构接入设备或网络发生风险时，可视风险严重程度切断网络连接，直至整改完毕确认后方可再次接入医保网络。

 

第七章  网络安全事件应急响应

第三十四条 定点机构、申请成为定点的机构、医保网络运营商、第三方软件开发商，应该对黑客攻击、病毒处理或其他破坏性攻击采取紧急处置措施，将设备从网络中隔离出来，并对数据进行备份。信息系统出现突发网络安全事件时，应立即上报属地医保经办机构，并积极协调相关技术人员实施先期处置，控制事态进一步发展，并做好相应记录，根据事态的发生情况，及时向医保经办机构报告。

第三十五条 遇网络突发事件，各级医保经办机构判定突发事件的等级，启动相应的应急预案。重大网络安全事件的处理结果需要及时报告本级和上级医疗保障行政部门；较大网络安全事件的处理结果需要在1小时内报告本级医疗保障行政部门；一般网络安全事件的处理结果需要在2小时内报告本级医疗保障行政部门。

第三十六条 突发事件处置工作结束后，应将相关文件、资料及时归档管理，形成总结报告，配合有关内部审计工作。编写总结报告时应遵循以下原则：

（一）及时性。报告时间应及时，不拖延汇报。

（二）准确性。报告内容客观真实，不主观臆断。

（三）规范性。格式规范，内容清晰有条。

 

第八章  责任和处理

第三十七条 医保部门、定点机构、申请成为定点的机构、医保网络服务商、医保服务软件服务商均须遵守国家有关法律法规，不得利用医保网络和信息系统从事任何违法违规活动，不得危害网络和信息安全，不得在医保信息系统所包含的终端设备、服务器、存储设备及移动介质中，制作、复制、存储、传输和发布对党、国家、政府和人民有害的各种形式的信息。

第三十八条 定点机构及申请成为定点的机构与所选择医保网络及软件服务商发生的协议纠纷，由定点机构与服务商协商解决。

第三十九条 对工作中出现问题造成不良后果的机构要依据相关规定及医保协议进行处理，造成严重后果的要依纪依法问责并移交司法机关。

 

第九章 附则

第四十条 本办法自XXXX年XX月XX日起施行，由吉林省医疗保障局负责解释。