吉林省醫(yī)療保障信息平臺定點機構接入管理辦法（試行）

吉醫(yī)保規(guī)〔2025〕4號
 
　　各市（州）醫(yī)療保障局、長白山管委會醫(yī)療保障局、梅河口市醫(yī)療保障局：
 
　　現將《吉林省醫(yī)療保障信息平臺定點機構接入管理辦法（試行）》（以下簡稱《管理辦法（試行）》）印發(fā)給你們。請各地按照《管理辦法（試行）》要求，于10月底前完成整改。
 
　　吉林省醫(yī)療保障局
 
　　2025年6月6日
 
　　吉林省醫(yī)療保障信息平臺定點機構
 
　　接入管理辦法（試行）
 
　　第一章 總則
 
　　第一條 為規(guī)范定點機構接入吉林省醫(yī)療保障信息平臺管理工作，維護吉林省醫(yī)療保障信息平臺穩(wěn)定與安全，確保醫(yī)療保障業(yè)務正常運行，依據《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》《醫(yī)療機構醫(yī)療保障定點管理暫行辦法》《零售藥店醫(yī)療保障定點管理暫行辦法》《醫(yī)療保障核心業(yè)務區(qū)網絡安全接入規(guī)范》等相關規(guī)定，結合吉林省實際，制定本辦法。
 
　　第二條 本辦法所稱網絡信息安全是指信息系統及網絡的硬件、軟件和系統中的數據受到保護，不受偶然或惡意的原因而遭到破壞、更改、泄露，系統連續(xù)可靠正常地運行，信息服務不中斷。
 
　　第三條 本辦法適用于吉林省醫(yī)療保障定點醫(yī)療機構、定點零售藥店、長期護理保險定點機構（以下簡稱“定點機構”），申請成為吉林省醫(yī)療保障定點醫(yī)療機構、定點零售藥店、長期護理保險定點機構（以下簡稱“申請成為定點的機構”），電信運營商、第三方醫(yī)保服務軟件服務商等接入醫(yī)保網絡及吉林省醫(yī)療保障信息平臺管理工作。
 
　　第二章 組織機構職責
 
　　第四條 各地醫(yī)保經辦機構負責定點機構、申請成為定點的機構、電信運營商和第三方醫(yī)保服務軟件服務商接入吉林省醫(yī)療保障信息平臺工作，主要履行以下職責：
 
　?。ㄒ唬┞鋵嶀t(yī)療保障行政部門關于網絡及信息系統接入吉林省醫(yī)療保障信息平臺管理的相關決策、部署。
 
　?。ǘ┲笇C構接入吉林省醫(yī)療保障信息平臺，提供必要的信息技術支撐。
 
　　（三）受理、反饋、協調、跟蹤、處置定點機構突發(fā)網絡安全事故，向同級醫(yī)療保障行政部門匯報突發(fā)網絡安全事故及處理情況，并根據情形逐級上報。
 
　　（四）開展本地定點機構、申請成為定點的機構信息系統及網絡安全檢查工作。
 
　　第三章 機構接入管理
 
　　第五條 定點機構及申請成為定點的機構應具備符合醫(yī)保協議管理要求的信息系統技術和接口標準，實現與醫(yī)保信息系統有效對接，為參保人員提供直接聯網結算。
 
　　第六條 定點機構及申請成為定點的機構自行選擇與本地醫(yī)保經辦機構合作的電信運營商提供醫(yī)保網絡線路服務，并確保接入醫(yī)保網絡的設備與互聯網物理隔離，與其他外部網絡聯網時采用有效的安全及隔離措施。禁止醫(yī)保線路與非醫(yī)保線路共用邊界設備及安全設備。醫(yī)保經辦機構不得收取費用及指定服務商。
 
　　第七條 定點機構及申請成為定點的機構自主選擇或自行建設滿足醫(yī)保業(yè)務及接口要求的醫(yī)保服務軟件，并對接入醫(yī)保的信息系統的安全性負責。禁止使用部署在互聯網上的醫(yī)保服務軟件。醫(yī)保經辦機構不得收取費用及指定軟件服務商。
 
　　第八條  定點機構及申請成為定點的機構應對自行建設的醫(yī)保服務軟件系統，依法依規(guī)開展等級保護定級、備案、測評、安全建設整改等工作。如使用第三方醫(yī)保服務軟件服務商提供的醫(yī)保服務軟件，應要求其依法依規(guī)開展等級保護相關工作。
 
　　第九條 申請成為定點的機構，選定網絡和服務軟件后，向屬地醫(yī)保經辦機構申請網絡權限，在測試環(huán)境下，完成系統適配及測試工作，測試完成后應及時銷毀測試數據。
 
　　第十條 申請成為定點的機構通過評估并簽訂協議后，屬地醫(yī)保經辦機構為其分配吉林省醫(yī)療保障信息平臺正式權限。未簽訂協議的，醫(yī)保經辦機構應及時取消其網絡權限。
 
　　第四章 網絡服務管理
 
　　第十一條 具備《中華人民共和國基礎電信業(yè)務經營許可證》的電信運營商，有意愿提供醫(yī)保專網接入服務的，可向當地市級醫(yī)保經辦機構申請接入醫(yī)保骨干網絡，為定點機構及申請成為定點的機構提供醫(yī)保網絡服務。
 
　　第十二條 各地醫(yī)保經辦機構應對申請接入的電信運營商進行審核。原則上，醫(yī)保經辦機構不應限制符合條件的電信運營商接入醫(yī)保骨干網絡。
 
　　第十三條 電信運營商接入醫(yī)保骨干網需要嚴格執(zhí)行國家醫(yī)療保障局關于醫(yī)療保障核心業(yè)務區(qū)網絡安全接入規(guī)范的要求。
 
　　第十四條 電信運營商應根據各地醫(yī)保經辦機構要求，向定點機構及申請成為定點的機構提供基于點對點有線專線鏈路、有線VPN鏈路或無線VPDN鏈路的醫(yī)保網絡服務，其中有線VPN鏈路僅限于基于專網的VPN，禁止提供基于互聯網VPN方式接入醫(yī)保網絡。
 
　　第十五條 各地醫(yī)保部門應加強醫(yī)保網絡建設，完善醫(yī)保網絡接入管理。定點機構、申請成為定點的機構、電信運營商及第三方醫(yī)保服務軟件服務器接入醫(yī)保網絡，需由醫(yī)保經辦機構分配IP或進行授權。電信運營商不得將醫(yī)保網絡延伸到未經醫(yī)保部門允許的外部機構或個人使用。
 
　　第十六條 各地醫(yī)保經辦機構對接入本地定點機構的電信運營商網絡接入進行監(jiān)督指導。
 
　　第五章 第三方接入管理
 
　　第十七條 各地醫(yī)保經辦機構應允許符合條件的第三方醫(yī)保服務軟件服務器接入醫(yī)保網絡、對接吉林省醫(yī)療保障信息平臺，向醫(yī)保定點機構提供軟件服務。
 
　　第十八條 申請接入的第三方醫(yī)保服務軟件服務商，應具備軟件開發(fā)、軟件服務相關資質，且至少與一家定點機構及申請成為定點的機構達成合作意向，其醫(yī)保服務軟件應滿足醫(yī)保定點機構開展醫(yī)保服務的各項功能需要，并能夠按照要求進行調整。
 
　　第十九條 申請接入的第三方醫(yī)保服務軟件服務商，應將醫(yī)保服務軟件的服務器端部署在吉林省內，通過醫(yī)保專線網絡接入吉林省醫(yī)療保障信息平臺，并依法依規(guī)開展等級保護定級、備案、測評、安全建設整改等工作。
 
　　第二十條 第三方醫(yī)保服務軟件的服務器接入醫(yī)保網絡、對接吉林省醫(yī)療保障信息平臺需要向屬地醫(yī)保經辦機構提出書面申請，同時將企業(yè)資質信息、軟件功能、網絡拓撲、系統安全證明、保密承諾，與定點機構及申請成為定點的機構的合作協議，依據相關法律法規(guī)開展的等級保護相關材料等作為附件。
 
　　第二十一條 各地醫(yī)保經辦機構收到材料后，應在10個工作日內組織對申請接入的材料進行審核評估，評估通過后，分配網絡及吉林省醫(yī)療保障信息平臺測試權限。
 
　　第二十二條 第三方醫(yī)保服務軟件服務商在吉林省內跨統籌區(qū)提供服務的，需要分別向各統籌區(qū)醫(yī)保經辦機構提出申請。
 
　　第二十三條 第三方醫(yī)保服務軟件服務商應將依照相關法律法規(guī)開展的醫(yī)保服務軟件服務器網絡安全等級測評情況及時向屬地醫(yī)保經辦機構進行備案。
 
　　第二十四條 第三方醫(yī)保服務軟件服務商應及時對醫(yī)保部門發(fā)現的問題與漏洞進行排查整改，對于整改不及時或拒不整改的，應暫?；蚪K止其接入吉林省醫(yī)療保障信息平臺。
 
　　第六章 安全管理及應急響應
 
　　第二十五條 定點機構、申請成為定點的機構、電信運營商、第三方醫(yī)保服務軟件服務商應當嚴格遵守吉林省醫(yī)療保障信息平臺相關安全、保密等規(guī)定，建立信息管理臺賬，制定安全管理制度并嚴格執(zhí)行。
 
　　第二十六條 定點機構及申請成為定點的機構不得延伸使用其他機構的終端設備連接吉林省醫(yī)療保障信息平臺。定點機構不得將不具備醫(yī)保定點協議的分支機構或其他機構的費用納入本機構結算。
 
　　第二十七條 定點機構及申請成為定點的機構使用第三方醫(yī)保服務軟件，應當嚴格按照規(guī)定與服務商簽訂安全保密協議，明確安全和保密義務與責任。第三方醫(yī)保服務軟件服務商應定期對軟件系統進行安全檢測，及時排查存在的風險，確保網絡和系統安全。
 
　　第二十八條 使用醫(yī)保網絡的計算機，應遵循“專機專用”原則，嚴禁“一機雙網”或“一機多用”等方式在醫(yī)保專網和互聯網間切換操作。嚴格管理使用移動存儲介質，嚴禁交叉互用。不得通過插拔網線、設置路由表等方式將連接醫(yī)保網絡的計算機及相關設備同時或分時接入互聯網，不得使用遠程控制計算機的軟硬件。
 
　　第二十九條 定點機構及申請成為定點的機構不得在接入醫(yī)保網絡的計算機上使用、運行來歷不明的計算機軟件和信息載體。
 
　　第三十條 定點機構及申請成為定點的機構應加強計算機密碼和業(yè)務軟件口令管理，不得將醫(yī)保信息系統、網絡或接入吉林省醫(yī)療保障信息平臺的密鑰、賬號、密碼等信息轉借、轉租、出售、贈予其他機構使用，或與其他機構合用，因密碼或口令保管不善造成損失的，將依據相關規(guī)定追究責任。
 
　　第三十一條 定點機構及申請成為定點的機構應當自行負責所使用醫(yī)保網絡計算機的安全防范工作，對接入醫(yī)保網絡的計算機定期進行安全漏洞掃描和病毒查殺，及時更新系統補丁程序。
 
　　第三十二條 相關機構應嚴格遵守數據安全有關制度，保護參保人員個人信息，保障醫(yī)保數據安全。傳輸的醫(yī)療保障相關業(yè)務數據和個人權益數據，應對數據采取加密方式，防止醫(yī)保數據泄露或非法破解。禁止將從互聯網未經處理的任何數據資料拷貝到專網終端計算機或在專網終端計算機上進行讀取操作，防范信息泄露。
 
　　第三十三條 任何機構不得將醫(yī)保信息系統采用的關鍵安全技術措施和核心安全功能設計、拓撲結構對外公開，不得對外泄露、傳輸公民就醫(yī)、購藥等信息數據。
 
　　第三十四條 定點機構、申請成為定點的機構、電信運營商、第三方醫(yī)保服務軟件服務商要建立應急預案制度，出現黑客攻擊、感染病毒等突發(fā)網絡安全事件時，應及時處理并立即報告屬地醫(yī)保經辦機構，做好相應記錄。及時對醫(yī)保部門發(fā)現的安全風險進行排查處理，并將結果報告至醫(yī)保經辦機構。
 
　　第三十五條 各地醫(yī)保經辦機構應建立突發(fā)事件應急預案，開展應急演練，實行緊急情況報告制度。發(fā)生斷網情況時，應告知責任單位出具故障報告。發(fā)生網絡安全事故及造成個人信息泄露的，應及時切斷其與醫(yī)保網絡之間的連接，并立即采取有效措施防止風險擴散。
 
　　第三十六條 突發(fā)事件處置工作結束后，各相關機構應遵循及時、準確、規(guī)范的原則，形成總結報告。報告內容應包括事件起因、處置過程、影響范圍、整改措施等，并根據情形逐級上報。同時，相關機構應對事件處置過程中產生的文件、日志、報告等資料進行歸檔管理，確保事件處理過程可追溯、可審計，為后續(xù)網絡安全整改提供經驗依據。
 
　　第七章  責任和處理
 
　　第三十七條 醫(yī)保部門、定點機構、申請成為定點的機構、電信運營商、第三方醫(yī)保服務軟件服務商均須遵守國家有關法律法規(guī)，不得利用醫(yī)保網絡和信息系統從事任何違法違規(guī)活動，不得危害網絡和信息安全，不得在醫(yī)保信息系統所包含的終端設備、服務器、存儲設備及移動介質中，制作、復制、存儲、傳輸和發(fā)布對黨、國家、政府和人民有害的各種形式的信息。
 
　　第三十八條 定點機構及申請成為定點的機構與所選擇的電信運營商及第三方醫(yī)保服務軟件服務商發(fā)生的協議糾紛，由定點機構與其自行協商解決。
 
　　第三十九條 各地醫(yī)保經辦機構負責監(jiān)測本地定點機構及申請成為定點的機構網絡系統安全運行情況，根據情況開展檢查。對工作中出現問題造成不良后果的機構依據醫(yī)保協議或其他相關規(guī)定進行處理，造成嚴重后果的要依紀依法問責并移交司法機關。
 
　　第八章 附則
 
　　第四十條 本辦法自發(fā)布之日起施行，由吉林省醫(yī)療保障局負責解釋。