02医疗保障局网络安全和信息化建设项目需求管理办法

国家医疗保障局网络安全和信息化建设项目需求管理办法第一章 总则第一条 为规范国家医疗保障局网络安全和信息化建设的需求管理，提高项目建设规范化、科学化水平，确保项目建设质量，根据国家有关技术标准和国家医疗保障局网络安全和信息化建设管理办法，结合国家医疗保障局工作实际，制定本办法。第二条 本办法所称需求管理是指对医疗保障网络安全和信息化项目的需求提出、需求方案制定、需求变更控制等工作进行管理的过程。第三条 本办法适用于纳入国家医疗保障局统一组织管理的网络安全和信息化项目。第四条 国家医疗保障局网络安全和信息化领导小组办公室（以下简称局网信办）负责组织局内各单位提出项目需求。第五条 项目需求的提出和方案的编制应遵循完整性、准确性、适用性、前瞻性原则，明确业务目标、管理规则和操作流程。第二章 需求提出第六条 信息系统新建、升级改造和运行维护业务需求由局内各单位提出，并编制业务需求方案，经业务归口单位主要负责同志审定后提交规财法规司。业务需求涉及两个或两个以上单位时，应明确牵头单位，由牵头单位负责提出需求，并编制业务需求方案。第七条 规财法规司根据局内各单位提出的业务需求，统一编制服务器、网络安全和基础设施等基础信息资源需求方案。第八条 地方医保部门共性的（全国普遍适用的）、需要全国统一实施的网络安全和信息化建设需求，由局内相关业务领域归口单位统一收集汇总并牵头编制需求方案。第九条 建设内容复杂、涉及业务广的项目，可视情况开展专家论证，需求论证由需求提出单位自行组织，提交需求方案时附上专家论证意见。第十条 局内各单位提出需求时，应按照信息系统整合共享要求，统筹规划本单位内部业务需求，对业务相近、功能类似的业务需求进行归类整合一并提出。最终由局网信办根据规财法规司建议进行局内各单位业务需求整合。第十一条 信息系统新建和升级改造需求方案应包括但不限于以下内容：业务背景、业务用户、数据范围及数据量、数据统计及分析、业务流程、业务表单、业务规则、业务间衔接控制关系、安全保密、等级保护和安全管理需求，以及其他性能容量、易用性等非功能需求等内容（模板详见附件一、附件二）；信息系统运行维护需求包括但不限于以下内容：业务概述、系统建设及应用情况、服务范围、服务对象和服务地点、服务期限和服务方式等内容（模板详见附件三）。第三章 需求审核第十二条 规财法规司组织对业务需求方案进行必要性和可行性、合规性和完整性审核，必要时提请局网信办组织集中会审，并将审核意见反馈给需求提出单位。第十三条 需求提出单位根据审核意见，在5个工作日内修改完善业务需求方案，经单位负责同志审定后提交规财法规司。第十四条 业务需求方案审核过程中，业务归口单位与规财法规司发生分歧，协商后仍未达成一致意见的，由规财法规司汇总双方意见，提请局网信办研究决定，必要时提交局网信领导小组研究决定。第十五条 需求方案是项目立项和年度计划编制的重要依据。审核通过的业务需求方案，可直接作为项目前期需求文档和项目政府采购文件的组成部分。第四章 需求变更管理第十六条 需求变更是指对形成的需求方案中的部分内容进行增减、取消和调整的过程。第十七条 需求提出单位可根据业务管理要求的变化，向规财法规司书面提出需求变更申请，详细说明变更理由及具体内容。第十八条 规财法规司组织审核项目需求变更申请，将审核结果反馈申请单位，并调整需求方案相关内容，更新相关技术文档或政府采购文件。第五章 附则第十九条 本办法由局网信办负责解释。第二十条 本办法自印发之日起施行。4附件一：医保信息系统新建类业务需求方案模板为了便于编制医保信息系统新建类业务需求方案，我们研究制定了新建类业务需求方案模板，现将编制业务需求方案的有关要求说明如下：1、业务需求方案是新建项目立项的基础文档，需认真填写，确保内容详细、完整、准确。2、模板中方括号内的文字为填报说明。3、流程图可采用常用的格式，需清晰反映各业务的具体流程。7类型：新建编号： 【业务名称】业务需求方案XXXX信息系统业务需求登记表填报单位： 信息系统名称业务重要性（一般、重要、非常重要）业务需求提交人提交日期牵头业务单位负责人意见： 年 月 日需求概述：规财法规司意见审核人审核日期规财法规司负责人意见： 年 月 日审核意见：计划工期个工作日开始时间计划完成时间领导意见业务单位分管局领导意见：年 月 日网信办领导意见：年 月 日局长审定： 年 月 日1、业务重要性审批要求：重要性为“一般”、 “重要”的需求，由业务单位分管局领导与网信办领导审批，重要性为“非常重要”的需求由业务单位分管领导、网信办领导审批后，报局长审定；2、填写顺序：牵头业务单位、规财法规司。目录XXXX信息系统业务需求登记表61概述11.1 业务背景11.2 业务目标11.3 业务信息化实现的必要性11.4 业务概述11.5 业务用户及用户职责11.6 数据范围及数据量估算11.7 投入使用的时间计划11.8 业务术语及定义12 业务需求22.1 业务描述22.1.1 22.1.1.1 流程图22.1.1.2 流程描述32.1.1.3 业务规则32.1.2 42.1.2.1 流程图42.1.2.2 流程描述42.1.2.3 业务规则42.2 业务表单42.3 业务间关系42.3.1 子业务间关系42.3.2 与外部业务间关系43 信息共享43.1 所需要的信息资源53.2 可提供的信息资源54 安全定级建议55 其他7XXXX信息系统业务需求登记表11概述11.1业务背景11.2业务目标11.3系统的前期建设情况和应用现状11.4系统升级改造的必要性11.5业务概述11.6业务用户及用户职责11.7数据范围及数据量估算11.8投入使用的时间计划21.9业务术语及定义22业务需求22.1业务描述22.1.122.1.1.1流程图22.1.1.2流程描述42.1.1.3业务规则42.1.242.1.2.1流程图42.1.2.2流程描述42.1.2.3业务规则42.2业务表单42.3业务间关系52.3.1子业务间关系52.3.2与外部业务间关系53信息共享53.1所需要的信息资源53.2可提供的信息资源54安全定级建议65其他8XXXX信息系统业务需求登记表101 概述11.1业务概述11.2系统的建设情况应用现状11.3系统运行维护的必要性12 服务对象和服务地点13 运行维护的主要工作内容14 运行维护期限和服务方式14.1服务期限14.2服务方式15 其他21概述1.1 业务背景概要描述本需求的业务背景和起源。1.2 业务目标详细描述业务上预期要达到的目标。1.3 业务信息化实现的必要性从业务信息化实现的意义、重要性和主要原因等方面，详细描述业务信息化实现的必要性。1.4 业务概述概要描述业务的整体内容。1.5 业务用户及用户职责详细描述业务用户的范围、类型、数量及各方用户的工作职责等内容。1.6 数据范围及数据量估算详细描述业务涉及到的数据范围，主要包括：包含哪些内部数据或外部数据，数据的时间范围，数据的来源。估算预测业务数据量，如年度处理的总业务数据量，业务高峰期的数据量峰值等。1.7 投入使用的时间计划列出业务信息化投入使用的时间计划。1.8 业务术语及定义列出本文档所涉及的业务术语及相关定义。业务术语定义2 业务需求本章将业务划分成粒度合适的子业务，详细描述各子业务的具体业务需求。2.1 业务描述2.1.1 概要描述该项子业务的整体内容。2.1.1.1 流程图以流程图形式描述该项子业务的操作流程和涉及到的职能部门及岗位。例如：个人待遇审核业务流程图2.1.1.2 流程描述以文字形式详细描述流程图中的业务处理过程。处理过程信息包括：各流程环节所涉及到的职能部门、岗位，业务的操作处理，所需的业务报表单据，所产生的业务报表单据，以及该业务所受约束条件等内容。2.1.1.3 业务规则详细描述该项子业务所涉及的所有业务规则。2.1.2 2.1.2.1 流程图2.1.2.2 流程描述2.1.2.3 业务规则2.2 业务表单以下列表格形式描述业务中所涉及各业务单据凭证的相关信息。序号业务表单名称业务表单用途表单生成的业务环节122.3 业务间关系以文字、图形的方式详细描述业务相互间贯通衔接、数据交换的内容和频度等。2.3.1 子业务间关系以文字、图形的方式详细描述各子业务之间的衔接和数据关系，相互间数据交换的内容（主要数据项、数据口径）和频度、方式等。2.3.2 与外部业务间关系以文字、图形的方式详细描述本业务与外部业务间的衔接和数据关系，包括数据交换的内容（主要数据项、数据口径）和频度、方式等。3 信息共享本章将业务信息共享内容划分成所需要的信息资源和可提供的信息资源两部分，根据实际情况，详细描述相关内容。3.1 所需要的信息资源详细描述业务所需要的局内及局外单位的相关信息资源，包括所需的资源名称、资源提供方（局内/局外单位）、主要用途、需求提出单位等。例如：序号所需的信息资源名称资源提供方（局内/局外单位）信息资源主要用途需求提出单位1机关事业单位工资统计信息人社部机关事业单位工资政策研究和经费支出测算XX司2事业单位改革相关信息系统中央编办事业单位改革信息查询研究3社会组织相关信息民政部社会组织相关信息查询研究3.2 可提供的信息资源按照“共享为常态、不共享为例外”的原则，详细描述业务可提供给局内及局外单位的信息资源，包括可提供的资源名称、资源摘要、共享类型（无条件共享/有条件共享）、共享条件、是否向社会开放等。其中“共享条件”为“有条件共享”的，请填写相应共享条件和共享范围。例如：序号可提供的信息资源名称信息资源提供方信息资源摘要共享属性是否向社会开放共享类型共享条件1医疗保障基金情况简报XX司对全国医疗保障类型、分地区医疗保障基金数据的汇总和简要分析无条件共享/有条件共享若是“有条件共享”的，请填写相应共享条件和共享范围是4 安全定级建议包括是否处理涉密信息，密级程度以及非涉密业务安全等级。如果存在或处理涉密信息，填写表1涉密业务安全定级建议表；否则，填写表2非涉密业务安全定级建议表，如下：表1 涉密业务安全定级建议表业务信息密级业务信息的最高密级为：秘密级 机密级 绝密级 备 注表2 非涉密业务安全定级建议表业务信息分析及业务信息安全保护等级确定1、业务信息受到破坏时所侵害客体的确定说明业务信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。2、业务信息受到破坏后对三个客体的侵害程度的确定说明业务信息受到破坏后，会对客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。3、业务信息安全等级的确定依据业务信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为：1级 2级 3级 4级 5级承载该业务的系统服务分析及安全等级确定1、承载该业务的系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。2、承载该业务的系统服务受到破坏后对侵害客体的侵害程度的确定说明当承载该业务的系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。3、安全等级的确定依据承载该业务的系统服务受到破坏时所侵害的客体以及侵害程度确定业务服务安全等级确定为：1级 2级 3级 4级 5级安全保护等级确定安全保护等级由业务信息安全等级和承载该业务的系统服务安全等级较高者决定，该业务安全保护等级建议为：1级 2级 3级 4级 5级业务预部署网络外网 业务专网 涉密网备注非涉密业务安全定级建议填写参考如下：第一级，业务信息或承载该业务的系统服务受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，业务信息或承载该业务的系统服务受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，业务信息或承载该业务的系统服务受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，业务信息或承载该业务的系统服务受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，业务信息或承载该业务的系统服务受到破坏后，会对国家安全造成特别严重损害。非涉密业务安全定级一般为二级或三级。5 其他描述其他需要说明的内容。附件二：医保信息系统升级改造类业务需求方案模板为了便于编制医保信息系统升级改造类的业务需求方案，我们研究制定了升级改造类业务需求方案模板，现将编制业务需求方案的有关要求说明如下：1、业务需求方案是升级改造项目立项的基础文档，需认真填写，确保内容详细、完整、准确。2、模板中方括号内的文字为填报说明。3、本需求方案中，主要描述新增和变更的业务需求，其中变更的业务需求除按相关要求填写外，还需具体说明与原有需求相比在哪些方面发生变化。4、流程图可采用常用的格式，需清晰反映各业务的具体流程。8类型：升级改造编号： 【业务名称】业务需求方案XXXX信息系统业务需求登记表填报单位： 信息系统名称业务重要性（一般、重要、非常重要）业务需求提交人提交日期牵头业务单位负责人意见： 年 月 日需求概述：规财法规司意见审核人审核日期规财法规司负责人意见： 年 月 日审核意见：计划工期个工作日开始时间计划完成时间领导意见业务单位分管局领导意见：年 月 日网信办领导意见：年 月 日局长审定： 年 月 日1、业务重要性审批要求：重要性为“一般”、 “重要”的需求，由业务单位分管局领导与网信办领导审批，重要性为“非常重要”的需求由业务单位分管领导、网信办领导审批后，报局长审定；2、填写顺序：牵头业务单位、规财法规司。目录XXXX信息系统业务需求登记表61概述11.1 业务背景11.2 业务目标11.3 业务信息化实现的必要性11.4 业务概述11.5 业务用户及用户职责11.6 数据范围及数据量估算11.7 投入使用的时间计划11.8 业务术语及定义12 业务需求22.1 业务描述22.1.1 22.1.1.1 流程图22.1.1.2 流程描述32.1.1.3 业务规则32.1.2 42.1.2.1 流程图42.1.2.2 流程描述42.1.2.3 业务规则42.2 业务表单42.3 业务间关系42.3.1 子业务间关系42.3.2 与外部业务间关系43 信息共享43.1 所需要的信息资源53.2 可提供的信息资源54 安全定级建议55 其他7XXXX信息系统业务需求登记表11概述11.1业务背景11.2业务目标11.3系统的前期建设情况和应用现状11.4系统升级改造的必要性11.5业务概述11.6业务用户及用户职责11.7数据范围及数据量估算11.8投入使用的时间计划21.9业务术语及定义22业务需求22.1业务描述22.1.122.1.1.1流程图22.1.1.2流程描述42.1.1.3业务规则42.1.242.1.2.1流程图42.1.2.2流程描述42.1.2.3业务规则42.2业务表单42.3业务间关系52.3.1子业务间关系52.3.2与外部业务间关系53信息共享53.1所需要的信息资源53.2可提供的信息资源54安全定级建议65其他8XXXX信息系统业务需求登记表101 概述11.1业务概述11.2系统的建设情况应用现状11.3系统运行维护的必要性12 服务对象和服务地点13 运行维护的主要工作内容14 运行维护期限和服务方式14.1服务期限14.2服务方式15 其他21 概述1.1 业务背景概要描述本需求的业务背景和起源。1.2 业务目标详细描述业务上预期要达到的目标。1.3 系统的前期建设情况和应用现状详细描述系统的前期建设情况和应用现状。1.4 系统升级改造的必要性 从现有系统存在的问题和差距、新的业务要求、系统升级改造的意义及重要性等方面，详细描述系统升级改造的必要性。1.5 业务概述 概要描述业务的整体内容。1.6 业务用户及用户职责详细描述业务用户的范围、类型、数量及各方用户的工作职责等内容，同时说明与原有相比在业务用户方面的变化情况。1.7 数据范围及数据量估算详细描述业务涉及到的数据范围，主要包括：包含哪些内部数据或外部数据，数据的时间范围，数据的来源。估算预测业务数据量，如年度处理的总业务数据量，业务高峰期的数据量峰值等。同时说明与原有相比在数据范围和数据量方面的变化情况。1.8 投入使用的时间计划列出业务信息化投入使用的时间计划。1.9 业务术语及定义列出本文档所涉及的业务术语及相关定义。业务术语定义2 业务需求本章将新增和变更业务划分成粒度合适的子业务，详细描述各子业务的具体业务需求。2.1 业务描述2.1.1 概要描述该项子业务的整体内容。只描述新增和变更的业务，需注明是新增或变更业务。2.1.1.1 流程图以流程图形式描述该项子业务的操作流程和涉及到的职能部门及岗位。只描述新增和变更的业务，需注明是新增或变更业务。例如：异地就医预付金收付款业务流程图（新增）2.1.1.2 流程描述以文字形式详细描述流程图中的业务处理过程。处理过程信息包括：各流程环节所涉及到的职能部门、岗位，业务的操作处理，所需的业务报表单据，所产生的业务报表单据，以及该业务所受约束条件等内容。只描述新增和变更的业务，需注明是新增或变更业务，其中变更业务还需具体说明与原有业务、原有功能相比在哪些方面发生变化。2.1.1.3 业务规则详细描述该项子业务所涉及的业务规则。需注明是新增或变更的业务规则，其中变更的业务规则还需具体说明与原有规则相比在哪些方面发生变化。2.1.2 2.1.2.1 流程图2.1.2.2 流程描述2.1.2.3 业务规则2.2 业务表单以下列表格形式描述上述业务中所涉及新增和变更业务单据凭证的相关信息。需注明是新增或变更的业务表单。 序号业务表单名称业务表单用途表单生成的业务环节1例如：异地就医汇总清算额度通知单（新增）22.3 业务间关系以文字、图形的方式详细描述业务相互间贯通衔接、数据交换的内容和频度等。2.3.1 子业务间关系以文字、图形的方式详细描述各子业务之间的衔接和数据关系，相互间数据交换的内容（主要数据项、数据口径）和频度、方式等。2.3.2 与外部业务间关系以文字、图形的方式详细描述本业务与外部业务间的衔接和数据关系，包括数据交换的内容（主要数据项、数据口径）和频度、方式等。3 信息共享本章将业务信息共享内容划分成所需要的信息资源和可提供的信息资源两部分，根据实际情况，详细描述相关内容。3.1 所需要的信息资源详细描述业务所需要的局内及局外单位的相关信息资源，包括所需的资源名称、资源提供方（局内/局外单位）、主要用途、需求提出单位等。例如：序号所需的信息资源名称资源提供方（局内/局外单位）信息资源主要用途需求提出单位1机关事业单位工资统计信息人社部机关事业单位工资政策研究和经费支出测算XX司2事业单位改革相关信息系统中央编办事业单位改革信息查询研究3社会组织相关信息民政部社会组织相关信息查询研究3.2 可提供的信息资源按照“共享为常态、不共享为例外”的原则，详细描述业务可提供给局内及局外单位的信息资源，包括可提供的资源名称、资源摘要、共享类型（无条件共享/有条件共享）、共享条件、是否向社会开放等。其中“共享条件”为“有条件共享”的，请填写相应共享条件和共享范围。例如：序号可提供的信息资源名称信息资源提供方信息资源摘要共享属性是否向社会开放共享类型共享条件1医疗保障情况简报XX司对全国医疗保障类型、分地区医疗保障数据的汇总和简要分析无条件共享/有条件共享若是“有条件共享”的，请填写相应共享条件和共享范围是4 安全定级建议本次升级改造业务是否影响当前对应系统的安全等级定级，如无影响，请确认；如有影响，则应填写如下表1或表2信息内容，提出新的业务安全等级定级建议。安全等级定级不变 安全等级定级改变 （请填写以下内容） 包括是否处理涉密信息，密级程度以及非涉密业务安全等级。如果存在或处理涉密信息，填写表1涉密业务安全定级建议表；否则，填写表2非涉密业务安全定级建议表，如下：表1 涉密业务安全定级建议表业务信息密级业务信息的最高密级为：秘密级 机密级 绝密级 备注表2 非涉密业务安全定级建议表业务信息分析及业务信息安全保护等级确定1、业务信息受到破坏时所侵害客体的确定说明业务信息受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。2、业务信息受到破坏后对三个客体的侵害程度的确定说明业务信息受到破坏后，会对客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。3、业务信息安全等级的确定依据业务信息受到破坏时所侵害的客体以及侵害程度，确定业务信息安全等级为：1级 2级 3级 4级 5级承载该业务的系统服务分析及安全等级确定1、承载该业务的系统服务受到破坏时所侵害客体的确定说明系统服务受到破坏时侵害的客体是什么，即对三个客体（国家安全；社会秩序和公众利益；公民、法人和其他组织的合法权益）中的哪些客体造成侵害。2、承载该业务的系统服务受到破坏后对侵害客体的侵害程度的确定说明当承载该业务的系统服务受到破坏后，会对侵害客体造成什么程度的侵害，即说明是一般损害、严重损害还是特别严重损害。3、安全等级的确定依据承载该业务的系统服务受到破坏时所侵害的客体以及侵害程度确定业务服务安全等级确定为：1级 2级 3级 4级 5级安全保护等级确定安全保护等级由业务信息安全等级和承载该业务的系统服务安全等级较高者决定，该业务安全保护等级建议为：1级 2级 3级 4级 5级业务预部署网络外网 业务专网 涉密网备注非涉密业务安全定级建议填写参考如下：第一级，业务信息或承载该业务的系统服务受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，业务信息或承载该业务的系统服务受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，业务信息或承载该业务的系统服务受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第四级，业务信息或承载该业务的系统服务受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，业务信息或承载该业务的系统服务受到破坏后，会对国家安全造成特别严重损害。非涉密业务安全定级一般为二级或三级。5 其他描述其他需要说明的内容。附件三：医保信息系统运行维护类业务需求方案模板为了便于编制医保信息系统运行维护类的业务需求方案，我们研究制定了运行维护类业务需求方案模板，现将编制业务需求方案的有关要求说明如下：1、业务需求方案是运行维护项目立项的基础文档，需认真填写，确保内容详细、完整、准确。2、模板中方括号内的文字为填报说明。2类型：运行维护编号：【业务名称】业务需求方案XXXX信息系统业务需求登记表填报单位： 信息系统名称业务重要性（一般、重要、非常重要）业务需求提交人提交日期牵头业务单位负责人意见： 年 月 日需求概述：规财法规司意见审核人审核日期规财法规司负责人意见： 年 月 日审核意见：计划工期个工作日开始时间计划完成时间领导意见业务单位分管局领导意见：年 月 日网信办领导意见：年 月 日局长审定： 年 月 日1、业务重要性审批要求：重要性为