出生缺陷信息安全制度

出生缺陷信息安全制度一、出生缺陷信息安全制度

第一章总则

第一条为规范出生缺陷信息的管理，保障出生缺陷信息的安全与保密，提高出生缺陷防治工作水平，根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》及相关法律法规，制定本制度。

第二条本制度适用于各级卫生健康行政部门、医疗机构、科研院所等涉及出生缺陷信息收集、存储、使用、传输、销毁等活动的单位及人员。

第三条出生缺陷信息是指与出生缺陷相关的个人身份信息、健康信息、遗传信息、治疗信息等，包括但不限于孕妇基本信息、产前筛查信息、产前诊断信息、新生儿出生缺陷信息、出生缺陷病例信息等。

第四条出现缺陷信息的管理应当遵循合法、正当、必要、诚信的原则，确保出生缺陷信息的真实性、完整性、准确性、及时性。

第五条各级卫生健康行政部门负责本行政区域内出生缺陷信息安全的监督和管理，医疗机构、科研院所等应当建立健全出生缺陷信息安全管理制度，明确职责分工，落实安全措施。

第二章信息收集与存储

第六条医疗机构在开展出生缺陷相关诊疗活动时，应当依法收集出生缺陷信息，不得收集与诊疗活动无关的信息。

第七条医疗机构应当制定出生缺陷信息收集规范，明确信息收集的范围、方式、流程等，确保信息收集的合法性、合规性。

第八条出生缺陷信息应当采用加密技术进行存储，存储设施应当符合国家相关安全标准，具备防火、防盗、防潮、防病毒等安全措施。

第九条医疗机构应当建立出生缺陷信息安全责任制，明确信息存储、保管、使用的责任人员，确保信息存储安全。

第三章信息使用与传输

第十条医疗机构在开展出生缺陷防治工作时，可以使用出生缺陷信息，但应当遵循最小必要原则，不得超出诊疗工作需要使用信息。

第十一条医疗机构之间因诊疗、科研等工作需要共享出生缺陷信息时，应当签订信息共享协议，明确信息共享的范围、方式、期限等，并采取必要的安全措施。

第十二条医疗机构在传输出生缺陷信息时，应当采用加密技术，确保信息传输安全，不得通过不安全的渠道传输信息。

第十三条医疗机构在对外提供出生缺陷信息时，应当征得信息主体或者其监护人的同意，并采取必要的安全措施。

第四章信息安全保护

第十四条医疗机构应当建立健全出生缺陷信息安全管理制度，明确信息安全的责任人员、职责分工、安全措施等。

第十五条医疗机构应当定期开展出生缺陷信息安全培训，提高工作人员的安全意识和技能，确保信息安全。

第十六条医疗机构应当建立出生缺陷信息安全事件应急预案，明确事件报告、处置、调查、整改等流程，确保及时有效地处置信息安全事件。

第十七条医疗机构应当定期进行出生缺陷信息安全评估，发现安全风险及时采取措施，确保信息安全。

第五章监督与检查

第十八条各级卫生健康行政部门应当定期对医疗机构出生缺陷信息安全工作进行监督检查，发现问题及时督促整改。

第十九条医疗机构应当配合卫生健康行政部门的监督检查，提供相关信息资料，并按照要求进行整改。

第二十条对违反本制度规定的单位及人员，卫生健康行政部门应当依法进行查处，情节严重的依法给予行政处罚。

第六章附则

第二十一条本制度由各级卫生健康行政部门负责解释。

第二十二条本制度自发布之日起施行。

二、出生缺陷信息安全管理职责

第一节组织机构与职责分工

第一条医疗机构应当成立出生缺陷信息安全管理委员会，负责统筹协调出生缺陷信息安全管理相关工作，委员会由医疗机构主要负责人担任主任，相关职能部门负责人担任委员。

第二条医疗机构应当明确出生缺陷信息安全管理办公室，负责出生缺陷信息安全管理委员会的日常工作，并履行以下职责：

（一）制定出生缺陷信息安全管理规章制度，并组织实施；

（二）组织开展出生缺陷信息安全培训，提高工作人员的安全意识和技能；

（三）定期进行出生缺陷信息安全评估，发现安全风险及时采取措施；

（四）建立出生缺陷信息安全事件应急预案，并组织演练；

（五）配合卫生健康行政部门的监督检查，提供相关信息资料，并按照要求进行整改；

（六）负责出生缺陷信息安全工作的日常管理，确保信息安全。

第三条医疗机构各科室应当明确出生缺陷信息安全管理责任人，负责本科室出生缺陷信息安全管理相关工作，并履行以下职责：

（一）组织本科室工作人员学习出生缺陷信息安全管理规章制度，提高安全意识；

（二）监督本科室工作人员遵守出生缺陷信息安全管理规章制度，确保信息安全；

（三）发现信息安全风险及时向出生缺陷信息安全管理办公室报告；

（四）配合出生缺陷信息安全管理办公室开展信息安全相关工作。

第二节安全管理人员与培训

第四条医疗机构应当配备专职或者兼职的出生缺陷信息安全管理人员，负责出生缺陷信息安全管理相关工作，信息安全管理人员应当具备以下条件：

（一）熟悉国家相关法律法规，了解出生缺陷信息安全管理要求；

（二）具备信息安全专业知识，掌握信息安全技术和管理方法；

（三）具备较强的沟通协调能力，能够有效开展信息安全管理工作。

第五条医疗机构应当定期对出生缺陷信息安全管理人员进行培训，培训内容包括但不限于以下方面：

（一）国家相关法律法规，如《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等；

（二）出生缺陷信息安全管理规章制度，如本制度及相关配套制度；

（三）信息安全专业知识，如加密技术、安全审计、应急响应等；

（四）信息安全案例分析，提高信息安全管理人员的风险防范意识和能力。

第六条医疗机构应当定期对全体工作人员进行出生缺陷信息安全培训，培训内容包括但不限于以下方面：

（一）出生缺陷信息安全管理规章制度，如本制度及相关配套制度；

（二）出生缺陷信息安全管理的重要性，提高安全意识；

（三）出生缺陷信息安全管理操作规范，如信息收集、存储、使用、传输、销毁等；

（四）信息安全案例分析，提高风险防范意识和能力。

第七条医疗机构应当将出生缺陷信息安全培训情况纳入工作人员绩效考核，确保培训效果。

第三节安全技术与设备管理

第八条医疗机构应当采用加密技术对出生缺陷信息进行存储，存储设施应当符合国家相关安全标准，具备防火、防盗、防潮、防病毒等安全措施。

第九条医疗机构应当采用加密技术对出生缺陷信息进行传输，确保信息传输安全，不得通过不安全的渠道传输信息。

第十条医疗机构应当定期对出生缺陷信息存储设施进行维护保养，确保设施安全运行。

第十一条医疗机构应当建立信息安全事件监测系统，及时发现信息安全事件，并采取应急措施。

第十二条医疗机构应当定期进行信息安全漏洞扫描，发现漏洞及时采取措施进行修复。

第十三条医疗机构应当对出生缺陷信息进行备份，并定期进行恢复测试，确保备份有效。

第四节安全事件应急响应

第十四条医疗机构应当建立出生缺陷信息安全事件应急预案，明确事件报告、处置、调查、整改等流程，确保及时有效地处置信息安全事件。

第十五条发生出生缺陷信息安全事件时，相关责任人应当立即采取措施控制事件影响，并按照应急预案报告事件。

第十六条医疗机构应当成立信息安全事件应急响应小组，负责处置信息安全事件，应急响应小组由出生缺陷信息安全管理委员会成员组成，主任由医疗机构主要负责人担任。

第十七条应急响应小组应当根据事件情况制定应急处置方案，并组织实施，确保事件得到有效处置。

第十八条应急处置过程中，应当及时采取措施保护出生缺陷信息安全，防止事件扩大。

第十九条事件处置完毕后，应当对事件进行调查，分析事件原因，并制定整改措施，防止类似事件再次发生。

第二十条应急响应小组应当定期进行演练，提高应急处置能力。

第五节安全审计与评估

第二十一条医疗机构应当定期进行出生缺陷信息安全审计，审计内容包括但不限于以下方面：

（一）出生缺陷信息安全管理制度的执行情况；

（二）出生缺陷信息安全责任人的履职情况；

（三）出生缺陷信息安全技术措施的实施情况；

（四）出生缺陷信息安全事件的处理情况。

第二十二条审计结果应当及时向医疗机构主要负责人报告，并采取相应措施进行整改。

第二十三条医疗机构应当定期进行出生缺陷信息安全风险评估，评估内容包括但不限于以下方面：

（一）出生缺陷信息安全管理制度的完善程度；

（二）出生缺陷信息安全技术措施的适用程度；

（三）出生缺陷信息安全责任人的履职能力；

（四）出生缺陷信息安全事件的频次和影响。

第二十四条评估结果应当及时向医疗机构主要负责人报告，并采取相应措施进行改进。

第二十五条医疗机构应当将审计和评估结果纳入绩效考核，确保信息安全管理工作持续改进。

三、出生缺陷信息安全管理规范

第一节信息收集规范

第一条医疗机构在开展出生缺陷相关诊疗活动时，应当依法收集出生缺陷信息，不得收集与诊疗活动无关的信息。

第二条医疗机构应当制定出生缺陷信息收集规范，明确信息收集的范围、方式、流程等，确保信息收集的合法性、合规性。

第三条医疗机构在收集出生缺陷信息时，应当告知信息主体或者其监护人收集信息的目的、范围、方式、流程等，并征得其同意。

第四条医疗机构在收集出生缺陷信息时，应当采用安全的方式，防止信息泄露。

第五条医疗机构应当对收集的出生缺陷信息进行审核，确保信息的真实性、完整性、准确性。

第二节信息存储规范

第六条出生缺陷信息应当采用加密技术进行存储，存储设施应当符合国家相关安全标准，具备防火、防盗、防潮、防病毒等安全措施。

第七条医疗机构应当建立出生缺陷信息安全责任制，明确信息存储、保管、使用的责任人员，确保信息存储安全。

第八条医疗机构应当对出生缺陷信息存储设施进行定期维护保养，确保设施安全运行。

第九条医疗机构应当对出生缺陷信息进行分类存储，并根据信息类别采取不同的安全措施。

第十条医疗机构应当对出生缺陷信息存储设施进行访问控制，只有授权人员才能访问信息。

第三节信息使用规范

第十一条医疗机构在开展出生缺陷防治工作时，可以使用出生缺陷信息，但应当遵循最小必要原则，不得超出诊疗工作需要使用信息。

第十二条医疗机构在使用出生缺陷信息时，应当采取安全措施，防止信息泄露。

第十三条医疗机构在使用出生缺陷信息时，应当记录使用情况，并定期进行审计。

第十四条医疗机构在对外提供出生缺陷信息时，应当征得信息主体或者其监护人的同意，并采取必要的安全措施。

第十五条医疗机构在科研中使用出生缺陷信息时，应当遵守相关法律法规，并采取必要的安全措施。

第四节信息传输规范

第十六条医疗机构在传输出生缺陷信息时，应当采用加密技术，确保信息传输安全，不得通过不安全的渠道传输信息。

第十七条医疗机构在传输出生缺陷信息时，应当记录传输情况，并定期进行审计。

第十八条医疗机构在传输出生缺陷信息时，应当采取必要的安全措施，防止信息泄露。

第十九条医疗机构在传输出生缺陷信息时，应当确保接收方具备相应的安全能力。

第五节信息销毁规范

第二十条医疗机构应当对不再需要的出生缺陷信息进行销毁，销毁方式应当符合国家相关标准，确保信息无法恢复。

第二十一条医疗机构应当对销毁情况进行记录，并定期进行审计。

第二十二条医疗机构应当对销毁设施进行定期维护保养，确保设施安全运行。

第二十三条医疗机构应当对销毁人员进行培训，确保其掌握销毁操作规范。

第二十四条医疗机构应当对销毁过程进行监督，防止信息泄露。

第六节信息安全事件处理规范

第二十五条医疗机构应当建立出生缺陷信息安全事件应急预案，明确事件报告、处置、调查、整改等流程，确保及时有效地处置信息安全事件。

第二十六条发生出生缺陷信息安全事件时，相关责任人应当立即采取措施控制事件影响，并按照应急预案报告事件。

第二十七条医疗机构应当成立信息安全事件应急响应小组，负责处置信息安全事件，应急响应小组由出生缺陷信息安全管理委员会成员组成，主任由医疗机构主要负责人担任。

第二十八条应急响应小组应当根据事件情况制定应急处置方案，并组织实施，确保事件得到有效处置。

第二十九条应急处置过程中，应当及时采取措施保护出生缺陷信息安全，防止事件扩大。

第三十条事件处置完毕后，应当对事件进行调查，分析事件原因，并制定整改措施，防止类似事件再次发生。

第七节安全审计与评估规范

第三十一条医疗机构应当定期进行出生缺陷信息安全审计，审计内容包括但不限于以下方面：

（一）出生缺陷信息安全管理制度的执行情况；

（二）出生缺陷信息安全责任人的履职情况；

（三）出生缺陷信息安全技术措施的实施情况；

（四）出生缺陷信息安全事件的处理情况。

第三十二条审计结果应当及时向医疗机构主要负责人报告，并采取相应措施进行整改。

第三十三条医疗机构应当定期进行出生缺陷信息安全风险评估，评估内容包括但不限于以下方面：

（一）出生缺陷信息安全管理制度的完善程度；

（二）出生缺陷信息安全技术措施的适用程度；

（三）出生缺陷信息安全责任人的履职能力；

（四）出生缺陷信息安全事件的频次和影响。

第三十四条评估结果应当及时向医疗机构主要负责人报告，并采取相应措施进行改进。

第三十五条医疗机构应当将审计和评估结果纳入绩效考核，确保信息安全管理工作持续改进。

四、出生缺陷信息安全技术保障

第一节系统安全防护

第一条医疗机构应当建立出生缺陷信息管理系统，系统应当具备用户管理、权限管理、日志管理、数据备份、数据恢复等功能，确保信息系统的安全稳定运行。

第二条医疗机构应当对出生缺陷信息管理系统进行安全防护，包括但不限于防火墙、入侵检测、漏洞扫描、防病毒等措施，防止系统被攻击或者破坏。

第三条医疗机构应当对出生缺陷信息管理系统进行定期维护保养，确保系统安全稳定运行。

第四条医疗机构应当对出生缺陷信息管理系统进行定期安全评估，评估内容包括但不限于系统安全性、可靠性、可用性等，评估结果应当及时采取措施进行改进。

第五条医疗机构应当对出生缺陷信息管理系统进行定期演练，提高系统的应急响应能力。

第二节数据安全防护

第六条出生缺陷信息应当采用加密技术进行存储，存储设施应当符合国家相关安全标准，具备防火、防盗、防潮、防病毒等安全措施。

第七条医疗机构应当对出生缺陷信息进行分类存储，并根据信息类别采取不同的安全措施。

第八条医疗机构应当对出生缺陷信息存储设施进行访问控制，只有授权人员才能访问信息。

第九条医疗机构应当对出生缺陷信息进行定期备份，并定期进行恢复测试，确保备份有效。

第十条医疗机构应当对出生缺陷信息进行销毁，销毁方式应当符合国家相关标准，确保信息无法恢复。

第三节网络安全防护

第十一条医疗机构应当建立网络安全防护体系，包括但不限于防火墙、入侵检测、漏洞扫描、防病毒等措施，防止网络被攻击或者破坏。

第十二条医疗机构应当对网络进行定期维护保养，确保网络安全稳定运行。

第十三条医疗机构应当对网络进行定期安全评估，评估内容包括但不限于网络安全性、可靠性、可用性等，评估结果应当及时采取措施进行改进。

第十四条医疗机构应当对网络进行定期演练，提高网络的应急响应能力。

第四节安全管理制度

第十五条医疗机构应当建立健全出生缺陷信息安全管理制度，明确信息安全的责任人员、职责分工、安全措施等。

第十六条医疗机构应当定期开展出生缺陷信息安全培训，提高工作人员的安全意识和技能，确保信息安全。

第十七条医疗机构应当建立出生缺陷信息安全事件应急预案，明确事件报告、处置、调查、整改等流程，确保及时有效地处置信息安全事件。

第十八条医疗机构应当定期进行出生缺陷信息安全审计，审计内容包括但不限于以下方面：

（一）出生缺陷信息安全管理制度的执行情况；

（二）出生缺陷信息安全责任人的履职情况；

（三）出生缺陷信息安全技术措施的实施情况；

（四）出生缺陷信息安全事件的处理情况。

第十九条医疗机构应当定期进行出生缺陷信息安全风险评估，评估内容包括但不限于以下方面：

（一）出生缺陷信息安全管理制度的完善程度；

（二）出生缺陷信息安全技术措施的适用程度；

（三）出生缺陷信息安全责任人的履职能力；

（四）出生缺陷信息安全事件的频次和影响。

第五节应急响应机制

第二十条医疗机构应当建立出生缺陷信息安全事件应急响应机制，明确事件报告、处置、调查、整改等流程，确保及时有效地处置信息安全事件。

第二十一条发生出生缺陷信息安全事件时，相关责任人应当立即采取措施控制事件影响，并按照应急预案报告事件。

第二十二条医疗机构应当成立信息安全事件应急响应小组，负责处置信息安全事件，应急响应小组由出生缺陷信息安全管理委员会成员组成，主任由医疗机构主要负责人担任。

第二十三条应急响应小组应当根据事件情况制定应急处置方案，并组织实施，确保事件得到有效处置。

第二十四条应急处置过程中，应当及时采取措施保护出生缺陷信息安全，防止事件扩大。

第二十五条事件处置完毕后，应当对事件进行调查，分析事件原因，并制定整改措施，防止类似事件再次发生。

第二十六条应急响应小组应当定期进行演练，提高应急处置能力。

第六节安全技术支持

第二十七条医疗机构应当建立安全技术支持体系，包括但不限于安全技术部门、安全技术专家、安全技术平台等，为出生缺陷信息安全提供技术支持。

第二十八条医疗机构应当对安全技术支持体系进行定期维护保养，确保体系安全稳定运行。

第二十九条医疗机构应当对安全技术支持体系进行定期安全评估，评估内容包括但不限于体系安全性、可靠性、可用性等，评估结果应当及时采取措施进行改进。

第三十条医疗机构应当对安全技术支持体系进行定期演练，提高体系的应急响应能力。

第七节安全合作机制

第三十一条医疗机构应当与卫生健康行政部门、公安机关、信息安全服务机构等建立安全合作机制，共同维护出生缺陷信息安全。

第三十二条医疗机构应当与卫生健康行政部门、公安机关、信息安全服务机构等定期进行信息共享，共同防范信息安全风险。

第三十三条医疗机构应当与卫生健康行政部门、公安机关、信息安全服务机构等定期进行应急演练，提高共同应对信息安全事件的能力。

第三十四条医疗机构应当与卫生健康行政部门、公安机关、信息安全服务机构等定期进行安全评估，共同改进出生缺陷信息安全管理工作。

五、出生缺陷信息安全监督与检查

第一节监督管理职责

第一条各级卫生健康行政部门负责本行政区域内出生缺陷信息安全的监督和管理，建立健全出生缺陷信息安全监督管理制度，明确职责分工，落实监督措施。

第二条卫生健康行政部门应当指定专门机构或者人员负责出生缺陷信息安全监督管理工作，负责制定监督计划，组织实施监督活动，并定期向上一级卫生健康行政部门报告工作情况。

第三条卫生健康行政部门应当建立健全出生缺陷信息安全投诉举报机制，公布投诉举报电话、邮箱等渠道，方便公众投诉举报信息安全问题。

第四条卫生健康行政部门应当对投诉举报的信息安全问题进行调查处理，并及时反馈处理结果。

第五条卫生健康行政部门应当定期对医疗机构出生缺陷信息安全工作进行监督检查，发现问题及时督促整改。

第六条卫生健康行政部门应当对医疗机构出生缺陷信息安全工作进行评估，评估内容包括但不限于信息安全管理制度的建立情况、信息安全管理责任的落实情况、信息安全技术措施的实施情况、信息安全事件的处理情况等。

第七条卫生健康行政部门应当将医疗机构出生缺陷信息安全工作纳入绩效考核，对信息安全工作做得好的医疗机构给予表彰，对信息安全工作做得不好的医疗机构进行处罚。

第二节医疗机构内部监督

第八条医疗机构应当建立健全出生缺陷信息安全内部监督机制，明确内部监督机构的职责分工，落实内部监督措施。

第九条医疗机构应当指定专门机构或者人员负责出生缺陷信息安全内部监督工作，负责制定监督计划，组织实施监督活动，并定期向医疗机构主要负责人报告工作情况。

第十条医疗机构应当建立健全出生缺陷信息安全投诉举报机制，公布投诉举报电话、邮箱等渠道，方便员工投诉举报信息安全问题。

第十一条医疗机构应当对投诉举报的信息安全问题进行调查处理，并及时反馈处理结果。

第十二条医疗机构应当定期对出生缺陷信息安全工作进行内部监督检查，发现问题及时督促整改。

第十三条医疗机构应当对出生缺陷信息安全工作进行内部评估，评估内容包括但不限于信息安全管理制度的建立情况、信息安全管理责任的落实情况、信息安全技术措施的实施情况、信息安全事件的处理情况等。

第十四条医疗机构应当将出生缺陷信息安全工作纳入绩效考核，对信息安全工作做得好的科室或者个人给予表彰，对信息安全工作做得不好的科室或者个人进行处罚。

第三节监督检查内容

第十五条卫生健康行政部门在监督检查医疗机构出生缺陷信息安全工作时，应当重点检查以下内容：

（一）出生缺陷信息安全管理制度的建立情况，包括信息收集、存储、使用、传输、销毁等环节的管理制度；

（二）出生缺陷信息安全责任的落实情况，包括信息安全管理责任人、信息安全责任人员的职责分工等；

（三）出生缺陷信息安全技术措施的实施情况，包括系统安全防护、数据安全防护、网络安全防护等；

（四）出生缺陷信息安全事件的处理情况，包括事件报告、处置、调查、整改等；

（五）出生缺陷信息安全培训情况，包括培训内容、培训对象、培训效果等；

（六）出生缺陷信息安全投诉举报机制的建设情况，包括投诉举报渠道、投诉举报处理流程等。

第十六条医疗机构在内部监督检查出生缺陷信息安全工作时，应当重点检查以下内容：

（一）出生缺陷信息安全管理制度的执行情况，包括信息安全管理制度的落实情况、信息安全管理制度的执行效果等；

（二）出生缺陷信息安全责任人的履职情况，包括信息安全管理责任人、信息安全责任人员的职责履行情况等；

（三）出生缺陷信息安全技术措施的实施情况，包括系统安全防护、数据安全防护、网络安全防护等；

（四）出生缺陷信息安全事件的处理情况，包括事件报告、处置、调查、整改等；

（五）出生缺陷信息安全培训情况，包括培训内容、培训对象、培训效果等；

（六）出生缺陷信息安全投诉举报机制的建设情况，包括投诉举报渠道、投诉举报处理流程等。

第四节监督检查方式

第十七条卫生健康行政部门在监督检查医疗机构出生缺陷信息安全工作时，可以采取以下方式：

（一）现场检查，即到医疗机构现场检查出生缺陷信息安全工作情况；

（二）查阅资料，即查阅医疗机构出生缺陷信息安全相关资料；

（三）询问相关人员，即询问医疗机构出生缺陷信息安全相关人员；

（四）技术检测，即对医疗机构出生缺陷信息安全系统进行技术检测；

（五）调取录像，即调取医疗机构出生缺陷信息安全相关录像。

第十八条医疗机构在内部监督检查出生缺陷信息安全工作时，可以采取以下方式：

（一）现场检查，即到医疗机构现场检查出生缺陷信息安全工作情况；

（二）查阅资料，即查阅医疗机构出生缺陷信息安全相关资料；

（三）询问相关人员，即询问医疗机构出生缺陷信息安全相关人员；

（四）技术检测，即对医疗机构出生缺陷信息安全系统进行技术检测；

（五）调取录像，即调取医疗机构出生缺陷信息安全相关录像。

第五节监督检查结果处理

第十九条卫生健康行政部门在监督检查医疗机构出生缺陷信息安全工作时，发现问题的，应当及时督促整改。

第二十条医疗机构应当对卫生健康行政部门提出的整改意见进行整改，并将整改情况报告卫生健康行政部门。

第二十一条卫生健康行政部门对医疗机构整改情况进行复查，复查不合格的，应当依法进行处罚。

第二十二条医疗机构在内部监督检查出生缺陷信息安全工作时，发现问题的，应当及时督促整改。

第二十三条医疗机构应当对内部监督提出的整改意见进行整改，并将整改情况报告内部监督机构。

第二十四条医疗机构对整改情况进行复查，复查不合格的，应当对相关责任人进行处罚。

第六节法律责任

第二十五条医疗机构违反本制度规定，有下列情形之一的，卫生健康行政部门应当依法进行处罚：

（一）未建立出生缺陷信息安全管理制度的；

（二）未落实出生缺陷信息安全责任的；

（三）未实施出生缺陷信息安全技术措施的；

（四）未及时报告出生缺陷信息安全事件的；

（五）未对出生缺陷信息安全人员进行培训的；

（六）未建立健全出生缺陷信息安全投诉举报机制的。

第二十六条医疗机构违反本制度规定，造成出生缺陷信息安全事件的，应当依法承担法律责任。

第二十七条医疗机构工作人员违反本制度规定，有下列情形之一的，医疗机构应当依法给予处罚：

（一）泄露出生缺陷信息的；

（二）篡改出生缺陷信息的；

（三）丢失出生缺陷信息的；

（四）未履行出生缺陷信息安全职责的。

第二十八条医疗机构工作人员违反本制度规定，造成出生缺陷信息安全事件的，应当依法承担法律责任。

六、出生缺陷信息安全制度实施与保障

第一节制度实施管理

第一条医疗机构应当将本制度纳入医疗机构整体管理体系，明确各部门、各岗位在出生缺陷信息安全工作中的职责，确保制度有效实施。

第二条医疗机构应当建立健全出生缺陷信息安全工作责任制，明确主要负责人、分管负责人、责任部门、责任人员的职责，确保制度落实到位。

第三条医疗机构应当将出生缺陷信息安全工作纳入年度工作计划，并定期进行评估，确保制度实施效果。

第四条医疗机构应当建立健全出生缺陷信息安全工作考核机制，将信息安全工作纳入绩效考核体系，对信息安全工作做得好的单位和个人给予表彰，对信息安全工作做得不好的单位和个人进行处罚。

第五条医疗机构应当建立健全出生缺陷信息安全工作奖惩机制，对在信息安全工作中做出突出贡献的单位和个人给予奖励，对在信息安全工作中出现失职、渎职行为的单位和个人进行处罚。

第二节人员保障

第六条医疗机构应当配备专职或者兼职的出生缺陷信息安全管理人员，负责出生缺陷信息安全管理相关工作，并定期进行培训，提高其专业能力。

第七条医疗机构应当对出生缺陷信息安全管理人员进行考核，考核内容包括但不限于信息安全知识、信息安全技能、信息安全工作经验等，考核结果作为其晋升、奖惩的依据。

第八条医疗机构应当为出生缺陷信息安全管理人员提供必要的工作条件，包括办公场所、办公设备、办公经费等，确保其能够顺利开