信息安全技术健康医疗数据安全指南编制说明

国家标准《信息安全技术 健康医疗数据安全指南》征求意见稿编制说明一、工作简况1.1任务来源《信息安全技术健康医疗信息安全指南》是由清华大学于2018年2月申请立项的网络安全国家标准项目，2018年7月中国电子技术标准化研究院正式下达任务书《信息安全技术健康医疗信息安全指南》，2019年4月，正式变更名称为《信息安全技术健康医疗数据安全指南》，2019年10月，国家标准化管理委员会下达了国家标准计划号20193254-T-46Q1.2主要起草单位和工作组成员《信息安全技术健康医疗数据安全指南》由清华大学牵头，北京清华长庚医院、中国网络安全审查技术与认证中心、中电数据服务有限公司、中国电子技术标准化研究院、上海市儿童医院、深圳市腾讯计算机系统有限公司、山东国数爱健康大数据有限公司、东软集团股份有限公司、零氪科技（北京）有限公司、阿里巴巴（北京）软件服务有限公司、泰康保险集团股份有限公司、中国平安保险（集团）股份有限公司、北京邮电大学、四川大学、中国信息安全测评中心、北京天融信网络安全技术有限公司、上海市方达律师事务所、中国软件评测中心、中南大学、启明星辰信息技术集团股份有限公司、中国中医科学院、湖南科创信息技术股份有限公司、奇安信科技集团股份有限公司、陕西省信息化工程研究院、北京数字认证股份有限公司、中电长城网际系统应用有限公司、颐信科技有限公司、浙江蚂蚁小微金融服务集团股份有限公司、北京协和医院等参与编制，归口单位为全国信息安全标准化技术委员会（简称信息安全标委会， TC260。1.3主要工作过程1、2016年8月27、28日，在清华大学召开了健康医疗大数据安全标准研讨会，针对健康医疗大数据安全标准化需求进行了研讨。2、2018年1月23日，正式成立健康医疗信息安全指南标准编制组并在清华大学召开第1次编制组会议，确定了标准化需求和任务分工。3、 2018年2月6日，在清华大学召开了第2次编制组会议，针对第一版草案进行讨论，并确定了改进方案和任务分工4、 2018年2月22日，提交健康医疗信息安全指南国家标准制定项目立项申请。5、 2018年3月7日，在清华大学召开第3次编制组会议，针对第二版草案进行讨论，并确定了改进方案和任务分工。62018年3月15日，在清华大学召开了健康医疗行业专家会议，就第三版草案征集行业专家意见。7、 2018年3月20日，在清华大学召开第4次编制组会议，针对第三版草案和专家意见进行讨论，形成改进方案和任务分工。8、 2018年4月14日，在信安标委武汉会议周大数据安全标准特别工作组会议上，介绍第四版草案情况并获得工作组表决同意编制 《健康医疗信息安全指南》。9、 2018年7月12日，《健康医疗信息安全指南》信安标委立项任务正式下达。10、 2018年9月14日，在清华大学召开第5次标准编制组工作会议，对标准草案进行讨论，形成改进工作计划。11、 2018年9月30日，形成《信息安全技术健康医疗信息安全指南》新版草案，并在工作组范围内征集意见。12、 2018年10月12日，在清华大学召开第6次标准编制组工作会议，对标准草案进行讨论，决定增加附录，针对具体场景给出具体指导。13、 2018年10月17日，在清华大学召开第7次标准编制组工作会议，对标准草案进行讨论改进，形成新版外发广泛征集医疗信息界意见。14、 2018年10月19日，在清华大学标准草案专家意见征集会。15、 2018年10月21日，在清华大学召开第8次编制组会议，针对专家意见进行修订完善。16、 2018年10月24日，在信安标委青岛会议周大数据安全标准特别工作组全会上介绍了标准编制工作，并经过工作组表决，同意修改完善后转为征求意见稿。17、 2018年10月31日，在清华大学召开第9次编制组会议，针对工作组全会意见进行修订完善善。18、19、善。18、19、20、2018年11月7日，在清华大学召开第10次编制组会议，进一步修订完善。2018年11月15日，在清华大学召开第11次编制组会议，进一步修订完2018年11月20日，在清华大学召开领域专家会，邀请健康医疗信息化领域22、23、222、23、24、利浦、上海市儿童医院、西门子、强生、罗氏等，根据意见进一步修订完善。2018年12月26日，在清华大学召开第15次编制组会议，进一步修订完2019年1月17日，在上海金杜律师事务所与其医疗领域客户就标准进行研2019年1月19日，在清华大学召开了《健康医疗信息安全指南》验证25、善。26、讨交流。27、知名专家和卫健委相关负责人进行意见征集。21、2018年11月21日，在清华大学召开第12次编制组会议，针对领域专家意见修订完善。2018年11月28日，在清华大学召开第13次编制组会议，进一步修订完2018年12月2日，在清华大学召开第14次编制组会议，进一步修订完善。2018年12月7日至8日，编制组在上海征集相关单位意见，包括平安、飞项目启动会，开始在北京清华长庚医院开展标准的验证试点，网信办、卫健委、中国卫生信息与健康医疗大数据学会相关领导出席了会议， 并对标准和验证试点工作提供了建议。28、 2019年3月20日，在清华大学召开了第16次编制组会议，修改标准名为“健康医疗数据安全指南”，明确了健康医疗数据流通使用场景分类和安全要点，标准结构相应调整。29、 2019年4月3日，在清华大学召了第17次编制组会议，进一步提升标准文本质量。在标准的编制过程中，还多次通过语音会议针对标准文本内容进行研讨修订。在中国医院协会信息管理专业委员会、 中国医师协会智慧医疗专业委员会范围内多次征求意见。通过国家卫健委法规司3次征求国家卫健委部门意见。二、 标准编制原则和确定主要内容的论据及解决的主要问题健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗应用的蓬勃发展，各种新业务、新应用不断出现，健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战，安全问题频发。由于健康医疗数据安全事关患者生命安全、个人隐私、社会公共利益和国家安全，为了更好的保护健康医疗数据安全，规范和推动健康医疗数据的融合共享、开放应用，促进健康医疗事业发展，特制定健康医疗数据安全指南标准。一方面，给出健康医疗数据使用披露的原则要求；另一方面，针对健康医疗数据应用过程中的各种安全问题，给出如何开展数据安全工作的指南。在确保健康医疗数据安全的前提下推动健康医疗数据的开发应用。《健康医疗数据安全指南》通过借鉴国外立法和标准的研究，尤其是赫尔辛基宣言、美国的HIPPA法案和ISO27799、NIST800-66等标准，结合国内应用实践和标准编制组的研究成果，提出与国际标准接轨、适合我国国情，并具有一定创新性的标准。为健康医疗数据控制者进行健康医疗数据的安全保护以及监管部门、第三方测评机构等开展监督管理和评估等工作提供指导和依据。本标准的编制遵循以下原则：先进性：标准反映当今健康医疗数据保护的先进技术水平；开放性：标准的编制、评审与使用具有开放性；系统性：介绍了目标、原则、管理和技术措施以及安全措施要点；适应性：标准结合我国国情；操作性：针对具体场景提供了具体指导；简明性：标准易于理解、实现和应用；中立性：公正、中立，不与任何利益攸关方发生关联；一致性：术语与国内外标准所用术语最大程度保持一致；协调性：针对健康医疗行业特点关注于数据层面的安全，系统层面的安全工作需结合等保及云计算安全标准，健康医疗行业特征不明显的数据安全需结合个人信息安全规范、大数据服务安全能力要求等标准。三、 主要试验［或验证］情况分析标准条款在制定过程中在北京清华长庚医院、中电数据服务有限公司、上海市儿童医院、山东国数爱健康大数据有限公司、零氪科技（北京）有限公司、阿里巴巴（北京）软件服务有限公司、泰康保险集团股份有限公司、中国平安保险（集团）股份有限公司、四川大学华西医院、中南大学湘雅医院、中国中医科学院、北京协和医院等单位进行了试验，并通过中国医师协会智慧医疗专业委员会、中国医院协会信息管理专业委员会征求了更多单位的意见，通过卫健委法规司 3次征求卫健委部门意见，分析标准内容是否完备、合理，安全要求是否科学、具有可操作性。同时参考有关部门的意见，本标准充分考虑了前瞻性和应用推广后带来的安全考量。四、 知识产权情况说明无，本标准不涉及专利。五、 产业化情况、推广应用论证和预期达到的经济效果目前国内健康医疗信息化高速发展，特别是近期互联互通和健康医疗大数据的迅猛发展急需相关标准保驾护航。本标准的应用将对健康医疗数据安全提供指导，推动健康医疗数据应用的发展。六、 采用国际标准和国外先进标准情况本标准为自主制定。七、 与现行相关法律、法规、规章及相关标准的协调性网安法针对个人信息安全提出了明确的要求，国家标准 GB/T35273《信息安全技术个人信息安全规范》围绕个人信息安全针对个人信息控制者提出了更为详尽的要求。针对健康医疗行业特点，尤其是健康医疗数据的高敏感性、高价值性和生命相关性以及一些常见业务场景， 本标准给出了具体的安全指南。与网安法和GB/T35273《信息安全技术个人信息安全规范》保持了一致和协调。涉及健康医疗信息系统安全的，参考GB/T22239-2019《信息安全技术网络安全等级保护基本要求》或GB/T22081—2016《信息技术安全技术信息安全控制实践指南》，对承载健康医疗信息的信息系统和网络设施等进行必要的安全保护。涉及云计算平台安全的，参考 GB/T31168《信息安全技术云计算服务安全能力要求》要求。涉及数据基础安全要求和全生命周期安全要求，参照GB/T35274—2017《信息安全技术大数据服务安全能力要求》。涉及去标识化处理的，参照GB/T37964—2019《信息安全技术个人信息去标识化指南》。涉及组织管理体系的，参照GB/T22080—2016《信息技术安全技术信息安全管理体系要求》。涉及健康医疗数据的出境安全保护，参考数据出境安全评估相关要求。除此之外还应符合重要数据管理、关键信息基础设施安全管理等政策的相关通用要求。密码技术使用需符合国家密码管理相关要求。涉及国家秘密的健康医疗信息应按照国家保密工作部门有关涉密信息系统