GB/T 39725-2020信息安全技术健康医疗数据安全指南

ICS35040

L80.

中华人民共和国国家标准

GB/T39725—2020

信息安全技术

健康医疗数据安全指南

Informationsecuritytechnology—Guideforhealthdatasecurity

2020-12-14发布2021-07-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T39725—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

安全目标

5…………………3

分类体系

6…………………3

数据类别范围

6.1………………………3

数据分级划分

6.2………………………4

相关角色分类

6.3………………………4

流通使用场景

6.4………………………5

数据开放形式

6.5………………………6

使用披露原则

7……………6

安全措施要点

8……………7

分级安全措施要点

8.1…………………7

场景安全措施要点

8.2…………………8

开放安全措施要点

8.3…………………10

安全管理指南

9……………10

概述

9.1…………………10

组织

9.2…………………11

过程

9.3…………………11

应急处置

9.4……………12

安全技术指南

10…………………………13

通用安全技术

10.1……………………13

去标识化

10.2…………………………13

典型场景数据安全

11……………………15

医生调阅数据安全

11.1………………15

患者查询数据安全

11.2………………17

临床研究数据安全

11.3………………17

二次利用数据安全

11.4………………23

健康传感数据安全

11.5………………24

移动应用数据安全

11.6………………25

Ⅰ

GB/T39725—2020

商业保险对接安全

11.7………………27

医疗器械数据安全

11.8………………30

附录资料性附录个人健康医疗数据范围

A()…………33

附录资料性附录卫生信息相关标准

B()………………34

附录资料性附录数据使用管理办法示例

C()…………43

附录资料性附录数据申请审批示例

D()………………47

附录资料性附录数据处理使用协议模板

E()…………50

附录资料性附录健康医疗数据安全检查表

F()………55

附录资料性附录卫生信息数据元去标识化示例

G()…………………60

参考文献

……………………62

Ⅱ

GB/T39725—2020

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位清华大学北京清华长庚医院中国网络安全审查技术与认证中心中电数据服务

:、、、

有限公司中国电子技术标准化研究院上海市儿童医院深圳市腾讯计算机系统有限公司山东国数爱

、、、、

健康大数据有限公司东软集团股份有限公司零氪科技北京有限公司阿里巴巴北京软件服务有

、、()、()

限公司泰康保险集团股份有限公司中国平安保险集团股份有限公司北京邮电大学四川大学中

、、()、、、

国信息安全测评中心北京天融信网络安全技术有限公司上海市方达律师事务所中国软件评测中心

、、、、

中南大学启明星辰信息技术集团股份有限公司中国中医科学院湖南科创信息技术股份有限公司奇

、、、、

安信科技集团股份有限公司陕西省信息化工程研究院北京数字认证股份有限公司中电长城网际系

、、、

统应用有限公司颐信科技有限公司浙江蚂蚁小微金融服务集团股份有限公司北京协和医院

、、、。

本标准主要起草人金涛刘海一王建民董家鸿左晓栋张剑刘贤刚屈劲于广军赵冉冉

:、、、、、、、、、、

袁耀文傅兴良杨浩来子祺苏凌云叶晓俊陶蓉于惊涛马诗诗王枞殷晋付嵘王龑张毅

、、、、、、、、、、、、、、

姚建伟陈先来谢安明文天才肖国荣周亚超郭颖张勇宋玲娓闵京华洪延青程瑜琦王昕

、、、、、、、、、、、、、

孟晓阳罗妍

、。

Ⅲ

GB/T39725—2020

引言

健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关

数据随着健康医疗数据应用互联网医疗健康和智慧医疗的蓬勃发展各种新业务新应用不断

。、“+”,、

出现健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战安全问题频发由于健康医疗

,,。

数据安全事关患者生命安全个人信息安全社会公共利益和国家安全为了更好地保护健康医疗数据

、、,

安全规范和推动健康医疗数据的融合共享开放应用促进健康医疗事业发展特制定健康医疗数据安

,、,,

全指南

。

Ⅳ

GB/T39725—2020

信息安全技术

健康医疗数据安全指南

1范围

本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施

。

本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护也可供健康医疗网络安全

,、

相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考

。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不标注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息安全管理体系要求

GB/T22080—2016

信息技术安全技术信息安全控制实践指南

GB/T22081—2016

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069

信息安全技术云计算服务安全能力要求

GB/T31168

信息安全技术个人信息安全规范

GB/T35273

信息安全技术大数据服务安全能力要求

GB/T35274—2017

信息安全技术个人信息去标识化指南

GB/T37964—2019

整合医疗设备的网络风险管理的应用

ISO