DB32T-健康医疗数据安全管理规范编制说明

——《健康医疗数据安全管理规范》编制说明一、目的意义近年来，“互联网+医疗”、“智慧医疗”正在迅速进入医疗行业，渗透到医疗领域的各个环节，不仅打破了医疗行业原有相对封闭的使用环境，而且还使信息聚集更加便捷、迅速，这也就给医疗行业带来了全新的数据安全挑战。一方面，随着医疗信息化的迅猛发展，以及移动医疗、AI医疗影像、电子病历等数字化程序的普及，医疗数据已成为医院等医疗机构发展的重要信息资产，且数据量级越积累越大，造成管理上的困难；另一方面，医疗数据中通常包含着大量的用户个人敏感信息，如姓名、年龄、身体健康状况、生理信息、疾病详情等，这些信息一旦遭到篡改、破坏或泄露，将会对社会秩序以及医疗机构和个人的合法利益造成极大的影响。国家相继出台的相关法律法规和标准对数据安全和个人隐私保护提出了明确的要求，也为江苏省健康医疗数据安全管理规范的研制提供了强有力的有力指导和框架思路。但法律法规条文是整体、宏观性的要求，其内容无法直接进行落地实施。《信息安全技术-数据安全能力成熟度模型》虽然提出了数据安全具体措施，但该标准是通用型的标准，缺乏对健康医疗数据安全场景的针对性措施。《信息安全技术-健康医疗数据安全指南》虽然提出了针对健康医疗数据安全管理的要求，但主要针对个人健康医疗数据，而医疗卫生机构内部也有很多非个人健康医疗数据，如医疗机构财务数据、运行数据、员工数据等，且该指南的很多内容也无法直接落地，医疗卫生机构难以根据其规定直接开展健康医疗数据安全建设。在此背景下，以医疗卫生机构业务数据为核心，以保障医疗业务能力为根本，探索研究出一套落地可行的健康医疗数据安全管理规范就显得尤为重要。医疗行业数据安全，既要参照传统网络安全的模式和架构，也要创新出拥有自身特色的防护模式，不能仅仅依靠数据安全设备的堆叠，而要用体系化的思维结合行业特征，构建以数据使用安全为目标的整体解决思路。本标准针对健康医疗数据特点和具体业务场景，研制更有针对性且可直接落地实施的数据安全管理规范，有助于指导我省各医疗卫生机构落实数据安全要求，提高我省健康医疗数据安全防护水平。二、任务来源2023年1月，江苏省卫生健康委员会根据江苏省省市场监督管理局开展2023年度省地方标准申报立项的通知，提交《江苏省健康医疗数据安全管理规范》的立项申请。2023年1月，依据《省市场监管局关于下达2023年度江苏省地方标准项目计划的通知》（苏市监标〔2023〕173号），《江苏省健康医疗数据安全管理规范》获批立项，编制任务由江苏省卫生健康信息中心承担。三、编制过程1、成立标准起草小组，制定工作方案2023年1月，由江苏省卫生健康信息中心(江苏省中医药信息中心)牵头负责，和苏州市卫生计生统计信息中心、江苏省中医院、镇江市第一人民医院、苏州大学附属儿童医院、无锡市卫生健康统计信息中心、江苏瑞新信息技术股份有限公司、北京天融信网络安全技术有限公司、杭州美创科技股份有限公司等专业人员组成起草小组。起草小组成立后，研究制订出标准编制工作方案，明确目标要求、工作思路、人员分工和工作进度等，开启标准的起草工作。2、收集相关资料，开展调研2023年2月至2023年4月，标准起草小组广泛搜集、比对、分析了国家、省内外相关的法律法规、规范性文件以及相关国家标准、行业标准、工程标准，深入调研医疗卫生机构信息系统建设情况、数据资产情况、典型的业务场景、网络安全建设情况、数据安全管理、管理制度情况等。全面梳理健康医疗数据安全需求，分析存在的数据安全问题，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等，在此基础上形成本标准编制的基本思路和框架。3、标准起草标准起草小组在收集资料和实地调研基础上，深入分析研究健康医疗数据安全需求，梳理健康医疗行业面临的数据安全问题，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。经过深入分析研究，形成标准草案稿。为保障标准的科学性与适用性，经过多次内、外部研讨修改，形成标准征求意见稿。4、征集意见标准起草组通过省卫生健康委员会向省、市各卫生健康信息中心、卫生健康医疗机构征求意见。同时通过省卫生健康委员会官网向社会公众广泛征求意见，征求意见时间为2024年6月1日至2024年7月31日。本次意见征集共收到省、市各卫生健康信息中心、卫生健康医疗机构反馈的修改意见41条。起草组针对每条意见进行逐一评估和判断，其中采纳意见30条，未采纳意见11条，并对部分采纳和不采纳意见进行详细的理由说明，详见《征求意见汇总处理表》。四、主要内容本标准重点围绕健康医疗数据安全组织管理、数据安全保护、数据安全运维、医疗数据安全场景等方面提出针对性的重点安全措施建议，建立符合医疗卫生机构实际情况和应用场景、可直接落地实施的数据安全管理规范，用于指导我省各医疗机构落实数据安全策略，切实增强数据安全防护能力，也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时进行参考。1、数据分类分级在数据分类方面，给出了数据分类的规范性原则，并对数据分类的方法及分类流程进行了具体且详细的规定。在数据分级方面，给出了数据分级的原则，明确根据健康医疗数据的安全属性（机密性、完整性、可用性）被破坏后对客体造成的影响，作为数据安全级别的重要判定依据，并对健康医疗数据分级的方法及分级流程进行具体且详细规定。2、数据安全管理主要包括医疗卫生机构数据安全管理的组织架构和制度体系。组织架构明确了数据安全管理的决策层、管理层、执行层和监督层的人员组成、岗位划分和工作职责等。制度体系包括制度建设、组织和人员、安全策略、安全审核、数据和资产管理、开放和共享、安全评估、应急管理、合作管理、检查和考核、出入境管理等相关制度规范。3、数据分类分级保护在实施健康医疗数据分类分级保护中，从平台安全、资产管理、身份认证、访问控制、监控审计、接口安全、终端安全等方面，提出数据安全运维保障的通用保护要求，对不同安全级别的健康医疗数据实施差异化的管控措施。基于数据全生存周期的业务场景数据安全防护。在充分的业务场景调研的基础上，研究提出针对健康医疗数据在采集、传输、存储、处理、交换、销毁等全生存周期过程中应采取的数据安全措施。4、业务场景数据安全针对健康医疗数据安全具体业务场景，研究覆盖数据安全生存周期的安全措施，主要包括以下几类场景：核心业务系统数据安全（包括HIS、医院集成平台、互联网医院、全民健康信息平台等）、科研平台数据安全、运维场景数据安全、第三方数据对接数据安全、医疗设备数据安全。五、技术指标确定的依据健康医疗数据分类：参考《卫生健康信息数据集分类与编码规则》（WS/T306—2023）规定的分类编码规则，明确采用国家卫生信息资源的分类和编目体系，既考虑了实际健康医疗数据分类的实际情况，也兼顾了分类编目的兼容性问题。健康医疗数据分级：参考全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南—网络数据分类分级指引》以及国家标准《信息安全技术—健康医疗数据安全指南》（GB/T39725），将健康医疗数据安全级别划分为四级，由低至高分别为L1级、L2级、L3级、L4级。分级要素考虑影响对象和影响程度：参考全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南—网络数据分类分级指引》，根据数据安全属性（机密性、完整性、可用性）被破坏后对客体造成的影响，作为数据安全级别的重要判断依据。健康医疗数据分级应当根据影响对象与影响程度两个要素进行分级。。六、重大分歧意见的处理过程和依据无。七、与相关法律法规和国家标准的关系本标准由江苏省卫生健康信息中心牵头组织了网络安全与数据安全方面的技术专家、医疗健康行业的安全专家及一线从事技术的相关骨干共同参与本管理规范的编写和调研工作，与现行法律、法规以及国家标准、行业标准不存在冲突和矛盾，是对国家标准及行业标准在江苏省健康医疗行业更符合本地工作具体落实，属于进一步延伸补充的关系。参考和引用的标准有：《信息安全技术健康医疗数据安全指南》（GB/T39725—2020）《信息安全技术数据安全能力成熟度模型》（GB/T37988—2019）《信息技术大数据数据分类指南》（GB/T38667）《信息安全技术大数据安全管理指南》（GB/T37973）八、推广实施建议本标准用于指导我省各医疗机构落实数据安全策略，切实增强数据安全防护能力，也可供卫生健康、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时进行参考。后续标准印发实施后，建议在省市场监督管理局和省卫生健康委员会的支持与指导下，通过多样形式加强对该标准开展宣贯培训和解读，增强标准应用实施九、起草单位和起草人员信息及分工序号姓名单位名称职务/职称项目分工1张国明江苏省卫生健康信息中心高级工程师项目总负责人2唐凯江苏省卫生健康信息中心研究员级高工资源调配3陆家发江苏省卫生健康信息中心工程师参编区域卫生数据安全4朱沥沥南京市口腔医院工程师参编医院数据安全5刘云江苏省中医院高级工程师参编医院数据安全6管正涛江苏省卫生健康委员会调研员资源调配7韦小强江苏省卫生健康委员会主任科员参编8解明无锡市卫生健康统计信息中心高级工程师参编区域卫生数据安全9诸俊苏州大学附属儿童医院高级工程师参编医院数据安全10刘健镇江市第一人民医院正高级工程师