医疗机构数据安全管理规范

DB3205/T1083—2023

医疗机构数据安全管理规范

1范围

本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求，描述了对应的

证实方法。

本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包括公

立医院、民营医院、社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室、疾

病预防控制中心、妇幼保健机构、专科疾病防治院（所、站）、卫生监督所（中心）。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069—2022信息安全技术术语

GB/T39725—2020信息安全技术健康医疗数据安全指南

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模，一旦被泄露、篡改或损毁，可能直接危害

国家安全、经济运行、社会稳定、公共健康和安全的数据。

3.2

个人健康医疗数据personalhealthdata

单独或者其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数

据。

[来源：GB/T39725—2020，3.1]

3.3

健康医疗信息系统healthinformationsystem

以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。

[来源：GB/T39725—2020，3.6]

4概述

1

DB3205/T1083—2023

医疗机构在开展数据安全管理时，应充分考虑国家及行业的相关要求，结合自身的基础设施现状，

明确建设目标。根据数据安全管理工作开展的性质，将管理工作划分为基础工作、常规工作、专项工作

三大类，具体说明如下：

——基础工作是医疗机构开展数据安全管理工作的基础前提；

——常规工作是保障医疗机构数据安全正常运行的常规要求；

——专项工作是针对数据安全高风险场景、特殊的医疗业务场景、监管等场景下的管理优化专项

建议。

医疗机构可根据自身情况选择三种工作的执行内容和范围。医疗机构监管单位也可根据不同类型、

级别的医疗机构，设置不同的数据安全管理工作的评价、考核指标。三种工作的关系及标准的使用说明

见附录A。

5数据安全基础工作

5.1组织管理

5.1.1医疗机构应建立数据安全管理团队。

5.1.2数据安全管理团队应包含决策、管理、执行、监督四个层级（见附录B），具体要求如下：

——决策层：负责统筹数据安全建设整体策略与方针，为数据安全工作指明方向；

——管理层：负责数据安全管理工作，编制数据安全相关制度及要求，指导并推进数据安全工作的

落实；

——执行层：负责组织内部数据安全工作具体执行，例如：权限分配，关键数据处理活动的措施实

施；

——监督层：负责数据安全的日常审计及处理公众日常投诉等工作，定期开展数据安全审计和分析，

及时发现并反馈问题和风险。

5.1.3医疗机构应按照组织规模、组织级别、组织架构现状设立数据安全管理员岗，负责安全管理的

具体工作。

5.1.4针对小型医疗机构，如社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村

卫生室等，宜简化数据安全管理团队层级，仅保留管理层和执行层，决策层与管理层职责合并，执行层

与监督层职责合并。

5.1.5针对小型医疗机构，如社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村

卫生室等，宜采取一把手责任制，由机构最高领导兼任数据安全管理员。

5.2人员管理

5.2.1医疗机构应对数据安全管理员任用前、任用中、任用终止各环节建立有效的安全控制措施，具

体要求如下：

——任用前，应进行背景调查；

——任用中，应签署相关的保密协议及安全责任协议；

——离任后，应及时回收相应的管理权限，并确保完成工作交接。

5.2.2数据安全管理团队所有成员应满足层级、岗位的数据安全能力要求，不满足条件时，宜通过外

部招聘、培训等方式增强数据安全能力，以达到岗位要求。

5.2.3医疗机构应为数据安全管理团队成员定制专业技能、安全意识、流程制度等维度的培训计划。

5.2.4医疗机构应将相关数据安全工作纳入团队成员的日常工作考核中，并参考现有的考核机制执行

奖惩。

2

DB3205/T1083—2023

5.3制度管理

5.3.1医疗机构应建立完善的数据安全管理制度，至少包含数据安全管理、数据分类分级保护、数据

安全风险评估、数据安全应急处置、数据安全培训5个部分，宜结合现有网络安全制度进行补充或通过

独立制度文本呈现。

5.3.2医疗机构若涉及第三方参与业务服务、实施，或与第三方单位有数据交互的情形，还应建立第

三方的数据安全管理制度。

5.3.3医疗机构若涉及数据出境情形，如国际远程会诊、海外科研等场景，还应按照《数据出境安全

评估办法》的具体规定进行制度的补充建设。

5.3.4医疗机构应定期修订管理制度，修订频率不低于一年一次。

5.4经费保障

医疗机构应在数据安全建设和运营方面设置保障经费。

6数据安全常规工作

6.1基础设施安全管理

6.1.1医疗机构数据计算和存储的安全物理环境宜参考GB/T22239—2019中的相关要求建设。

6.1.2医疗机构业务数据的存储设备应部署在中华人民共和国境内。

6.1.3医疗机构业务数据的存储设备应具备访问控制、备份与恢复基本功能。

6.1.4针对医疗机构重要数据，应采用本地备份、异地灾备的技术保障数据的完整性。

6.2资产管理

6.2.1医疗机构应定期更新《数据资产清单》（见附录C），包括数据资产的所在位置、数据所属的

健康医疗信息系统、责任人、部门等信息。

6.2.2医疗机构宜采用自动化工具定期进行数据资产的扫描，及时发现新增和变化的数据资产，并通

过数据资产分布地图的形式呈现数据资产及资产变化情况。

6.2.3当医疗机构重要数据资产、个人健康医疗数据资产发生较大变化和波动时，应有相应的监测、

预警、处置机制。

6.3分类分级管理

6.3.1医疗机构应定期开展分类分级工作，对健康医疗信息系统内的数据资产进行分类分级标识。

6.3.2医疗机构宜采用自动化工具的方式开展数据标识，并结合数据分类分级规范形成本机构的数据

分类分级字典。

6.3.3分类分级工作的执行频率应与数据资产管理频率保持一致。

6.3.4医疗机构应制定数据级别变更的审批流程，审批链路上宜包含数据安全管理员，应对级别变更

记录、审批记录进行保存。

6.4分级管控建设

6.4.1医疗机构宜参考GB/T39725—2020，采用流程审批、管理制度、加密、脱敏、权限限制、备份

等手段对数据资产进行保护。

6.4.2针对存储在医疗机构内的人脸识别信息，应按照《医疗卫生机构网络安全管理办法》采取特殊

的安全技术手段进行保护。

3

DB3205/T1083—2023

6.4.3医疗机构应定期修订《数据分类分级管控基线》（见附录D），保证清单的适用性及合理性。

6.5培训管理

6.5.1医疗机构应定期组织数据安全培训，并形成相关记录，培训的内容应结合培训对象的需求制定，

具体要求如下：

——面对医疗机构全员，应包含法律宣传、管理制度宣贯、安全意识等培训课程；

——面对医疗机构数据安全管理团队成员，应包含数据分类分级、数据安全风险评估、数据安全技

术等培训课程。

6.5.2医疗机构宜建立本机构的数据安全培训课程体系。

7数据安全专项工作

7.1风险监测

7.1.1医疗机构应建立数据安全风险监测机制，提高风险发现的时效性。

7.1.2医疗机构应具备数据安全风险发现能力，包含但不限于数据内容分析能力、数据行为分析能力、

数据溯源能力。

7.1.3医疗机构应定期开展人员安全意识评估，识别人员风险。

7.1.4医疗机构应定期开展制度流程风险评估，识别流程设计、运行等缺陷。

7.1.5医疗机构宜部署相关技术工具，辅助识别数据安全风险。

7.2应急处置

7.2.1医疗机构应建立完善的数据安全应急响应与事件处置机制，做好应急预案，并定期组织应急演

练，保证信息资源的可用性。

7.2.2医疗机构应依据国家及行业主管部门规定，综合事件性质、影响范围等因素，对安全事件进行

分级管理。

7.2.3医疗机构应按照医疗行业主管部门有关规定，向医疗机构监管单位上报数据安全事件及其处置

情况。

7.2.4医疗机构应在发生数据泄露事件时，及时采取补救措施，并按照合同协议等有关约定履行客户

及合作方告知义务。

7.2.5医疗机构应在事件处置结束后，分析原因总结存在的问题，并形成总结报告。

7.3安全评估

7.3.1医疗机构应建立数据安全检查评估机制，并定期组织数据安全风险评估，形成评估报告，报告

内容包含但不限于：

——评估的数据资产的种类、数量；

——已开展数据处理活动的情况；

——已识别的数据安全风险。

7.3.2针对检查评估的结果，医疗机构应明确责任部门，编制适宜的整改计划，并由数据安全管理员

跟踪落实。

7.4共享与开放安全

7.4.1医疗机构应设置数据共享与开放的责任人，负责组织内数据的对外共享和开放。

4

DB3205/T1083—2023

7.4.2医疗机构应建立数据共享与开放的管理制度和管控规则。

7.4.3医疗机构应根据共享和开放数据的类型、数量及影响范围，充分评估数据安全风险，形成数据

共享开放风险评估报告。

7.4.4针对医疗机构重要数据的共享场景，宜采取数据安全新技术实现数据的可用不可见，例如隐私

计算。

7.5个人健康医疗数据管理

7.5.1针对个人健康医疗数据的安全管理要求应遵循相关国家标准和行业标准。

7.5.2医疗机构应具有识别、区分个人健康医疗数据的能力，并对个人健康医疗数据进行标识。

7.5.3医疗机构应建立个人健康医疗数据的安全管控机制及技术措施，包含但不限于个人健康医疗数

据的收集、传输、存储、使用、删除、销毁以及个人健康医疗数据主体的权利。

8安全评价与考核

8.1医疗机构应按照本文件对自身数据安全建设情况进行评价。

8.2医疗机构监管单位可参照本文件对医疗机构数据安全建设情况进行考核，考核方式可以评价表方

式呈现（见附录E）。

8.3考核可采取数据安全专项形式或在年度考核中体现。

5

DB3205/T1083—2023

附录A

（资料性）

三种工作关系及标准的使用说明图

三种工作的关系以及标准的使用说明如A.1所示。

图A.1医疗机构数据安全管理规范标准使用说明

6

DB3205/T1083—2023

附录B

（资料性）

组织架构设计

医疗机构设计自身数据安全管理组织架构，示例见表B.1。

表B.1数据安全组织架构（示例）

组织层级角色职责一般建议

1、制定数据安全整体目标和发展规划采取一把手责任制，成立由医

2、发布数据安全管理制度及规范院党委书记/院长担任组长，业

数据安全

决策层3、提供数据安全规划、设计、建设、实施、运营等全务分管副院长、信息分管副院

领导小组

过程的资源保障长担任副组长的数据安全领导

4、负责重大数据安全事件协调与决策等小组

1、制定数据安全管理制度及规范

2、制定数据安全工作在各层级的运行机制，保障数据

由数据安全领导小组指派信息

安全工作的顺利推进

中心主任/分管安全建设副主

数据安全3、推进数据安全意识培训、安全技能提升、安全共享

管理层任作为数据安全负责人，与各

管理团队开放、安全技术考核等工作的开展

业务科室主任组成数据安全管

4、负责与国家数据安全相关监督部门及行业组织的协

理团队

调沟通

5、负责数据安全的日常管理工作等

1、负责数据安全制度及规范的具体执行

2、负责数据安全事件的检测、处置、分析

由各业务科室与数据处理活动

数据安全3、负责数据安全的风险评估

执行层相关的人员共同组成数据安全

执行团队4、负责反馈合理的数据安全需求，促进数据安全防护

执行团队

工作的改进

5、积极参与数据安全意识培训、能力培养及考核工作

1、对数据安全制度及规范的完整性及执行情况进行监

由审计科、人事科等以及随机

数据安全督

监督层抽调的业务科室、信息科人员

监督小组2、对数据安全技术工具的落地情况进行监督

组成数据安全监督小组

3、对数据安全风险评估过程进行监督审计等

7

DB3205/T1083—2023

附录C

（资料性）

数据资产清单

医疗机构建立的数据资产清单，示例见表C.1。

表C.1数据资产清单

备注（描述影响定

部门/业数据责任存储存储

类别级别存储主机数据库数据表级的字段及其等

务/系统资产人方式位置

级）

8

DB3205/T1083—2023

附录D

（资料性）

数据分类分级管控基线

医疗机构建立的数据分类分级管控基线，示例见表D.1。

表D.1数据分类分级管控基线

一二

三级四级

级级定义定义

内容最低安全级别参考管控措施要求

子子说明编子说明编子编

类类码类码类码

9

DB3205/T1083—2023

附录E

（资料性）

数据安全评价表

医疗机构数据安全评价和考核表，示例见表E.1。

表E.1数据安全评价表

一级指标二级指标评分规则分值

1-1-1医疗机构是否有定义数据安全部门或组织，有对应的组织职责说明文件，

1-12

可查证得2分，否则不得分

组织管理

1-1-2医疗机构是否设置独立的数据安全岗位或数据安全管理员，有对应岗位

（5分）3

说明和人员任命，可查证得3分，否则不得分

1-2-1医疗机构对于数据安全管理人员，是否有背景调查流程、保密协议签订

2

流程以及入职、离职交接流程，有对应管理制度，可查证得2分，否则不得分

1-2-2医疗机构数据安全管理人员是否有数据安全领域的证书资质，包括但不

1-2限于CISP-DSG、CCSC、DPO、CDPSE等，有对应证书证明，每项证书得1分，最4

人员管理高4分

（10分）1-2-3医疗机构对于数据安全部门或组织人员是否有清晰的数据安全培训和赋

2

能计划，有明确计划并有执行记录，可查证得2分，否则不得分

M1

1-2-4医疗机构对于数据安全部门或组织人员是否有明确的数据安全技能考核

数据安全基2

要求，有对应的绩效考核办法，可查证得2分，否则不得分

础工作

1-3-1医疗机构制度体系建设是否包含数据安全管理、数据分类分级保护、风

（37分）

险评估、数据安全应急处置、数据安全教育培训5大类，有对应的管理制度，10

每个制度得2分，最高10分

1-31-3-2医疗机构对于数据分类分级保护制度是否包含资产管理、分类分级规范、

6

制度管理分类分级管控3个部分，每个模块得分2分，最高6分

（20分）1-3-3医疗机构对于第三方运维、数据出境场景建立对应的管理制度，有相关

2

制度，可查证得2分，否则不得分

1-3-4医疗机构是否定期对管理制度进行更新，每年至少修订1次。得2分，

2

否则不得分

1-41-4-1医疗机构应设置数据安全建设和运营的保障经费，用于数据安全的设施

经费保障建设、升级改造、教育培训、应急演练、事件处置等用途，持续投入，得2分，2

（2分）否则不得分

10

DB3205/T1083—2023

表E.1数据安全评价表（续）

一级指标二级指标评分规则分值

2-1-1医疗机构是否通过对应级别的网络安全等保测评，有测评认证报告，可

2

2-1查证得2分，否则不得分

基础设施安2-1-2医疗机构业务数据存储在境内，且有明确的数据资产位置、分布信息记

2

全管理录，可查证得2分，否则不得分

（6分）2-1-3医疗机构业务数据是否采取一定的备份措施，无备份不得分，本地备份

2

及部分数据备份得1分，异地全量备份得2分

2-2-1医疗机构对于系统数据资产展开梳理，并定期更新《数据资产清单》，

3

可查证得3分，否则不得分

2-2

2-2-2医疗机构能够采用工具对于数据资产进行自动化扫描和管理得2分，无

资产管理2

工具不得分

（7分）

2-2-3医疗机构对于数据资产发生变化时有相应的流程、处置机制，可查证得

2

2分，否则不得分

2-3-1医疗机构对于系统数据资产定期开展分类分级工作，对数据资产进行打

2

标，有相关操作记录和分类分级成果，可查证得2分

M22-32-3-2医疗机构能够采用工具对于数据资产进行识别打标得2分，无工具不得

2

数据安全常分类分级管分

规工作理2-3-3医疗机构是否基于自身数据资产形成分类分级字典，形成字典可查证得

2

（43分）（8分）2分，否则不得分

2-3-4医疗机构对于数据资产级别发生变化时有相应得流程、审批机制，可查

2

证得2分，否则不得分

2-4-1医疗机构是否根据《数据分类分级管控基线》以及相关标准的要求，开

展数据安全能力建设，如加密、脱敏、水印、权限控制、备份、流程管控等，10

2-4能清晰描述管控方案及应对风险，每一条得2分，最高10分

分级管控建2-4-2医疗机构是否对人脸识别信息采取了特殊的安全保护措施，如从物理上

设进行隔离、加密、权限控制等，能清晰描述管控方案及应对风险，每一条得26

（18分）分，最高6分

2-4-3医疗机构是否定期对《数据分类分级管控基线》进行更新，有相关更新

2

机制和更新记录得2分，否则不得分

2-5-1医疗机构是否针对机构全员组织数据安全培训工作，有数据安全培训记

2-53

录，可查证得3分，否则不得分

培训管理

2-5-2医疗机构是否针对数据安全形成培训课程体系，包括课程名称、培训对

（4分）1

象、培训目标，考核模式，有课程体系设计得1分，否则不得分

11

DB3205/T1083—2023

表E.1数据安全评价表（续）

一级指标二级指标评分规则分值

3-1-1医疗机构针对数据安全风险是否有安全监测手段，能够实时发现安全风

2

险，有相应手段并能够展示安全风险得2分，否则不得分

3-1-2医疗机构针对数据安全风险发现的手段是否涵盖数据内容分析能力、数

3-13

据行为分析能力、数据溯源能力3项，每项得1分，总分3分

风险监测

3-1-3医疗机构针对人员安全意识、安全管理制度是否定期开展评估工作，有

（7分）1

评估记录，得1分，否则不得分

3-1-4医疗机构针对数据安全风险，是否通过工具实现高效的监测管理，有监

1

测工具得1分

3-2-1医疗机构针对数据泄漏事件是否设定应急预案，有应急预案，并定期进

3-22

行应急演练，可查证得2分，否则不得分

应急处置

3-3-2应急预案中应包含事件分类、定级、上报、补救、回溯各个环节，每个

M3（4分）2

环节得0.5分，最高2分

数据安全专

3-3-1医疗机构是否定期开展数据安全风险评估，有数据安全风险评估报告，

项工作3-32

可查证得2分，否则不得分

（20分）安全评估

3-3-2医疗机构针对数据安全风险评估报告中的安全问题，是否建设形成整改

（3分）1

方案，有整改方案，可查证得1分，否则不得分

3-4-1医疗机构是否针对数据共享开放指定责任人，有明确责任人得1分。1

3-4

3-4-2医疗机构针对数据共享开放是否有明确的管控措施，有管控措施说明，

共享与开放1

可查证得1分

安全

3-4-3医疗机构针对数据共享开放场景，是否采用创新技术用于管理实践，有

（4分）2

相关创新课题研究得1分，有落地实践得2分

3-5

个人健康医3-5-1医疗机构针对系统内的个人信息是否做了独立的识别和管理，并能在分

2

疗数据管理类分级管控清单中体现，得2分，否则不得分

（2分）

注：评价总分为100分，评价结果分高（≥85分）、中（60（含）～85分）、低（＜60分）三档

12

DB3205/T1083—2023

参考文献

[1]GB/T22080—2016信息技术安全技术信息安全管理体系要求

[2]GB/T22081—2016信息技术安全技术信息安全控制实践指南

[3]GB/T35273—2020信息安全技术个人信息安全规范

[4]GB/T37964—2019信息安全技术个人信息去标识化指南

[5]中华人民共和国数据安全法（中华人民共和国主席令第84号）

[6]中华人民共和国网络安全法（中华人民共和国主席令第53号）

[7]中华人民共和国个人信息保护法（中华人民共和国主席令第91号）

[8]数据出境安全评估办法（国家互联网信息办公室）

[9]医疗卫生机构网络安全管理办法（国家卫生健康委、国家中医药局、国家疾控局）

13

ICS35.020

CCSL09

DB3205

苏州市地方标准

DB3205/T1083—2023

医疗机构数据安全管理规范

Datasecuritymanagementstandardsformedicalinstitutions

2023-08-23发布2023-08-31实施

苏州市市场监督管理局发布

DB3205/T1083—2023

医疗机构数据安全管理规范

1范围

本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求，描述了对应的

证实方法。

本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包括公

立医院、民营医院、社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室、疾

病预防控制中心、妇幼保健机构、专科疾病防治院（所、站）、卫生监督所（中心）。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069—2022信息安全技术术语

GB/T39725—2020信息安全技术健康医疗数据安全指南

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模，一旦被泄露、篡改或损毁，可能直接危害

国家安全、经济运行、社会稳定、公共健康和安全的数据。

3.2

个人健康医疗数据personalhealthdata

单独或者其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数

据。

[来源：GB/T39725—2020，3.1]

3.3

健康医疗信息系统healthinformationsystem

以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。

[来源：GB/T39725—2020，3.6]

4概述

1

DB3205/T1083—2023

医疗机构在开展数据安全管理时，应充分考虑国家及行业的相关要求，结合自身的基础设施现状，

明确建设目标。根据数据安全管理工作开展的性质，将管理工作划分为基础工作、常规工作、专项工作

三大类，具体说明如下：

——基础工作是医疗机构开展数据安全管理工作的基础前提；

——常规