DB3205-T 1083-2023 医疗机构数据安全管理规范

CCSL09苏DB32052023-08-23发布苏州市市场监督管理局发布DB3205/T1083—2023前言 2规范性引用文件 3术语和定义 4概述 5数据安全基础工作 25.1组织管理 25.2人员管理 25.3制度管理 35.4经费保障 36数据安全常规工作 36.1基础设施安全管理 36.2资产管理 36.3分类分级管理 36.4分级管控建设 36.5培训管理 47数据安全专项工作 47.1风险监测 47.2应急处置 47.3安全评估 47.4共享与开放安全 47.5个人健康医疗数据管理 58安全评价与考核 5附录A（资料性）三种工作关系及标准的使用说明图 6附录B（资料性）组织架构设计 7附录C（资料性）数据资产清单 8附录D（资料性）数据分类分级管控基线 9附录E（资料性）数据安全评价表 10参考文献 DB3205/T1083—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由苏州市卫生健康委员会提出并归口。本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司、苏州如意云网络科技有限公司。本文件主要起草人：鞠鑫、谢兴潜、夏燕、孟华、朱杰、马振刚、张俊杰、陆晓明、刘旭哲、周文渊、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、陆建新、沈为濂、金健、仲晓伟、李斌、颜庆、顾纪君、徐先泉、张华荣、程思明、刘亚军、汪春亮、朱晨、诸俊、闵寒、柳维生、费雪刚、唐广场、沈翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝尚印。DB3205/T1083—2023随着国家医疗改革政策的推进，互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型医疗业务蓬勃发展，数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为支撑业务创新的关键。同时，随着物联网、人工智能等技术的在行业中不断创新应用，人脸、指纹等新型数据也成为了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性，医疗机构如何识别数据要素，如何更加安全、合理的利用医疗数据，也成为行业当前面临的共性难题。2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继施行，提出了国家对于数据保护的法律底线。而在2022年8月，由国家卫生健康委、国家中医药局、国家疾控局三部门联合发布并施行的《医疗卫生机构网络安全管理办法》，明确提出了相关监管单位对于医疗卫生机构网络数据安全管理的总体要求。本文件在国家法律、地方条例以及行业要求的基础上，针对苏州市各医疗机构提出了更为细化的数据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路，指导各医疗机构制定合理、有效的数据安全管理措施，从而提升医疗机构的数据安全管理和防护水平。本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路，并结合苏州本地医疗机构的实际调研情况，充分讨论、总结形成，具备科学性和可操作性。1DB3205/T1083—2023医疗机构数据安全管理规范本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求，描述了对应的证实方法。本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包括公立医院、民营医院、社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室、疾病预防控制中心、妇幼保健机构、专科疾病防治院（所、站）、卫生监督所（中心）。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T25069—2022信息安全技术术语GB/T39725—2020信息安全技术健康医疗数据安全指南3术语和定义GB/T25069—2022界定的以及下列术语和定义适用于本文件。3.1重要数据keydata特定领域、特定群体、特定区域或达到一定精度和规模，一旦被泄露、篡改或损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。3.2个人健康医疗数据personalhealthdata单独或者其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。[来源：GB/T39725—2020，3.1]3.3健康医疗信息系统healthinformationsystem以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。[来源：GB/T39725—2020，3.6]4概述2DB3205/T1083—2023医疗机构在开展数据安全管理时，应充分考虑国家及行业的相关要求，结合自身的基础设施现状，明确建设目标。根据数据安全管理工作开展的性质，将管理工作划分为基础工作、常规工作、专项工作三大类，具体说明如下：——基础工作是医疗机构开展数据安全管理工作的基础前提；——常规工作是保障医疗机构数据安全正常运行的常规要求；——专项工作是针对数据安全高风险场景、特殊的医疗业务场景、监管等场景下的管理优化专项建议。医疗机构可根据自身情况选择三种工作的执行内容和范围。医疗机构监管单位也可根据不同类型、级别的医疗机构，设置不同的数据安全管理工作的评价、考核指标。三种工作的关系及标准的使用说明见附录A。5数据安全基础工作5.1组织管理5.1.1医疗机构应建立数据安全管理团队。5.1.2数据安全管理团队应包含决策、管理、执行、监督四个层级（见附录B），具体要求如下：——决策层：负责统筹数据安全建设整体策略与方针，为数据安全工作指明方向；——管理层：负责数据安全管理工作，编制数据安全相关制度及要求，指导并推进数据安全工作的落实；——执行层：负责组织内部数据安全工作具体执行，例如：权限分配，关键数据处理活动的措施实施；——监督层：负责数据安全的日常审计及处理公众日常投诉等工作，定期开展数据安全审计和分析，及时发现并反馈问题和风险。5.1.3医疗机构应按照组织规模、组织级别、组织架构现状设立数据安全管理员岗，负责安全管理的具体工作。5.1.4针对小型医疗机构，如社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室等，宜简化数据安全管理团队层级，仅保留管理层和执行层，决策层与管理层职责合并，执行层与监督层职责合并。5.1.5针对小型医疗机构，如社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室等，宜采取一把手责任制，由机构最高领导兼任数据安全管理员。5.2人员管理5.2.1医疗机构应对数据安全管理员任用前、任用中、任用终止各环节建立有效的安全控制措施，具体要求如下：——任用前，应进行背景调查；——任用中，应签署相关的保密协议及安全责任协议；——离任后，应及时回收相应的管理权限，并确保完成工作交接。5.2.2数据安全管理团队所有成员应满足层级、岗位的数据安全能力要求，不满足条件时，宜通过外部招聘、培训等方式增强数据安全能力，以达到岗位要求。5.2.3医疗机构应为数据安全管理团队成员定制专业技能、安全意识、流程制度等维度的培训计划。5.2.4医疗机构应将相关数据安全工作纳入团队成员的日常工作考核中，并参考现有的考核机制执行奖惩。DB3205/T1083—20235.3制度管理5.3.1医疗机构应建立完善的数据安全管理制度，至少包含数据安全管理、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全培训5个部分，宜结合现有网络安全制度进行补充或通过独立制度文本呈现。5.3.2医疗机构若涉及第三方参与业务服务、实施，或与第三方单位有数据交互的情形，还应建立第三方的数据安全管理制度。5.3.3医疗机构若涉及数据出境情形，如国际远程会诊、海外科研等场景，还应按照《数据出境安全评估办法》的具体规定进行制度的补充建设。5.3.4医疗机构应定期修订管理制度，修订频率不低于一年一次。5.4经费保障医疗机构应在数据安全建设和运营方面设置保障经费。6数据安全常规工作6.1基础设施安全管理6.1.1医疗机构数据计算和存储的安全物理环境宜参考GB/T22239—2019中的相关要求建设。6.1.2医疗机构业务数据的存储设备应部署在中华人民共和国境内。6.1.3医疗机构业务数据的存储设备应具备访问控制、备份与恢复基本功能。6.1.4针对医疗机构重要数据，应采用本地备份、异地灾备的技术保障数据的完整性。6.2资产管理6.2.1医疗机构应定期更新《数据资产清单》（见附录C），包括数据资产的所在位置、数据所属的健康医疗信息系统、责任人、部门等信息。6.2.2医疗机构宜采用自动化工具定期进行数据资产的扫描，及时发现新增和变化的数据资产，并通过数据资产分布地图的形式呈现数据资产及资产变化情况。6.2.3当医疗机构重要数据资产、个人健康医疗数据资产发生较大变化和波动时，应有相应的监测、预警、处置机制。6.3分类分级管理6.3.1医疗机构应定期开展分类分级工作，对健康医疗信息系统内的数据资产进行分类分级标识。6.3.2医疗机构宜采用自动化工具的方式开展数据标识，并结合数据分类分级规范形成本机构的数据分类分级字典。6.3.3分类分级工作的执行频率应与数据资产管理频率保持一致。6.3.4医疗机构应制定数据级别变更的审批流程，审批链路上宜包含数据安全管理员，应对级别变更记录、审批记录进行保存。6.4分级管控建设6.4.1医疗机构宜参考GB/T39725—2020，采用流程审批、管理制度、加密、脱敏、权限限制、备份等手段对数据资产进行保护。6.4.2针对存储在医疗机构内的人脸识别信息，应按照《医疗卫生机构网络安全管理办法》采取特殊的安全技术手段进行保护。4DB3205/T1083—20236.4.3医疗机构应定期修订《数据分类分级管控基线》（见附录D），保证清单的适用性及合理性。6.5培训管理6.5.1医疗机构应定期组织数据安全培训，并形成相关记录，培训的内容应结合培训对象的需求制定，具体要求如下：——面对医疗机构全员，应包含法律宣传、管理制度宣贯、安全意识等培训课程；——面对医疗机构数据安全管理团队成员，应包含数据分类分级、数据安全风险评估、数据安全技术等培训课程。6.5.2医疗机构宜建立本机构的数据安全培训课程体系。7数据安全专项工作7.1风险监测7.1.1医疗机构应建立数据安全风险监测机制，提高风险发现的时效性。7.1.2医疗机构应具备数据安全风险发现能力，包含但不限于数据内容分析能力、数据行为分析能力、数据溯源能力。7.1.3医疗机构应定期开展人员安全意识评估，识别人员风险。7.1.4医疗机构应定期开展制度流程风险评估，识别流程设计、运行等缺陷。7.1.5医疗机构宜部署相关技术工具，辅助识别数据安全风险。7.2应急处置7.2.1医疗机构应建立完善的数据安全应急响应与事件处置机制，做好应急预案，并定期组织应急演练，保证信息资源的可用性。7.2.2医疗机构应依据国家及行业主管部门规定，综合事件性质、影响范围等因素，对安全事件进行分级管理。7.2.3医疗机构应按照医疗行业主管部门有关规定，向医疗机构监管单位上报数据安全事件及其处置情况。7.2.4医疗机构应在发生数据泄露事件时，及时采取补救措施，并按照合同协议等有关约定履行客户及合作方告知义务。7.2.5医疗机构应在事件处置结束后，分析原因总结存在的问题，并形成总结报告。7.3安全评估7.3.1医疗机构应建立数据安全检查评估机制，并定期组织数据安全风险评估，形成评估报告，报告内容包含但不限于：——评估的数据资产的种类、数量；——已开展数据处理活动的情况；——已识别的数据安全风险。7.3.2针对检查评估的结果，医疗机构应明确责任部门，编制适宜的整改计划，并由数据安全管理员跟踪落实。7.4共享与开放安全7.4.1医疗机构应设置数据共享与开放的责任人，负责组织内数据的对外共享和开放。DB3205/T1083—20237.4.2医疗机构应建立数据共享与开放的管理制度和管控规则。7.4.3医疗机构应根据共享和开放数据的类型、数量及影响范围，充分评估数据安全风险，形成数据共享开放风险评估报告。7.4.4针对医疗机构重要数据的共享场景，宜采取数据安全新技术实现数据的可用不可见，例如隐私计算。7.5个人健康医疗数据管理7.5.1针对个人健康医疗数据的安全管理要求应遵循相关国家标准和行业标准。7.5.2医疗机构应具有识别、区分个人健康医疗数据的能力，并对个人健康医疗数据进行标识。7.5.3医疗机构应建立个人健康医疗数据的安全管控机制及技术措施，包含但不限于个人健康医疗数据的收集、传输、存储、使用、删除、销毁以及个人健康医疗数据主体的权利。8安全评价与考核8.1医疗机构应按照本文件对自身数据安全建设情况进行评价。8.2医疗机构监管单位可参照本文件对医疗机构数据安全建设情况进行考核，考核方式可以评价表方式呈现（见附录E）。8.3考核可采取数据安全专项形式或在年度考核中体现。6DB3205/T1083—2023（资料性）三种工作关系及标准的使用说明图三种工作的关系以及标准的使用说明如A.1所示。图A.1医疗机构数据安全管理规范标准使用说明DB3205/T1083—2023组织架构设计医疗机构设计自身数据安全管理组织架构，示例见表B.1。表B.1数据安全组织架构（示例）督8DB3205/T1083—2023数据资产清单医疗机构建立的数据资产清单，示例见表C.1。表C.1数据资产清单DB3205/T1083—2023（资料性）数据分类分级管控基线医疗机构建立的数据分类分级管控基线，示例见表D.1。表D.1数据分类分级管控基线DB3205/T1083—2023（资料性）数据安全评价表医疗机构数据安全评价和考核表，示例见表E.1。表E.1数据安全评价表2324226222DB3205/T1083—2023表E.1数据安全评价表（续）2-1-1医疗机构是否通过对应级别的网络安全等保测22-1-2医疗机构业务数据存储在境内，且有明确的数22-1-3医疗机构业务数据是否采取一定的备份措施，2322-2-3医疗机构对于数据资产发生变化时有相应的流2理2-3-1医疗机构对于系统数据资产定期开展分类分级2分22-3-3医疗机构是否基于自身数据资产形成分类分级22-3-4医疗机构对于数据资产级别发生变化时有相应2设2-4-1医疗机构是否根据《数据分类分级管控基线》展数据安全能力建设，如加密、脱敏、水印、权限控制2