医疗机构数据安全管理规范.docx

《医疗机构数据安全管理规范.docx》由会员分享，可在线阅读，更多相关《医疗机构数据安全管理规范.docx（18页珍藏版）》请在优知文库上搜索。

1、ICS35.020CCSL09DB3205苏州市地方标准DB3205/T10832023医疗机构数据安全管理规范DatasecuritymanagementstandardsformedicaIinstitutions2023-08-31实施2023-08-23发布苏州市市场监督管理局发布目次前言II引言III1范围12规范性引用文件13术语和定义14概述15数据安全基础工作25. 1组织管理25.2 人员管理25.3 制度管理35.4 经费保障36数据安全常规工作36. 1基础设施安全管理36.2 资产管理36.3 分类分级管理36.4 分级管控建设36 .5培训管理47数据安全专项工作47

2、 .1风险监测48 .2应急处置49 .3安全评估410 4共享与开放安全411 5个人健康医疗数据管理58安全评价与考核5附录A（资料性）三种工作关系及标准的使用说明图6附录B（资料性）组织架构设计7附录C（资料性）数据资产清单8附录D（资料性）数据分类分级管控基线9附录E（资料性）数据安全评价表10参考文献13本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。本文件由苏州市卫生健康委员会提出并归口。本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网

3、络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司、苏州如意云网络科技有限公司。本文件主要起草人：鞠鑫、谢兴潜、夏燕、孟华、朱杰、马振刚、张俊杰、陆晓明、刘旭哲、周文渊、赵亚、姚永刚、顾嘉奇、汤景

4、云、沈婷、贝乾、陆建新、沈为濂、金健、仲晓伟、李斌、颜庆、顾纪君、徐先泉、张华荣、程思明、刘亚军、汪春亮、朱晨、诸俊、闵寒、柳维生、费雪刚、唐广场、沈狮、顾驰洲I、黄利军、沈颖杰、丁狮、方卫青、高吉吉、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝尚印。随着国家医疗改革政策的推进，互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型医疗业务蓬勃发展，数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为支撑业务创新的关键。同时，随着物联网、人工智能等技术的在行业中不断创新应用，人脸、指纹等新型数据也成为了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性，医疗

5、机构如何识别数据要素，如何更加安全、合理的利用医疗数据，也成为行业当前面临的共性难题。2021年，中华人民共和国数据安全法中华人民共和国个人信息保护法相继施行，提出了国家对于数据保护的法律底线。而在2022年8月，由国家卫生健康委、国家中医药局、国家疾控局三部门联合发布并施行的医疗卫生机构网络安全管理办法，明确提出了相关监管单位对于医疗卫生机构网络数据安全管理的总体要求。本文件在国家法律、地方条例以及行业要求的基础上，针对苏州市各医疗机构提出了更为细化的数据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路，指导各医疗机构制定合理、有效的数据安全管理措施，从而提升医疗机构的数据安全管理

6、和防护水平。本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路，并结合苏州本地医疗机构的实际调研情况，充分讨论、总结形成，具备科学性和可操作性。医疗机构数据安全管理规范1范围本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求，描述了对应的证实方法。本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包括公立医院、民营医院、社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室、疾病预防控制中心、妇幼保健机构、专科疾病防治院（所、站）、卫生监督所（中心）。2规范性引用文件下列文件中的内容通过文中的规范性引用

7、而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T222392019信息安全技术网络安全等级保护基本要求GB/T250692022信息安全技术术语GB/T39725-2020信息安全技术健康医疗数据安全指南3术语和定义GB/T250692022界定的以及下列术语和定义适用于本文件。3. 1重要数据keydata特定领域、特定群体、特定区域或达到一定精度和规模，一旦被泄露、篡改或损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。4. 2个人健康医疗数据personalhe

8、althdata单独或者其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。来源：GB/T397252020,3.15. 3健康医疗信息系统heaIthinformationsystem以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。来源：GB/T397252020,3.64概述医疗机构在开展数据安全管理时，应充分考虑国家及行业的相关要求，结合自身的基础设施现状，明确建设目标。根据数据安全管理工作开展的性质，将管理工作划分为基础工作、常规工作、专项工作三大类，具体说明如下： 基础工作是医疗机构开展数据安全管理工作的基础前提； 常规工作是保障

9、医疗机构数据安全正常运行的常规要求； 专项工作是针对数据安全高风险场景、特殊的医疗业务场景、监管等场景下的管理优化专项建议。医疗机构可根据自身情况选择三种工作的执行内容和范围。医疗机构监管单位也可根据不同类型、级别的医疗机构，设置不同的数据安全管理工作的评价、考核指标。三种工作的关系及标准的使用说明见附录Ao5数据安全基础工作5.1组织管理5.1.1医疗机构应建立数据安全管理团队。5. 1.2数据安全管理团队应包含决策、管理、执行、监督四个层级（见附录B）,具体要求如下： 决策层：负责统筹数据安全建设整体策略与方针，为数据安全工作指明方向； 管理层：负责数据安全管理工作，编制数据安全相关制度及

10、要求，指导并推进数据安全工作的落实； 执行层：负责组织内部数据安全工作具体执行，例如：权限分配，关键数据处理活动的措施实施； 监督层：负责数据安全的日常审计及处理公众日常投诉等工作，定期开展数据安全审计和分析，及时发现并反馈问题和风险。5.1.3医疗机构应按照组织规模、组织级别、组织架构现状设立数据安全管理员岗，负责安全管理的具体工作。5.1.4针对小型医疗机构，如社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室等，宜简化数据安全管理团队层级，仅保留管理层和执行层，决策层与管理层职责合并，执行层与监督层职责合并。5.1.5针对小型医疗机构，如社区卫生服务中心（站）、校医院、

11、乡镇卫生院、诊所（医务室）、村卫生室等，宜采取一把手责任制，由机构最高领导兼任数据安全管理员。5. 2人员管理5.1.1 医疗机构应对数据安全管理员任用前、任用中、任用终止各环节建立有效的安全控制措施，具体要求如下： 任用前，应进行背景调查； 任用中，应签署相关的保密协议及安全责任协议； 离任后，应及时回收相应的管理权限，并确保完成工作交接。5.1.2 数据安全管理团队所有成员应满足层级、岗位的数据安全能力要求，不满足条件时，宜通过外部招聘、培训等方式增强数据安全能力，以达到岗位要求。5.1.3 医疗机构应为数据安全管理团队成员定制专业技能、安全意识、流程制度等维度的培训计划。5.1.4 医疗

12、机构应将相关数据安全工作纳入团队成员的日常工作考核中，并参考现有的考核机制执行奖惩。5.3 制度管理5.3.1 1医疗机构应建立完善的数据安全管理制度，至少包含数据安全管理、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全培训5个部分，宜结合现有网络安全制度进行补充或通过独立制度文本呈现。5.3.2 医疗机构若涉及第三方参与业务服务、实施，或与第三方单位有数据交互的情形，还应建立第三方的数据安全管理制度。5.3.3 医疗机构若涉及数据出境情形，如国际远程会诊、海外科研等场景，还应按照数据出境安全评估办法的具体规定进行制度的补充建设。5.3.4 医疗机构应定期修订管理制度，修订频率

13、不低于一年一次。5.4 经费保障医疗机构应在数据安全建设和运营方面设置保障经费。6数据安全常规工作6. 1基础设施安全管理6.1.1 医疗机构数据计算和存储的安全物理环境宜参考GB/T22239-2019中的相关要求建设。6.1.2 医疗机构业务数据的存储设备应部署在中华人民共和国境内。6.1.3医疗机构业务数据的存储设备应具备访问控制、备份与恢复基本功能。6.1.4针对医疗机构重要数据，应采用本地备份、异地灾备的技术保障数据的完整性。6.2资产管理6.2.1 医疗机构应定期更新数据资产清单（见附录C）,包括数据资产的所在位置、数据所属的健康医疗信息系统、责任人、部门等信息。6.2.2 医疗机

14、构宜采用自动化工具定期进行数据资产的扫描，及时发现新增和变化的数据资产，并通过数据资产分布地图的形式呈现数据资产及资产变化情况。6.2.3 当医疗机构重要数据资产、个人健康医疗数据资产发生较大变化和波动时，应有相应的监测、预警、处置机制。6.3分类分级管理6. 3.1医疗机构应定期开展分类分级工作，对健康医疗信息系统内的数据资产进行分类分级标识。7. 3.2医疗机构宜采用自动化工具的方式开展数据标识，并结合数据分类分级规范形成本机构的数据分类分级字典。8. 3.3分类分级工作的执行频率应与数据资产管理频率保持一致。9. 3.4医疗机构应制定数据级别变更的审批流程，审批链路上宜包含数据安全管理员

15、，应对级别变更记录、审批记录进行保存。6.4分级管控建设6.4.1医疗机构宜参考GB/T397252020,采用流程审批、管理制度、加密、脱敏、权限限制、备份等手段对数据资产进行保护。6.4.2 针对存储在医疗机构内的人脸识别信息，应按照医疗卫生机构网络安全管理办法采取特殊的安全技术手段进行保护。6.4.3 医疗机构应定期修订数据分类分级管控基线（见附录D）,保证清单的适用性及合理性。6.5培训管理6.5. 1医疗机构应定期组织数据安全培训，并形成相关记录，培训的内容应结合培训对象的需求制定，具体要求如下：面对医疗机构全员，应包含法律宣传、管理制度宣贯、安全意识等培训课程；面对医疗机构数据安全管理团队成员，应包含数据分类分级、数据安全风险评估、数据安全技术等培训课程。6.5.2医疗机构宜建立本机构的数据安全培训课程体系。7数据安全专项工作7. 1风险监测7.1.1 医疗机构应建立数据安全风险监测机制，提高风险发现的时效性。7.1.2 医疗机构应具备数据安全风险发现能力，