WS_T 788—2021 国家卫生信息资源使用管理规范.pdf

资源描述

1、 ICS 11.020 CCS C 07 WS中华人民共和国卫生行业标准 WS/T 7882021 国家卫生信息资源使用管理规范 Management specification for use of health information resource 2021-10-27 发布 2022-04-01 实施中华人民共和国国家卫生健康委员会发布 WS/T 7882021 I 目次 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 总则.2 5 总体框架.2 6 卫生信息资源管理职责.3 7 卫生信息资源使用方式.4 8 卫生信息资源的安全管理.5 WS

2、/T 7882021 II 前言本标准由国家卫生健康标准委员会卫生健康信息标准专业委员会负责技术审查和技术咨询，由国家卫生健康委统计信息中心负责协调性和格式审查，由国家卫生健康委规划发展与信息化司负责业务管理、法规司负责统筹管理。本标准起草单位：国家卫生健康委统计信息中心、上海市卫生健康信息中心、上海申康医院发展中心。本标准主要起草人：胡建平、徐向东、谢桦、何萍、周光华、崔欣、张宇希、梁艺琼、滕琳。WS/T 7882021 1 国家卫生信息资源使用管理规范 1 范围本标准定义了“全民健康保障信息化工程一期项目”卫生信息资源的管理职责、使用方式和安全管理要求。本标准适用于“全民健康保障信息

3、化工程一期项目”卫生信息资源使用与管理。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。GB/T 21062.1 政务信息资源交换体系第1部分总体框架 GB/T 21062.4 政务信息资源交换体系第4部分技术管理要求 GB/T 31167 信息安全技术云计算服务安全指南 GB/T 36073 数据管理能力成熟度评估模型 3 术语和定义下列术语和定义适用于本标准。3.1 卫生信息资源 health information res

4、ource 卫生系统部门或机构在履行职责或开展业务过程中采集、存储、传输、处理和产生的以数字化形式记录的各类信息的集合。卫生信息资源分标准类数据资源和业务类数据资源两大类。3.1.1 标准类数据资源 standard data resources 具有基础性、通用性、标识性和共享性等特征的卫生信息资源，包括基础类、数据类、技术类、管理类等。3.1.2 业务类数据资源 service data resources 由卫生业务系统和管理系统产生的信息资源，包括公共卫生、医疗服务、医疗保障、药品管理、计划生育、综合管理等方面的信息资源。业务类数据资源根据数据处理形态分为三类。一是原始数据，直接产自医

5、疗卫生机构的业务系统和管理系统，未经加工的数据（集）；二是中间数据，经过脱敏脱密处理，根据主题形成的或依据用户需求定制的数据（集）；三是结果数据，经过统计、分析、计算等加工处理后产生的可供直接应用的数据。3.2 卫生信息资源用户 health information resource uses 遵守国家有关法律、法规和本规范的相关条款，按需提出卫生信息资源使用申请的公民、法人或者其他组织。卫生信息资源用户分为五类：卫生健康行政部门，卫生健康行政部门下属机构用户，其他政府行政管理部门和下属机构用户，高校和研究所等科研机构用户，其他用户。3.3 服务类型 type of service WS/T

6、7882021 2 服务类型包括无偿服务和有偿服务，无偿服务指免费或只收取数据服务成本费，有偿服务指酌情收取数据服务费。4 总则 4.1 目的本标准目的是加快推动卫生信息资源管理与共享，提高卫生信息使用效率效果，提升卫生服务水平，充分发挥卫生信息资源共享在深化医改、创新服务和管理中的重要作用。本标准是继全民健康信息平台以互联互通的方式对卫生信息数据采集、整合与治理形成可靠的信息资源之后，以开放、安全的资源管理框架形成对信息资源使用的全生命周期管理，促进卫生信息资源的合理共享与应用。4.2 原则以共享为原则，不共享为例外。各医疗卫生机构和卫生健康行政部门形成的卫生信息资源原则上应予共享，涉及

7、国家秘密和安全的，按相关法律法规执行。需求导向，按需使用。因业务需要或者履行职责需要使用共享信息的机构和个人提出明确的卫生信息共享需求和信息使用用途，卫生信息产生和提供机构和部门应及时响应。统一标准，统筹建设。按照国家卫生信息相关标准进行卫生信息资源的采集、存储、交换和共享工作，坚持“一数一源”、统筹建设卫生信息资源目录体系以及基于目录的共享交换体系。建立机制，保障安全。建立卫生信息资源共享管理机制和信息共享工作评价机制，各级卫生健康行政部门和信息资源共享平台管理单位应加强对数据资源管理与使用全过程的身份鉴别、授权管理、审计追踪和安全保障，确保共享信息安全。5 总体框架国家卫生信息资源使用管

8、理规范遵从GB/T 21062.1、GB/T 21062.4、GB/T 36073、GB/T 31167等标准，主要包含：卫生信息资源管理职责划分，卫生信息资源使用方式以及卫生信息资源的安全管理与监督保障。总体架构如图1所示：6 卫生6.1 数卫生卫生信息各级各级如下职责6.2 数各级采集的信息应当严信息资源管理据管理者生信息资源的息资源的管理级卫生健康行负责卫生信负责卫生信负责监督和级各类医疗卫责：负责卫生信负责卫生信负责卫生信负责用户申负责卫生信据提供者级各类医疗卫信息应当符合严格实行信息图1 理职责的使用实行分理与使用服务行政部门为卫信息资源管理信息资源提供和管理管理

9、范卫生机构信息信息资源的采信息资源共享信息资源安全申请授权的合信息资源的信卫生机构为数合业务应用和息复核程序，国家卫生信分级管理，由务。卫生信息资源理的相关标准供和使用过程范围内卫生信息管理部门（采集、存储和享、开放、利全使用环境的合规性审核；信息安全保障数据提供者，和管理要求，避免重复采信息资源使用国家、省（市源主管部门，准、规范、制程中的审批和信息资源的保中心）为卫生和处理；利用等技术服的搭建及维护障工作。应当按照“一保证卫生信息采集、多头采集用管理规范总市区）、市、履行如下职制度的制订和和监督工作；保密工作。生信息资源使服务的提供；护；一数一源、最息中标识的唯集；应当严格总体框架县四

10、级全民责：落实；使用管理的实最少够用”的唯一性，数据格执行相关标WS/T民健康信息平实施单位（部的原则采集卫据的一致性，标准，做到标T 78820213 平台提供本级部门），履行卫生信息，所所采集的信标准统一、术级行所信术WS/T 7882021 4 语规范、内容准确；在数据发生变更时，应当将所管理的卫生信息完整、安全地移交给主管部门或承接延续其职能的机构管理，不得造成卫生信息的损毁、丢失；应当按照法律法规的规定，遵循医学伦理原则，保证信息安全，保护个人隐私。6.3 数据使用者各类卫生信息资源用户为数据使用者，应依法依规使用卫生信息资源，加强信息资源使用的全过程管理。数据使用者对从共享平台

11、获取的信息，只能按照明确的目的和用途使用，不得直接或以改变数据形式等方式提供给第三方，也不得用于或变相用于其他目的。6.4 数据使用规则各级卫生健康行政部门用户因履行职责需要使用中间数据、结果数据，由下属信息管理部门（中心）无偿提供。各级卫生健康行政部门下属事业单位用户因开展业务需要使用中间数据、结果数据，由卫生健康行政部门下属信息管理部门（中心）无偿提供。其他行政和事业单位、高校和科研院所用户因职责履行或科学研究所需要使用中间数据、结果数据，需向相关的卫生健康行政部门申请，审批通过后由卫生健康行政部门下属信息管理部门（中心）无偿提供。公安等特殊政府部门需要使用原始数据，需向相关的卫生健康行

12、政部门申请，审批通过后由信息管理部门（中心）无偿提供。其他社会用户如需要使用结果数据或中间数据，需向相关卫生健康行政部门申请，审批通过后由信息管理部门（中心）有偿提供，具体标准由相关部门另行制定。在保证患者个人隐私的前提下，按照相关规定在履行居民和患者本人授权和卫生健康行政部门批准的合法合规程序后，信息管理部门（中心）可以为医疗保险、健康管理等机构提供相关原始数据。医疗卫生服务提供者为居民和患者个人提供医疗卫生服务时，按照相关规定在履行居民和患者本人授权和卫生健康行政部门批准的合法合规程序后，可使用原始数据。在保证居民和患者个人隐私的前提下，经卫生健康行政部门批准，信息管理部门（中心）可以对医

13、疗卫生机构提供限于科研、医疗、健康管理用途的原始数据。居民和患者个人通过安全的身份认证后，方可使用本人原始数据。7 卫生信息资源使用方式卫生信息资源开放平台是卫生信息开放共享最重要的渠道，依托卫生信息资源的开放平台建立规范化数据应用环境，基于卫生信息资源目录实现对数据的发布，推动数据在安全架构下的合理共享与使用。7.1 卫生信息资源目录根据已发布的卫生信息标准及卫生信息资源，按照政务信息资源目录编制指南（试行）中关于政务信息资源目录的要求，明确卫生信息资源的分类、责任方、格式、属性、更新时限、共享类型、共享方式、使用要求等内容。在行业卫生信息整合、跨行业卫生相关信息融合的基础上，逐步实现卫

14、生信息互联共享，按照卫生信息资源的数据属性和应用领域进行信息分类，按照卫生信息资源的保密级别、使用权限进行信息分级，形成内容全面、信息完整、分类合理、分级明确的卫生信息资源库及信息资源目录。7.1.1 卫生信息资源目录管理国家卫生健康行政部门汇总形成国家卫生信息资源目录，并建立目录更新机制。国家卫生信息资源目录是实现国家卫生信息资源共享和业务协同的基础，是医疗卫生服务机构和卫生健康行政部门间信息资源共享的依据。各级卫生健康行政部门维护本地区卫生信息资源目录，并在有关法律法规作出修订或业务需求或行政管理职能发生变化后及时更新本地区卫生信息资源目录，并负责对卫生信息资源目录更新工作的监督考核。W

15、S/T 7882021 5 7.1.2 卫生信息资源目录开放基于卫生信息资源目录建立卫生信息资源的开放平台，依据相关规范向卫生信息资源用户公开卫生信息资源，合法有序地推进卫生信息资源的共享开放，除法律、法规另有规定外，需遵循政府信息公开原则。凡涉及国家秘密的数据资源，按照国家有关涉密数据管理规定执行。7.2 数据使用的全生命周期管理用户基于信息资源目录申请使用卫生信息资源，形成数据使用者经授权获取卫生信息数据的业务流程管理。卫生信息资源使用过程必须基于全生命周期管理规范，在卫生信息资源的整个生命周期内，记录数据从创建存储开始，包括数据的申请、审批、创建、利用、回收、销毁的全过程。数据申请：

16、基于卫生信息资源目录为数据使用者提供在线的数据申请通道。数据审批：数据管理者基于数据授权使用原则对数据申请进行审批。数据创建：通过数据管理者审批的数据申请，由信息管理部门（中心）实现对数据开放任务的创建，完成申请范围数据的准备。数据利用：数据使用者可通过指定的方式获取已创建的数据。不同的数据提供方式需辅以不同的安全策略，使用单位或者个人应当按照授权要求，做好所涉及的卫生信息资源安全和隐私保护工作，使用单位或者个人不得超出授权范围利用卫生信息资源。数据的提供方式可根据数据属性、应用领域、保密级别等相关分级要求，采用合适的方式进行提供，包括但不限于：在指定地点或设备上直接使用数据；以数据接口对接形

17、式交换数据；以数据导出形式借助存储介质（如光盘等）提供数据。数据回收：数据使用者在完成数据使用以后，将可以手动/自动完成信息资源的授权回收，用户将失去对回收后数据的访问权限。数据销毁：数据在使用完成以后，用户将只能导出最终的结果数据，在数据计算中产生的中间数据将被销毁。8 卫生信息资源的安全管理 8.1 卫生信息资源管理制度建设 8.1.1 卫生健康行政部门建立日常监督制度。卫生健康行政部门应当加强对本行政区域内各卫生信息资源管理工作的日常监督检查，对本行政区域内各卫生信息资源综合利用工作的指导监督，提高精细化卫生信息资源服务和管理能力。8.1.2 卫生健康行政部门建立通报制度。相关机构和个人

18、在卫生信息资源利用、卫生信息资源系统建设维护和技术支持等过程中，违反本办法规定造成不良后果的，应当对其予以通报；情节严重、违反国家法律法规的，依照国家有关法律法规追究其法律责任。8.2 卫生信息资源安全管理与监督保障卫生信息资源主管部门应按照各级网络与信息安全监管部门的要求，建立卫生信息资源安全保障体系，实施分级管理。卫生信息资源使用应当做好隐私保护工作，涉及敏感信息的原始个案数据提供服务需按照规范流程严格执行。用户对其所使用的卫生信息资源承担安全和保密责任。信息管理部门（中心）需按照中华人民共和国网络安全法、国家网络安全等级保护制度等相关要求，建立健全卫生信息资源相关系统安全保障体系，建立

19、网络安全管理制度、安全审查制度、日志审计制度、操作规程和技术规范等工作机制，保障卫生信息资源信息安全。8.2.1 数据安全管理对数限分级等居民和患8.2.2 对存通过可定责。8.2.3 卫生得中断或享提供安8.2.4 对卫审计、控数据进行分级等手段，防止患者本人授权访问控制：界和安全访数据保护：数据的异常用户隔离：全地隔离每数据脱敏：网络安全管理存储和处理的过部署数据防安全审查管理生信息资源服或者以其他方安全与便利条日志审计管理卫生信息资源控制和追溯功级管理，通过止数据被非法权和卫生健康信息数据涉访问策略实现提供数据隔常泄露控制等保证用户的每个用户的权使用结果数理的敏感数据进防火

20、墙和审计理服务相关系统方式中断合理条件。理源的必须具备功能。过数据分类识法使用。卫生信康行政部门批涉及隐私和敏现数据过滤，隔离存储、数等功能来加强的数据、服务权限。数据或中间数进行透明加密计对数据的访统的信息技术理的技术支持备完善的日志识别、数据安全信息资源使用批准的合法合敏感性，因此避免信息泄数据传输的非强数据层地的务或存储资源数据时，应对密，防止敏感访问操作进行术产品和服务持与服务，并应志功能，为卫生全目录、数据用单位在使用合规程序后，在此数据存取需泄露。非对称加密（的安全策略。源不被其他用对居民和患者感数据泄露。实时监控，阻提供者应当遵应当为卫生信生信息资源管据脱敏、数据用个案数据时在个人知情的要进行访问控内部或外部）户访问。进行个人隐私信息阻断违规访问遵守国家有关信息在不同系管理部门提供WS/T据安全审计、时，按照相关的前提下使用控制，通过设）、数据保存行端到端保护息进行脱敏处问，实现安全事关信息安全审系统间的迁移供数据使用的T 78820216 数据访问权关规定在履行用。设定逻辑边存的加密、护，必须安处理。事件可追溯、审查制度，不移、交互、共的管理、日志、权行不共

展开阅读全文