1、ICS 35.020CCS L 092023-08-31 实2023-08-23 发布施苏州市市场监督管理局发 布DB3205医疗机构数据安全管理规范Data security management standards for medical institutions苏州市地方标准DB3205/T 10832023DB3205/T 10832023I目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14概述.15数据安全基础工作.25.1组织管理.25.2人员管理.25.3制度管理.35.4经费保障.36数据安全常规工作.36.1基础设施安全管理.36.2资产管理.36.3
2、分类分级管理.36.4分级管控建设.36.5培训管理.47数据安全专项工作.47.1风险监测.47.2应急处置.47.3安全评估.47.4共享与开放安全.47.5个人健康医疗数据管理.58安全评价与考核.5附录 A(资料性)三种工作关系及标准的使用说明图.6附录 B(资料性)组织架构设计.7附录 C(资料性)数据资产清单.8附录 D(资料性)数据分类分级管控基线.9附录 E(资料性)数据安全评价表.10参考文献.13DB3205/T 10832023II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件的某些内容可能涉及专利,本文件的发布
3、机构不承担识别专利的责任。本文件由苏州市卫生健康委员会提出并归口。本文件起草单位:苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司
4、、苏州如意云网络科技有限公司。本文件主要起草人:鞠鑫、谢兴潜、夏燕、孟华、朱杰、马振刚、张俊杰、陆晓明、刘旭哲、周文渊、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、陆建新、沈为濂、金健、仲晓伟、李斌、颜庆、顾纪君、徐先泉、张华荣、程思明、刘亚军、汪春亮、朱晨、诸俊、闵寒、柳维生、费雪刚、唐广场、沈翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝尚印。DB3205/T 10832023III引言随着国家医疗改革政策的推进,互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型医疗业务蓬勃发展,数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为
5、支撑业务创新的关键。同时,随着物联网、人工智能等技术的在行业中不断创新应用,人脸、指纹等新型数据也成为了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性,医疗机构如何识别数据要素,如何更加安全、合理的利用医疗数据,也成为行业当前面临的共性难题。2021年,中华人民共和国数据安全法中华人民共和国个人信息保护法相继施行,提出了国家对于数据保护的法律底线。而在2022年8月,由国家卫生健康委、国家中医药局、国家疾控局三部门联合发布并施行的医疗卫生机构网络安全管理办法,明确提出了相关监管单位对于医疗卫生机构网络数据安全管理的总体要求。本文件在国家法律、地方条例以及行业要求的
6、基础上,针对苏州市各医疗机构提出了更为细化的数据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路,指导各医疗机构制定合理、有效的数据安全管理措施,从而提升医疗机构的数据安全管理和防护水平。本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路,并结合苏州本地医疗机构的实际调研情况,充分讨论、总结形成,具备科学性和可操作性。DB3205/T 108320231医疗机构数据安全管理规范1范围本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求,描述了对应的证实方法。本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包
7、括公立医院、民营医院、社区卫生服务中心(站)、校医院、乡镇卫生院、诊所(医务室)、村卫生室、疾病预防控制中心、妇幼保健机构、专科疾病防治院(所、站)、卫生监督所(中心)。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222392019信息安全技术网络安全等级保护基本要求GB/T 250692022信息安全技术术语GB/T 397252020信息安全技术健康医疗数据安全指南3术语和定义GB/T 250692022界定的以及下列术语和定
8、义适用于本文件。3.1重要数据key data特定领域、特定群体、特定区域或达到一定精度和规模,一旦被泄露、篡改或损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。3.2个人健康医疗数据personal health data单独或者其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。来源:GB/T 397252020,3.13.3健康医疗信息系统health information system以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。来源:GB/T 397252020,3.64概述DB3205/T 108320
9、232医疗机构在开展数据安全管理时,应充分考虑国家及行业的相关要求,结合自身的基础设施现状,明确建设目标。根据数据安全管理工作开展的性质,将管理工作划分为基础工作、常规工作、专项工作三大类,具体说明如下:基础工作是医疗机构开展数据安全管理工作的基础前提;常规工作是保障医疗机构数据安全正常运行的常规要求;专项工作是针对数据安全高风险场景、特殊的医疗业务场景、监管等场景下的管理优化专项建议。医疗机构可根据自身情况选择三种工作的执行内容和范围。医疗机构监管单位也可根据不同类型、级别的医疗机构,设置不同的数据安全管理工作的评价、考核指标。三种工作的关系及标准的使用说明见附录A。5数据安全基础工作5.1
10、组织管理5.1.1医疗机构应建立数据安全管理团队。5.1.2数据安全管理团队应包含决策、管理、执行、监督四个层级(见附录 B),具体要求如下:决策层:负责统筹数据安全建设整体策略与方针,为数据安全工作指明方向;管理层:负责数据安全管理工作,编制数据安全相关制度及要求,指导并推进数据安全工作的落实;执行层:负责组织内部数据安全工作具体执行,例如:权限分配,关键数据处理活动的措施实施;监督层:负责数据安全的日常审计及处理公众日常投诉等工作,定期开展数据安全审计和分析,及时发现并反馈问题和风险。5.1.3医疗机构应按照组织规模、组织级别、组织架构现状设立数据安全管理员岗,负责安全管理的具体工作。5.
11、1.4针对小型医疗机构,如社区卫生服务中心(站)、校医院、乡镇卫生院、诊所(医务室)、村卫生室等,宜简化数据安全管理团队层级,仅保留管理层和执行层,决策层与管理层职责合并,执行层与监督层职责合并。5.1.5针对小型医疗机构,如社区卫生服务中心(站)、校医院、乡镇卫生院、诊所(医务室)、村卫生室等,宜采取一把手责任制,由机构最高领导兼任数据安全管理员。5.2人员管理5.2.1医疗机构应对数据安全管理员任用前、任用中、任用终止各环节建立有效的安全控制措施,具体要求如下:任用前,应进行背景调查;任用中,应签署相关的保密协议及安全责任协议;离任后,应及时回收相应的管理权限,并确保完成工作交接。5.2.
12、2数据安全管理团队所有成员应满足层级、岗位的数据安全能力要求,不满足条件时,宜通过外部招聘、培训等方式增强数据安全能力,以达到岗位要求。5.2.3医疗机构应为数据安全管理团队成员定制专业技能、安全意识、流程制度等维度的培训计划。5.2.4医疗机构应将相关数据安全工作纳入团队成员的日常工作考核中,并参考现有的考核机制执行奖惩。DB3205/T 1083202335.3制度管理5.3.1医疗机构应建立完善的数据安全管理制度,至少包含数据安全管理、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全培训 5 个部分,宜结合现有网络安全制度进行补充或通过独立制度文本呈现。5.3.2医疗机构若
13、涉及第三方参与业务服务、实施,或与第三方单位有数据交互的情形,还应建立第三方的数据安全管理制度。5.3.3医疗机构若涉及数据出境情形,如国际远程会诊、海外科研等场景,还应按照数据出境安全评估办法的具体规定进行制度的补充建设。5.3.4医疗机构应定期修订管理制度,修订频率不低于一年一次。5.4经费保障医疗机构应在数据安全建设和运营方面设置保障经费。6数据安全常规工作6.1基础设施安全管理6.1.1医疗机构数据计算和存储的安全物理环境宜参考 GB/T 222392019 中的相关要求建设。6.1.2医疗机构业务数据的存储设备应部署在中华人民共和国境内。6.1.3医疗机构业务数据的存储设备应具备访问
14、控制、备份与恢复基本功能。6.1.4针对医疗机构重要数据,应采用本地备份、异地灾备的技术保障数据的完整性。6.2资产管理6.2.1医疗机构应定期更新数据资产清单(见附录 C),包括数据资产的所在位置、数据所属的健康医疗信息系统、责任人、部门等信息。6.2.2医疗机构宜采用自动化工具定期进行数据资产的扫描,及时发现新增和变化的数据资产,并通过数据资产分布地图的形式呈现数据资产及资产变化情况。6.2.3当医疗机构重要数据资产、个人健康医疗数据资产发生较大变化和波动时,应有相应的监测、预警、处置机制。6.3分类分级管理6.3.1医疗机构应定期开展分类分级工作,对健康医疗信息系统内的数据资产进行分类分
15、级标识。6.3.2医疗机构宜采用自动化工具的方式开展数据标识,并结合数据分类分级规范形成本机构的数据分类分级字典。6.3.3分类分级工作的执行频率应与数据资产管理频率保持一致。6.3.4医疗机构应制定数据级别变更的审批流程,审批链路上宜包含数据安全管理员,应对级别变更记录、审批记录进行保存。6.4分级管控建设6.4.1医疗机构宜参考 GB/T 397252020,采用流程审批、管理制度、加密、脱敏、权限限制、备份等手段对数据资产进行保护。6.4.2针对存储在医疗机构内的人脸识别信息,应按照医疗卫生机构网络安全管理办法采取特殊的安全技术手段进行保护。DB3205/T 1083202346.4.3
16、医疗机构应定期修订数据分类分级管控基线(见附录 D),保证清单的适用性及合理性。6.5培训管理6.5.1医疗机构应定期组织数据安全培训,并形成相关记录,培训的内容应结合培训对象的需求制定,具体要求如下:面对医疗机构全员,应包含法律宣传、管理制度宣贯、安全意识等培训课程;面对医疗机构数据安全管理团队成员,应包含数据分类分级、数据安全风险评估、数据安全技术等培训课程。6.5.2医疗机构宜建立本机构的数据安全培训课程体系。7数据安全专项工作7.1风险监测7.1.1医疗机构应建立数据安全风险监测机制,提高风险发现的时效性。7.1.2医疗机构应具备数据安全风险发现能力,包含但不限于数据内容分析能力、数据
17、行为分析能力、数据溯源能力。7.1.3医疗机构应定期开展人员安全意识评估,识别人员风险。7.1.4医疗机构应定期开展制度流程风险评估,识别流程设计、运行等缺陷。7.1.5医疗机构宜部署相关技术工具,辅助识别数据安全风险。7.2应急处置7.2.1医疗机构应建立完善的数据安全应急响应与事件处置机制,做好应急预案,并定期组织应急演练,保证信息资源的可用性。7.2.2医疗机构应依据国家及行业主管部门规定,综合事件性质、影响范围等因素,对安全事件进行分级管理。7.2.3医疗机构应按照医疗行业主管部门有关规定,向医疗机构监管单位上报数据安全事件及其处置情况。7.2.4医疗机构应在发生数据泄露事件时,及时采
18、取补救措施,并按照合同协议等有关约定履行客户及合作方告知义务。7.2.5医疗机构应在事件处置结束后,分析原因总结存在的问题,并形成总结报告。7.3安全评估7.3.1医疗机构应建立数据安全检查评估机制,并定期组织数据安全风险评估,形成评估报告,报告内容包含但不限于:评估的数据资产的种类、数量;已开展数据处理活动的情况;已识别的数据安全风险。7.3.2针对检查评估的结果,医疗机构应明确责任部门,编制适宜的整改计划,并由数据安全管理员跟踪落实。7.4共享与开放安全7.4.1医疗机构应设置数据共享与开放的责任人,负责组织内数据的对外共享和开放。DB3205/T 1083202357.4.2医疗机构应建
19、立数据共享与开放的管理制度和管控规则。7.4.3医疗机构应根据共享和开放数据的类型、数量及影响范围,充分评估数据安全风险,形成数据共享开放风险评估报告。7.4.4针对医疗机构重要数据的共享场景,宜采取数据安全新技术实现数据的可用不可见,例如隐私计算。7.5个人健康医疗数据管理7.5.1针对个人健康医疗数据的安全管理要求应遵循相关国家标准和行业标准。7.5.2医疗机构应具有识别、区分个人健康医疗数据的能力,并对个人健康医疗数据进行标识。7.5.3医疗机构应建立个人健康医疗数据的安全管控机制及技术措施,包含但不限于个人健康医疗数据的收集、传输、存储、使用、删除、销毁以及个人健康医疗数据主体的权利。
20、8安全评价与考核8.1医疗机构应按照本文件对自身数据安全建设情况进行评价。8.2医疗机构监管单位可参照本文件对医疗机构数据安全建设情况进行考核,考核方式可以评价表方式呈现(见附录 E)。8.3考核可采取数据安全专项形式或在年度考核中体现。DB3205/T 108320236附录A(资料性)三种工作关系及标准的使用说明图三种工作的关系以及标准的使用说明如A.1所示。图 A.1医疗机构数据安全管理规范标准使用说明DB3205/T 108320237附录B(资料性)组织架构设计医疗机构设计自身数据安全管理组织架构,示例见表B.1。表 B.1数据安全组织架构(示例)组织层级组织层级角色角色职责职责一般
21、建议一般建议决策层数据安全领导小组1、制定数据安全整体目标和发展规划2、发布数据安全管理制度及规范3、提供数据安全规划、设计、建设、实施、运营等全过程的资源保障4、负责重大数据安全事件协调与决策等采取一把手责任制,成立由医院党委书记/院长担任组长,业务分管副院长、信息分管副院长担任副组长的数据安全领导小组管理层数据安全管理团队1、制定数据安全管理制度及规范2、制定数据安全工作在各层级的运行机制,保障数据安全工作的顺利推进3、推进数据安全意识培训、安全技能提升、安全共享开放、安全技术考核等工作的开展4、负责与国家数据安全相关监督部门及行业组织的协调沟通5、负责数据安全的日常管理工作等由数据安全领
22、导小组指派信息中心主任/分管安全建设副主任作为数据安全负责人,与各业务科室主任组成数据安全管理团队执行层数据安全执行团队1、负责数据安全制度及规范的具体执行2、负责数据安全事件的检测、处置、分析3、负责数据安全的风险评估4、负责反馈合理的数据安全需求,促进数据安全防护工作的改进5、积极参与数据安全意识培训、能力培养及考核工作由各业务科室与数据处理活动相关的人员共同组成数据安全执行团队监督层数据安全监督小组1、对数据安全制度及规范的完整性及执行情况进行监督2、对数据安全技术工具的落地情况进行监督3、对数据安全风险评估过程进行监督审计等由审计科、人事科等以及随机抽调的业务科室、信息科人员组成数据安
23、全监督小组DB3205/T 108320238附录C(资料性)数据资产清单医疗机构建立的数据资产清单,示例见表C.1。表 C.1数据资产清单部门部门/业业务务/系统系统数据数据资产资产责任责任人人类别类别级别级别存储主机存储主机存储存储方式方式存储存储位置位置数据库数据库数据表数据表备注(描述影响定备注(描述影响定级的字段及其等级的字段及其等级)级)DB3205/T 108320239附录D(资料性)数据分类分级管控基线医疗机构建立的数据分类分级管控基线,示例见表D.1。表 D.1数据分类分级管控基线一一级级二二级级定义定义说明说明三级三级定义定义说明说明四级四级内容内容最低安全级别参考最低安
24、全级别参考管控措施要求管控措施要求子子类类子子类类编编码码子子类类编编码码子子类类编编码码DB3205/T 1083202310附录E(资料性)数据安全评价表医疗机构数据安全评价和考核表,示例见表E.1。表 E.1数据安全评价表一级指标一级指标二级指标二级指标评分规则评分规则分值分值M1数据安全基础工作(37 分)1-1组织管理(5 分)1-1-1 医疗机构是否有定义数据安全部门或组织,有对应的组织职责说明文件,可查证得 2 分,否则不得分21-1-2 医疗机构是否设置独立的数据安全岗位或数据安全管理员,有对应岗位说明和人员任命,可查证得 3 分,否则不得分31-2人员管理(10 分)1-2-
25、1 医疗机构对于数据安全管理人员,是否有背景调查流程、保密协议签订流程以及入职、离职交接流程,有对应管理制度,可查证得 2 分,否则不得分21-2-2 医疗机构数据安全管理人员是否有数据安全领域的证书资质,包括但不限于 CISP-DSG、CCSC、DPO、CDPSE 等,有对应证书证明,每项证书得 1 分,最高 4 分41-2-3 医疗机构对于数据安全部门或组织人员是否有清晰的数据安全培训和赋能计划,有明确计划并有执行记录,可查证得 2 分,否则不得分21-2-4 医疗机构对于数据安全部门或组织人员是否有明确的数据安全技能考核要求,有对应的绩效考核办法,可查证得 2 分,否则不得分21-3制度
26、管理(20 分)1-3-1 医疗机构制度体系建设是否包含数据安全管理、数据分类分级保护、风险评估、数据安全应急处置、数据安全教育培训 5 大类,有对应的管理制度,每个制度得 2 分,最高 10 分101-3-2 医疗机构对于数据分类分级保护制度是否包含资产管理、分类分级规范、分类分级管控 3 个部分,每个模块得分 2 分,最高 6 分61-3-3 医疗机构对于第三方运维、数据出境场景建立对应的管理制度,有相关制度,可查证得 2 分,否则不得分21-3-4 医疗机构是否定期对管理制度进行更新,每年至少修订 1 次。得 2 分,否则不得分21-4经费保障(2 分)1-4-1 医疗机构应设置数据安全
27、建设和运营的保障经费,用于数据安全的设施建设、升级改造、教育培训、应急演练、事件处置等用途,持续投入,得 2 分,否则不得分2DB3205/T 1083202311表 E.1数据安全评价表(续)一级指标一级指标二级指标二级指标评分规则评分规则分值分值M2数据安全常规工作(43 分)2-1基础设施安全管理(6 分)2-1-1 医疗机构是否通过对应级别的网络安全等保测评,有测评认证报告,可查证得 2 分,否则不得分22-1-2 医疗机构业务数据存储在境内,且有明确的数据资产位置、分布信息记录,可查证得 2 分,否则不得分22-1-3 医疗机构业务数据是否采取一定的备份措施,无备份不得分,本地备份及
28、部分数据备份得 1 分,异地全量备份得 2 分22-2资产管理(7 分)2-2-1 医疗机构对于系统数据资产展开梳理,并定期更新数据资产清单,可查证得 3 分,否则不得分32-2-2 医疗机构能够采用工具对于数据资产进行自动化扫描和管理得 2 分,无工具不得分22-2-3 医疗机构对于数据资产发生变化时有相应的流程、处置机制,可查证得2 分,否则不得分22-3分类分级管理(8 分)2-3-1 医疗机构对于系统数据资产定期开展分类分级工作,对数据资产进行打标,有相关操作记录和分类分级成果,可查证得 2 分22-3-2 医疗机构能够采用工具对于数据资产进行识别打标得 2 分,无工具不得分22-3-
29、3 医疗机构是否基于自身数据资产形成分类分级字典,形成字典可查证得2 分,否则不得分22-3-4 医疗机构对于数据资产级别发生变化时有相应得流程、审批机制,可查证得 2 分,否则不得分22-4分级管控建设(18 分)2-4-1 医疗机构是否根据数据分类分级管控基线以及相关标准的要求,开展数据安全能力建设,如加密、脱敏、水印、权限控制、备份、流程管控等,能清晰描述管控方案及应对风险,每一条得 2 分,最高 10 分102-4-2 医疗机构是否对人脸识别信息采取了特殊的安全保护措施,如从物理上进行隔离、加密、权限控制等,能清晰描述管控方案及应对风险,每一条得 2分,最高 6 分62-4-3 医疗机
30、构是否定期对数据分类分级管控基线进行更新,有相关更新机制和更新记录得 2 分,否则不得分22-5培训管理(4 分)2-5-1 医疗机构是否针对机构全员组织数据安全培训工作,有数据安全培训记录,可查证得 3 分,否则不得分32-5-2 医疗机构是否针对数据安全形成培训课程体系,包括课程名称、培训对象、培训目标,考核模式,有课程体系设计得 1 分,否则不得分1DB3205/T 1083202312表 E.1数据安全评价表(续)一级指标一级指标二级指标二级指标评分规则评分规则分值分值M3数据安全专项工作(20 分)3-1风险监测(7 分)3-1-1 医疗机构针对数据安全风险是否有安全监测手段,能够实
31、时发现安全风险,有相应手段并能够展示安全风险得 2 分,否则不得分23-1-2 医疗机构针对数据安全风险发现的手段是否涵盖数据内容分析能力、数据行为分析能力、数据溯源能力 3 项,每项得 1 分,总分 3 分33-1-3 医疗机构针对人员安全意识、安全管理制度是否定期开展评估工作,有评估记录,得 1 分,否则不得分13-1-4 医疗机构针对数据安全风险,是否通过工具实现高效的监测管理,有监测工具得 1 分13-2应急处置(4 分)3-2-1 医疗机构针对数据泄漏事件是否设定应急预案,有应急预案,并定期进行应急演练,可查证得 2 分,否则不得分23-3-2 应急预案中应包含事件分类、定级、上报、
32、补救、回溯各个环节,每个环节得 0.5 分,最高 2 分23-3安全评估(3 分)3-3-1 医疗机构是否定期开展数据安全风险评估,有数据安全风险评估报告,可查证得 2 分,否则不得分23-3-2 医疗机构针对数据安全风险评估报告中的安全问题,是否建设形成整改方案,有整改方案,可查证得 1 分,否则不得分13-4共享与开放安全(4 分)3-4-1 医疗机构是否针对数据共享开放指定责任人,有明确责任人得 1 分。13-4-2 医疗机构针对数据共享开放是否有明确的管控措施,有管控措施说明,可查证得 1 分13-4-3 医疗机构针对数据共享开放场景,是否采用创新技术用于管理实践,有相关创新课题研究得
33、 1 分,有落地实践得 2 分23-5个人健康医疗数据管理(2 分)3-5-1 医疗机构针对系统内的个人信息是否做了独立的识别和管理,并能在分类分级管控清单中体现,得 2 分,否则不得分2注:评价总分为 100 分,评价结果分高(85 分)、中(60(含)85 分)、低(60 分)三档DB3205/T 1083202313参考文献1GB/T 220802016信息技术安全技术信息安全管理体系要求2GB/T 220812016信息技术安全技术信息安全控制实践指南3GB/T 352732020信息安全技术个人信息安全规范4GB/T 379642019信息安全技术个人信息去标识化指南5中华人民共和国数据安全法(中华人民共和国主席令第84号)6中华人民共和国网络安全法(中华人民共和国主席令第53号)7中华人民共和国个人信息保护法(中华人民共和国主席令第91号)8数据出境安全评估办法(国家互联网信息办公室)9医疗卫生机构网络安全管理办法(国家卫生健康委、国家中医药局、国家疾控局)
浙ICP备2021020529号-1 | 浙B2-20240490 
