医疗机构数据分类分级规范.docx

1

医疗机构数据分类分级规范

1范围

本文件规定了医疗机构开展数据分类分级原则、规则和流程等。

本文件适用于指导医疗机构开展数据分类分级工作，也适用于监管部门开展数据分类分级的落地考核和检查。医疗机构包括公立医院、民营医院、社区卫生服务中心(站)、校医院、乡镇卫生院、诊所(医务室)、村卫生室、疾病预防控制中心、妇幼保健机构、专科疾病防治院(所、站)、卫生监督所(中心)。

本文件不适用于涉及国家秘密的数据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T25069—2022

信息安全技术术语

GB/T37964—2019

信息安全技术个人信息去标识化指南

GB/T39725—2020

信息安全技术健康医疗数据安全指南

GB/T10113—2003

分类与编码通用术语

GB/T43697—2024

数据安全技术数据分类分级规则

DB3205/T1083—2023医疗机构数据安全管理规范

3术语和定义

GB/T25069-2022界定的以及下列术语和定义适用于本文件。

3.1

数据data

任何以电子或者其他方式对信息的记录。

3.2

数据分类datacategorization

将具有同一属性或特征的数据，按照一定的原则和方法进行归类和区分，建立起一定的分类体系和排列顺序。

3.3

数据分级dataclassification

根据数据的敏感程度和被破坏后对受影响对象的影响程度，按照一定的原则和方法进行定级，为数据全生命周期过程中的安全管理和策略制定提供支撑。

3.4

重要数据keydata

2

特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

注：仅影响组织自身或公民个体的数据一般不作为重要数据。

3.5

核心数据coredata

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，监旦被非法使用或清无水印

共享，可能直接影响政治安全的重要数据。

注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

3.6

一般数据generaldata

核心数据、重要数据之外的其他数据。

4数据分类分级原则

医疗机构数据分类分级原则应遵循GB/T43697—2024中基本原则的要求，并考虑与行业分类分级规则的一致性。

a)根据GB/T43697—2024,医疗机构数据分类分级应具备科学实用、边界清晰、点面结合、动态更新五个基本原则。

b)行业一致性原则：医疗机构开展数据分类分级时，与行业主管部门相关规定和要求、其他数据分类分级框架保持必要的一致性。

5数据分类规则

5.1分类框架

医疗机构数据分类按照先业务领域分类，再按照数据属性分类的思路进行分类。

a)按照医疗机构业务属性，医疗机构数据分为个人信息、机构运营数据、医疗应用数据、医疗支付数据、公共卫生数据、医学教育研究数据、其他数据七个一级类别。

b)在业务属性分类的基础上，按照医疗机构数据属性，对数据进行细化分类。二级类别包括但不仅于：

1)个人信息是指医疗机构中所有人员的基本信息和活动情况的数据集合，包括个人基本信息、个人身份信息、个人通讯信息、个人财产信息、个人生物识别信息、个人就医信息、个人健康生理信息、其他个人信息八个子类。

2)机构运营数据是指支撑医疗机构日常运行管理和服务的数据集合，包括机构基础数据、机构医疗资源数据两个子类。

3)医疗应用数据是指机构在开展医疗活动中产生和收集的数据集合，包括基础就诊信息、病历信息、检查检验报告、用药信息、病程记录信息、手术记录信息、其他医疗就诊数据七个子类。

4)医疗支付数据是指医疗机构开展医疗活动中产生的财务数据的集合，包括交易信息、保险信息两个子类。

3

5)公共卫生数据是指医疗机构开展医疗活动中产生的呈现公共卫生概况的数据集合，包括环境卫生数据、传染病疫情数据、疾病监测预防数据、出生死亡数据、其他公共卫生数据五个子类。

6)医学教育研究数据是指医疗机构开展医学研究和教育培训活动中产生和收集的数据集合，包括医学研究数据、医学教育数据两个子类。

7)其他数据是指不属于以上分类的数据。

c)在一级类别、二级类别的基础上，医疗机构根据工作需要进行子类细分。可细分为三级类别、四级类别，以方便确定等级。

d)如涉及法律法规有专门