《健康医疗数据安全管理规范（征求意见稿）》.docx

ICS35240CCSC07

32

江苏省地方标准

DB32/TXXXX—XXXX

健康医疗数据安全管理规范Regulationsforsecuritymanagementofhealthdata

（征求意见稿）

XXXX-XX-XX发布XXXX-XX-XX实施

江苏省市场监督管理局发布

I

DB32/TXXXX—XXXX

目次

前言 III

引言 IV

1范围 1

2规范性引用文件 1

3术语和定义 1

4安全目标 2

5数据安全基础工作 3

5.1组织架构 3

5.2制度建设 3

5.3人员管理 3

5.4资产管理 4

5.5安全审核 4

5.6公开和共享 4

5.7安全评估 4

5.8应急管理 4

5.9合作管理 5

5.10检查和考核 5

5.11出入境管理 5

6数据分类分级 6

6.1数据分类 6

6.2数据分级 6

6.3数据分类分级流程 9

7数据分级保护 10

7.1安全保护通用要求 10

7.2数据生命周期管控要求 13

附录A（资料性）数据分级示例 18

A.1根据重要程度分级示例 18

A.2根据敏感程度分级示例 18

A.3HIS系统数据分级示例 20

A.4集成平台业务数据分级示例 25

A.5第三方数据对接业务数据分级示例 26

A.6全民健康信息平台数据分级示例 27

附录B（资料性）业务场景 30

B.1科研平台业务场景 30

B.2运维场景数据管控 32

II

DB32/TXXXX—XXXX

参考文献........................................................................35

III

DB32/TXXXX—XXXX

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由江苏省卫生健康委员会提出并组织实施。

本文件由江苏省卫生健康标准化委员会归口。

本文件起草单位：江苏省卫生健康信息中心(江苏省中医药信息中心)、苏州市卫生计生统计信息中心、江苏省中医院、镇江市第一人民医院、苏州大学附属儿童医院、无锡市卫生健康统计信息中心、江苏瑞新信息技术股份有限公司、北京天融信网络安全技术有限公司、杭州美创科技股份有限公司。

本文件主要起草人：张国明、唐凯、陆家发、朱沥沥、韦小强、管正涛、刘云、鞠鑫、解明、诸俊、刘健、王忠民、刘方斌、杨雪蓉、郝艳、张俊杰、赵亚、姚永刚、张国、郑永春、叶骏、李洪伟、杨岁立。

IV

DB32/TXXXX—XXXX

引言

健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展，各种新业务、新应用不断出现，健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战，安全问题频发。由于健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全，为了更好的保护健康医疗数据安全，规范和推动健康医疗数据的融合共享、开放应用，促进健康医疗事业发展，特制定健康医疗数据安全管理规范。

涉及人类遗传资源数据（是指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸（DNA）构建体等遗传材料的信息资料）等重要数据的，按照相关部门要求执行。

健康医疗数据的出境安全管理，按数据出境安全评估相关办法执行。

涉及国家秘密的健康医疗数据，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

1

DB32/TXXXX—XXXX

健康医疗数据安全管理规范

1范围

本标准文件规定了健康医疗数据安全管理的术语和定义、安全目标、数据安全基础工作、数据分类分级和数据分级保护等内容。

本标准文件适用于指导健康医疗数据控制者对健康医疗数据进行安全保护，也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。

2规范性引用文件