DB3205_T 1083-2023医疗机构数据安全管理规范.docxVIP

ICS 35.020 CCS L 09 DB3205 苏 州 市 地 方 标 准 DB3205/T 1083—2023 医疗机构数据安全管理规范 Data security management standards for medical institutions 2023-08-23 2023-08-23 发布 2023-08-31 实施 苏州市市场监督管理局 发 布 DB3205/T 1083—2023 DB3205/T 1083—2023 目 次 前言 II 引言 III 范围 1 规范性引用文件 1 术语和定义 1 概述 1 数据安全基础工作 2 组织管理 2 人员管理 2 制度管理 3 经费保障 3 数据安全常规工作 3 基础设施安全管理 3 资产管理 3 分类分级管理 3 分级管控建设 3 培训管理 4 数据安全专项工作 4 风险监测 4 应急处置 4 安全评估 4 共享与开放安全 4 个人健康医疗数据管理 5 安全评价与考核 5 附录 A（资料性） 三种工作关系及标准的使用说明图 6 附录 B（资料性） 组织架构设计 7 附录 C（资料性） 数据资产清单 8 附录 D（资料性） 数据分类分级管控基线 9 附录 E（资料性） 数据安全评价表 10 参考文献 13 I DB3205/T 1083—2023 DB3205/T 1083—2023 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由苏州市卫生健康委员会提出并归口。 本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司、 苏州如意云网络科技有限公司。 翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝尚印。II 翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝 尚印。 II DB3205/T 1083—2023 DB3205/T 1083—2023 引 言 随着国家医疗改革政策的推进，互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型 医疗业务蓬勃发展，数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为支撑业务创新 的关键。同时，随着物联网、人工智能等技术的在行业中不断创新应用，人脸、指纹等新型数据也成为 了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性，医疗机构如 何识别数据要素，如何更加安全、合理的利用医疗数据，也成为行业当前面临的共性难题。 2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继施行，提出了国 家对于数据保护的法律底线。而在2022年8月，由国家卫生健康委、国家中医药局、国家疾控局三部门联合发布并施行的《医疗卫生机构网络安全管理办法》，明确提出了相关监管单位对于医疗卫生机构网 络数据安全管理的总体要求。 本文件在国家法律、地方条例以及行业要求的基础上，针对苏州市各医疗机构提出了更为细化的数 据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路，指导各医疗机构制定合理、有效 的数据安全管理措施，从而提升医疗机构的数据安全管理和防护水平。 本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路，并结合苏 州本地医疗机构的实际调研情况，充分讨论、总结形成，具备科学性和可操作性。 III III DB3205/T 1083—2023 DB3205/T 1083—2023 DB3205/T 1083—2023 DB3205/T 1083—2023 医疗机构数据安全管理规范 范围 本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求，描述了对应的 证实方法。 本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包括公 立医院、民营医院、社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室、疾 病预防控制中心、妇幼保健机构、专科疾病