生物样本库数据合规管理系统.pdf

生物样本库数据合规管理系统

一、建设清单

建设项建设内容说明

现场访谈梳理业务流程，提供风险点问卷进行评测，依据

一、生物样本数据

相关法律法规撰写《数据合规法律风险评估报告书》，针对

合规评估

高危风险点出具《数据合规整改建议书》。

二、模块化合规软包含内部数据合规管理模块、数据合规分析模块、数据外

件产品发合规监控模块。

协助进行数据合规管理体系安全评估，通过评估后，协助

三、合规认证

取得数据和个人信息安全评估证书。

二、技术要求

（一）生物样本数据合规评估

2.1.1.总体原则

1）标准化和开放性

系统的标准化和开放性，要实现信息通讯与共享，须规范信息技术标准。采

用业内标准的技术体系和设计方法，使系统具备与各种层次的平台的无关性和兼

容性。在使用新技术的同时，充分考虑技术的国际标准化，严格按照国际国内相

关标准设计实施。

2）先进性和超前性

在实用可靠的前提下还要具备扩展性。技术上立足于长远发展，坚持选用开

放性系统，使系统和将来的新技术能平滑过渡。采用先进的体系结构和技术发展

的主流产品，确保整个系统高效运行。

3）实用性和方便性

系统建设要以满足需求为首要目标，采用稳定可靠的成熟技术，保证系统长

期安全运行。确保系统应用后能为业务和管理节点提供智能化的网络信息环境，

以提高合规管理水平和工作的效率。

4）安全性和保密性

遵循有关信息安全标准，具有切实可行的安全保护和保密措施，确保数据永

久安全。系统应提供多方式、多层次、多渠道的安全保密措施，防止各种形式与

途径的非法侵入和机密信息的泄露，保证系统中数据的安全。

5）稳定性和可靠性

系统建成并投入使用后，系统必须在成本可以接受的条件下，从系统结构、

设计方案、设备选型、厂商的技术服务、维护响应能力以及备件供应能力等方面

考虑，使系统故障发生的可能性尽可能少，对各种可能出现的紧急情况有可行的

应急预案。

6）可维护性和可扩展性

要保证系统能在各种操作系统和不同的中间件平台上移植。实现信息标准统

一，以便日后的系统维护。在数据中心设计过程中，需充分考虑在未来若干年内

的发展趋势，具有一定的前瞻性，并充分考虑系统升级、扩容、扩充和维护的可

行性。

2.1.2.建设目标

建设智能化、自动化的数据合规管理系统，对生物样本库全生命周期信息管

理系统的数据处理过程进行全面管理，实现生物样本数据管理在个人客户信息保

护、医疗伦理健全、监管合规自检和报送等全流程的全面提升和完善，形成一套

在个保法和监管合规体系下完整的生物样本应用和实践，数据合规管理系统需包

含如下功能特性：

1）授权合规管理

建设完整的用户授权合规体系，发现个人信息合规风险，生成合规指导性建

议和相关模板，以最终满足法律要求、符合监管要求、保障能够有效行使个人信

息的知情权、删除权等各项权利。

2）智能合规管理

建立起完整的生物样本数据合规管理体系，发现日常合规管理的问题和风险，

并能够根据法律、监管等最新的合规要求自动获取合规风险描述和合规建议，从

数据收集、存储、使用、传输到删除，辅助日常合规管理全程留痕记录，并生成

各类模板、清单、流程规章，约束日常数据处理活动按照最小必要原则、数据权

限管理等方面对数据处理。

3）数据合规可视化

梳理生物样本库全流程的数据处理关键节点，提供工具描绘实际业务的仿真

流程，并在数据处理过程中对数据的合规性进行实时性审查，当发现合规风险时

可以实时在监管视图的对应节点上发出预警信息，以过滤掉潜在的合规风险。

2.1.3.建设内容

数据安全合规管理的总体要求按照《网络安全法》、《数据安全法》、《个人信

息保护法》等法律法规的要求，对于法律法规中对数据处理者或网络及关键信息

基础设施运营者等应承担的数据安全保护相关责任和义务，进行系统化和自动化

的监控与管理。

数据安全合规管理能力总体架构如下图所示：

数据安全合规管理能力主要包括四个方面：

1）数据合规信息采集

主要实现对数据安全合规信息的采集，合规数据采