DB3205_T 1083-2023 医疗机构数据安全管理规范.docxVIP

ICS35.020CCSL09

苏

DB3205

州市地方标准

DB3205/T1083—2023

医疗机构数据安全管理规范

Datasecuritymanagementstandardsformedicalinstitutions

2023-08-23发布2023-08-31实施

苏州市市场监督管理局发布

I

DB3205/T1083—2023

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4概述 1

5数据安全基础工作 2

5.1组织管理 2

5.2人员管理 2

5.3制度管理 3

5.4经费保障 3

6数据安全常规工作 3

6.1基础设施安全管理 3

6.2资产管理 3

6.3分类分级管理 3

6.4分级管控建设 3

6.5培训管理 4

7数据安全专项工作 4

7.1风险监测 4

7.2应急处置 4

7.3安全评估 4

7.4共享与开放安全 4

7.5个人健康医疗数据管理 5

8安全评价与考核 5

附录A（资料性）三种工作关系及标准的使用说明图 6

附录B（资料性）组织架构设计 7

附录C（资料性）数据资产清单 8

附录D（资料性）数据分类分级管控基线 9

附录E（资料性）数据安全评价表 10

参考文献 13

DB3205/T1083—2023

II

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由苏州市卫生健康委员会提出并归口。

本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司、苏州如意云网络科技有限公司。

本文件主要起草人：鞠鑫、谢兴潜、夏燕、孟华、朱杰、马振刚、张俊杰、陆晓明、刘旭哲、周文渊、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、陆建新、沈为濂、金健、仲晓伟、李斌、颜庆、顾纪君、徐先泉、张华荣、程思明、刘亚军、汪春亮、朱晨、诸俊、闵寒、柳维生、费雪刚、唐广场、沈翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝尚印。

DB3205/T1083—2023

III

引言

随着国家医疗改革政策的推进，互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型医疗业务蓬勃发展，数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为支撑业务创新的关键。同时，随着物联网、人工智能等技术的在行业中不断创新应用，人脸、指纹等新型数据也成为了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性，医疗机构如何识别数据要素，如何更加安全、合理的利用医疗数据，也成为行业当前面临的共性难题。

2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继施行，提出了国家对于数据保护的法律底线。而在2022年8月，由国家卫生健康委、国家中医药局、国家疾控局三部门联合发布并施行的《医疗卫生机构网络安全管理办法》，明确提出了相关监管单位对于医疗卫生机构网络数据安全管理的总体要求。

本文件在国家法律、地方条例以及行业要求的基础上，针对苏州市各医疗机构提出了更为细化的数据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路，指导各医疗机构制定合理、有效的数据安全管理措施，从而提升医疗机构的数据安全管理和防护水平。

本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路，并结合苏州本地医疗机构的实