DB1310_T 338-2024 数字乡村 县域医疗机构网络数据安全管理规范.docxVIP

ICS33.040.40CCSL78

1310

廊坊市地方标准

DB1310/T338—2024

数字乡村县域医疗机构网络数据安全管理规范

2024-06-28发布2024-07-28实施

廊坊市市场监督管理局发布

I

DB1310/T338—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由中共廊坊市委网络安全和信息化委员会办公室提出。

本文件起草单位：廊坊市人民医院、中共廊坊市广阳区委网络安全和信息化委员会办公室、中共廊坊市安次区委网络安全和信息化委员会办公室、廊坊市市场监督管理局、中国软件与技术服务有限公司、河北东方学院、中国移动通信集团河北有限公司廊坊分公司、中国电信集团有限公司廊坊分公司、中国联合网络通信有限公司廊坊分公司、中国广电河北网络股份有限公司廊坊市分公司、润泽科技发展有限公司、河北兰科网络工程集团有限公司。

本文件主要起草人：刘顺海、王栩、刘朔、高继伟、穆学武、苏玉军、马群、郭睿、赵志滨、刘欣羽、刘安然、提文英、张健飞、焦跃振、张海付、张建平、李时、李晓英。

DB1310/T338—2024

1

数字乡村县域医疗机构网络数据安全管理规范

1范围

本文件规定了县域医疗机构网络数据安全管理的安全管理要求、数据处理活动要求、安全运营要求和应急管理要求。

本文件适用于廊坊市各县（市、区）、廊坊开发区域内医院、中医院、妇幼保健院等二级（及以下）医疗机构的网络数据安全日常管理工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T35273信息安全技术个人信息安全规范

GB/T37988信息安全技术数据安全能力成熟度模型

GB/T43697数据安全技术数据分类分级规则

3术语和定义

GB/T25069、GB/T35273、GB/T37988和GB/T43697界定的以及下列术语和定义适用于本文件。

3.1

数据

任何以电子或者其他方式对信息的记录。

3.2

网络数据

网络空间中产生、存储、传输和处理的数据。

3.3

核心数据

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据,主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

3.4

一般数据

核心数据、重要数据之外的其他数据。

3.5

个人信息

DB1310/T338—2024

2

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

3.6

网络数据处理者

在数据处理活动中自主决定处理目的、处理方式的组织、个人。

3.7

数据活动

组织、机构针对数据开展的一组特定任务的集合，数据活动主要包括收集、存储、使用、加工、传输、提供、公开等。

3.8

数据提供

数据提供是指机构在数据管理过程中，向其他机构或个人提供所需的数据支持和服务。

3.9

监测预警

对数据安全状态进行实时监测，并对可能发生的威胁进行预警的过程。

3.10

数据安全

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

4总体要求

统筹规划、统一策略、分级建设，构建一体化网络数据安全保障体系，将数据安全能力贯穿于医疗机构数据管理的各领域和全过程，实现数据可知、风险可视、安全可控、问题可追。

5安全管理要求

5.1制度管理

5.1.1应建立健全数据安全保护制度体系，明确机构对数据的态度、保护数据的责任以及处理数据的安全措施，确保数据的合规性、隐私性、完整性和可用性。

5.1.2应至少包含数据安全管理、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全培训5个部分。

5.1.3应定期对数据安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的制度进行修订。

5.2人员管理

5.2.1应设立数据安全管理部门，明确数据安全责任人，落实数据安全保护责任，保障数据安全工作正常开展。

5.2.2应建立完善的数据安全培训体系，提高员工的数据安全意识和