X州市第X人民医院数据分类分级细则.docxVIP

X州市第X人民医院

数据安全分类分级实施指南

V0.1

2024年4月1日

编制

总则

1.1目的

依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施保护条例》规定，参照国家卫健委《卫生健康行业分类分级指南（试行）》要求，参考国家标准GB/T43697-2024《数据安全技术数据分类分级规则》，在X州市第X人民医院《数据分类分级管理办法》的指导下，为建立数据安全分类分级而制定。

1.2范围

本文件规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南。

本文件适用于X州市第X人民医院及各科室、分院制定本行业本领域的数据分类分级标准规范，也适用于与X州市第X人民医院开展数据共享机构的数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。

1.3术语和定义

1.3.1数据data

任何以电子或者其他方式对信息的记录。

1.3.2重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

注：仅影响组织自身或公民个体的数据一般不作为重要数据。

1.3.3核心数据coredata

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。

注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

1.3.4一般数据generaldata

核心数据、重要数据之外的其他数据。

1.3.5个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

1.3.6敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

1.3.7个人健康医疗数据personalhealthdata

单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。

注:个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等,参见附录A。

1.3.8健康医疗数据healthdata

个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。

示例:经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。

1.3.9衍生数据deriveddata

经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。

1.3.10数据处理者dataprocessor

在数据处理活动中自主决定处理目的、处理方式的组织、个人。

基本原则

遵循国家数据分类分级保护要求，按照数据所属行业领域进行分类分级管理，依据以下原则对数据进行分类分级。

2.1科学实用原则

从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。

2.2边界清晰原则

数据分级的各级别应边界清晰，对不同级别的数据采取相应的保护措施。

2.3就高从严原则

采用就高不就低的原则确定数据级别，当多个因素可能影响数据分级时，按照可能造成的各个影响对象的最高影响程度确定数据级别。

2.4点面结合原则

数据分级既要考虑单项数据分级，也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响，综合确定数据级别。

2.5动态更新原则

根据数据的业务属性、重要性和可能造成的危害程度的变化，对数据分类分级、重要数据目录等进行定期审核更新。

数据分类分级工作流程

根据X州市第X人民医院《数据安全分类分级管理办法》，数据分类分级工作由X州市第X人民医院网络安全领导小组统筹、指导。信息部协调各开发组织配合数据科具体执行数据分类分级。具体数据分类分级工作流程如下图：

3.1数据资产调研

由信息部、医务部、办公室统一组织，由数据科制作数据资产调研表（附件B），下发各科室及分院填报本科室、本分院数据资产清单表，并报信息部。

3.2确立数据资产清单

信息部、数据科会同软件开发商共同对数据资产调研表进行分析和确认，最终输出数据资产清单（附录C）并报网络安全领导小组确认并备案。

3.3预分类

信息部与医务部门会同数据科根据国家卫健委《卫生健康行业分类分级指南（试行）》和国家标准GB/T43697-2024《数据安全技术数据分类分级规则》对已收集数据资产进行预分类。