DB3205_T 1083-2023医疗机构数据安全管理规范.pdf
《DB3205_T 1083-2023医疗机构数据安全管理规范.pdf》由会员分享,可在线阅读,更多相关《DB3205_T 1083-2023医疗机构数据安全管理规范.pdf(21页珍藏版)》请在咨信网上搜索。
1、ICS 35.020CCS L 092023-08-31 实2023-08-23 发布施苏州市市场监督管理局发 布DB3205医疗机构数据安全管理规范Data security management standards for medical institutions苏州市地方标准DB3205/T 10832023DB3205/T 10832023I目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14概述.15数据安全基础工作.25.1组织管理.25.2人员管理.25.3制度管理.35.4经费保障.36数据安全常规工作.36.1基础设施安全管理.36.2资产管理.36.3
2、分类分级管理.36.4分级管控建设.36.5培训管理.47数据安全专项工作.47.1风险监测.47.2应急处置.47.3安全评估.47.4共享与开放安全.47.5个人健康医疗数据管理.58安全评价与考核.5附录 A(资料性)三种工作关系及标准的使用说明图.6附录 B(资料性)组织架构设计.7附录 C(资料性)数据资产清单.8附录 D(资料性)数据分类分级管控基线.9附录 E(资料性)数据安全评价表.10参考文献.13DB3205/T 10832023II前言本文件按照GB/T 1.12020标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件的某些内容可能涉及专利,本文件的发布
3、机构不承担识别专利的责任。本文件由苏州市卫生健康委员会提出并归口。本文件起草单位:苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司
4、、苏州如意云网络科技有限公司。本文件主要起草人:鞠鑫、谢兴潜、夏燕、孟华、朱杰、马振刚、张俊杰、陆晓明、刘旭哲、周文渊、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、陆建新、沈为濂、金健、仲晓伟、李斌、颜庆、顾纪君、徐先泉、张华荣、程思明、刘亚军、汪春亮、朱晨、诸俊、闵寒、柳维生、费雪刚、唐广场、沈翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝尚印。DB3205/T 10832023III引言随着国家医疗改革政策的推进,互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型医疗业务蓬勃发展,数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为
5、支撑业务创新的关键。同时,随着物联网、人工智能等技术的在行业中不断创新应用,人脸、指纹等新型数据也成为了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性,医疗机构如何识别数据要素,如何更加安全、合理的利用医疗数据,也成为行业当前面临的共性难题。2021年,中华人民共和国数据安全法中华人民共和国个人信息保护法相继施行,提出了国家对于数据保护的法律底线。而在2022年8月,由国家卫生健康委、国家中医药局、国家疾控局三部门联合发布并施行的医疗卫生机构网络安全管理办法,明确提出了相关监管单位对于医疗卫生机构网络数据安全管理的总体要求。本文件在国家法律、地方条例以及行业要求的
6、基础上,针对苏州市各医疗机构提出了更为细化的数据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路,指导各医疗机构制定合理、有效的数据安全管理措施,从而提升医疗机构的数据安全管理和防护水平。本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路,并结合苏州本地医疗机构的实际调研情况,充分讨论、总结形成,具备科学性和可操作性。DB3205/T 108320231医疗机构数据安全管理规范1范围本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求,描述了对应的证实方法。本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包
7、括公立医院、民营医院、社区卫生服务中心(站)、校医院、乡镇卫生院、诊所(医务室)、村卫生室、疾病预防控制中心、妇幼保健机构、专科疾病防治院(所、站)、卫生监督所(中心)。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222392019信息安全技术网络安全等级保护基本要求GB/T 250692022信息安全技术术语GB/T 397252020信息安全技术健康医疗数据安全指南3术语和定义GB/T 250692022界定的以及下列术语和定
8、义适用于本文件。3.1重要数据key data特定领域、特定群体、特定区域或达到一定精度和规模,一旦被泄露、篡改或损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。3.2个人健康医疗数据personal health data单独或者其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。来源:GB/T 397252020,3.13.3健康医疗信息系统health information system以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。来源:GB/T 397252020,3.64概述DB3205/T 108320
9、232医疗机构在开展数据安全管理时,应充分考虑国家及行业的相关要求,结合自身的基础设施现状,明确建设目标。根据数据安全管理工作开展的性质,将管理工作划分为基础工作、常规工作、专项工作三大类,具体说明如下:基础工作是医疗机构开展数据安全管理工作的基础前提;常规工作是保障医疗机构数据安全正常运行的常规要求;专项工作是针对数据安全高风险场景、特殊的医疗业务场景、监管等场景下的管理优化专项建议。医疗机构可根据自身情况选择三种工作的执行内容和范围。医疗机构监管单位也可根据不同类型、级别的医疗机构,设置不同的数据安全管理工作的评价、考核指标。三种工作的关系及标准的使用说明见附录A。5数据安全基础工作5.1
10、组织管理5.1.1医疗机构应建立数据安全管理团队。5.1.2数据安全管理团队应包含决策、管理、执行、监督四个层级(见附录 B),具体要求如下:决策层:负责统筹数据安全建设整体策略与方针,为数据安全工作指明方向;管理层:负责数据安全管理工作,编制数据安全相关制度及要求,指导并推进数据安全工作的落实;执行层:负责组织内部数据安全工作具体执行,例如:权限分配,关键数据处理活动的措施实施;监督层:负责数据安全的日常审计及处理公众日常投诉等工作,定期开展数据安全审计和分析,及时发现并反馈问题和风险。5.1.3医疗机构应按照组织规模、组织级别、组织架构现状设立数据安全管理员岗,负责安全管理的具体工作。5.
11、1.4针对小型医疗机构,如社区卫生服务中心(站)、校医院、乡镇卫生院、诊所(医务室)、村卫生室等,宜简化数据安全管理团队层级,仅保留管理层和执行层,决策层与管理层职责合并,执行层与监督层职责合并。5.1.5针对小型医疗机构,如社区卫生服务中心(站)、校医院、乡镇卫生院、诊所(医务室)、村卫生室等,宜采取一把手责任制,由机构最高领导兼任数据安全管理员。5.2人员管理5.2.1医疗机构应对数据安全管理员任用前、任用中、任用终止各环节建立有效的安全控制措施,具体要求如下:任用前,应进行背景调查;任用中,应签署相关的保密协议及安全责任协议;离任后,应及时回收相应的管理权限,并确保完成工作交接。5.2.
12、2数据安全管理团队所有成员应满足层级、岗位的数据安全能力要求,不满足条件时,宜通过外部招聘、培训等方式增强数据安全能力,以达到岗位要求。5.2.3医疗机构应为数据安全管理团队成员定制专业技能、安全意识、流程制度等维度的培训计划。5.2.4医疗机构应将相关数据安全工作纳入团队成员的日常工作考核中,并参考现有的考核机制执行奖惩。DB3205/T 1083202335.3制度管理5.3.1医疗机构应建立完善的数据安全管理制度,至少包含数据安全管理、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全培训 5 个部分,宜结合现有网络安全制度进行补充或通过独立制度文本呈现。5.3.2医疗机构若
13、涉及第三方参与业务服务、实施,或与第三方单位有数据交互的情形,还应建立第三方的数据安全管理制度。5.3.3医疗机构若涉及数据出境情形,如国际远程会诊、海外科研等场景,还应按照数据出境安全评估办法的具体规定进行制度的补充建设。5.3.4医疗机构应定期修订管理制度,修订频率不低于一年一次。5.4经费保障医疗机构应在数据安全建设和运营方面设置保障经费。6数据安全常规工作6.1基础设施安全管理6.1.1医疗机构数据计算和存储的安全物理环境宜参考 GB/T 222392019 中的相关要求建设。6.1.2医疗机构业务数据的存储设备应部署在中华人民共和国境内。6.1.3医疗机构业务数据的存储设备应具备访问
14、控制、备份与恢复基本功能。6.1.4针对医疗机构重要数据,应采用本地备份、异地灾备的技术保障数据的完整性。6.2资产管理6.2.1医疗机构应定期更新数据资产清单(见附录 C),包括数据资产的所在位置、数据所属的健康医疗信息系统、责任人、部门等信息。6.2.2医疗机构宜采用自动化工具定期进行数据资产的扫描,及时发现新增和变化的数据资产,并通过数据资产分布地图的形式呈现数据资产及资产变化情况。6.2.3当医疗机构重要数据资产、个人健康医疗数据资产发生较大变化和波动时,应有相应的监测、预警、处置机制。6.3分类分级管理6.3.1医疗机构应定期开展分类分级工作,对健康医疗信息系统内的数据资产进行分类分
15、级标识。6.3.2医疗机构宜采用自动化工具的方式开展数据标识,并结合数据分类分级规范形成本机构的数据分类分级字典。6.3.3分类分级工作的执行频率应与数据资产管理频率保持一致。6.3.4医疗机构应制定数据级别变更的审批流程,审批链路上宜包含数据安全管理员,应对级别变更记录、审批记录进行保存。6.4分级管控建设6.4.1医疗机构宜参考 GB/T 397252020,采用流程审批、管理制度、加密、脱敏、权限限制、备份等手段对数据资产进行保护。6.4.2针对存储在医疗机构内的人脸识别信息,应按照医疗卫生机构网络安全管理办法采取特殊的安全技术手段进行保护。DB3205/T 1083202346.4.3
16、医疗机构应定期修订数据分类分级管控基线(见附录 D),保证清单的适用性及合理性。6.5培训管理6.5.1医疗机构应定期组织数据安全培训,并形成相关记录,培训的内容应结合培训对象的需求制定,具体要求如下:面对医疗机构全员,应包含法律宣传、管理制度宣贯、安全意识等培训课程;面对医疗机构数据安全管理团队成员,应包含数据分类分级、数据安全风险评估、数据安全技术等培训课程。6.5.2医疗机构宜建立本机构的数据安全培训课程体系。7数据安全专项工作7.1风险监测7.1.1医疗机构应建立数据安全风险监测机制,提高风险发现的时效性。7.1.2医疗机构应具备数据安全风险发现能力,包含但不限于数据内容分析能力、数据
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3205_T 1083-2023医疗机构数据安全管理规范 1083 2023 医疗机构 数据 安全管理 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。