DB3205-T 1083-2023醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理規(guī)范

CCS35.020DB3205蘇州市市場(chǎng)監(jiān)督管理局發(fā)布DB3205/T1083—2023前言 II III 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14概述 15數(shù)據(jù)安全基礎(chǔ)工作 25.1組織管理 25.2人員管理 25.3制度管理 35.4經(jīng)費(fèi)保障 36數(shù)據(jù)安全常規(guī)工作 36.1基礎(chǔ)設(shè)施安全管理 36.2資產(chǎn)管理 36.3分類分級(jí)管理 36.4分級(jí)管控建設(shè) 36.5培訓(xùn)管理 47數(shù)據(jù)安全專項(xiàng)工作 47.1風(fēng)險(xiǎn)監(jiān)測(cè) 47.2應(yīng)急處置 47.3安全評(píng)估 47.4共享與開(kāi)放安全 47.5個(gè)人健康醫(yī)療數(shù)據(jù)管理 58安全評(píng)價(jià)與考核 5附錄A（資料性）三種工作關(guān)系及標(biāo)準(zhǔn)的使用說(shuō)明圖 6附錄B（資料性）組織架構(gòu)設(shè)計(jì) 7附錄C（資料性）數(shù)據(jù)資產(chǎn)清單 8附錄D（資料性）數(shù)據(jù)分類分級(jí)管控基線 9附錄E（資料性）數(shù)據(jù)安全評(píng)價(jià)表 10參考文獻(xiàn) 13DB3205/T1083—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由蘇州市衛(wèi)生健康委員會(huì)提出并歸口。本文件起草單位：蘇州市衛(wèi)生計(jì)生統(tǒng)計(jì)信息中心、蘇州市衛(wèi)生健康委員會(huì)、中共蘇州市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、蘇州市公安局、蘇州市質(zhì)量和標(biāo)準(zhǔn)化院、北京神州綠盟科技有限公司、昆山市衛(wèi)生計(jì)生信息中心、常熟市衛(wèi)生信息中心、蘇州市吳中區(qū)衛(wèi)生健康發(fā)展中心、蘇州市姑蘇區(qū)民政和衛(wèi)生健康局、蘇州工業(yè)園區(qū)衛(wèi)生健康委員會(huì)、蘇州大學(xué)附屬第一醫(yī)院、蘇州大學(xué)附屬第二醫(yī)院、蘇州市立醫(yī)院、蘇州市中醫(yī)醫(yī)院、蘇州市第五人民醫(yī)院、蘇州市第九人民醫(yī)院、蘇州市疾病預(yù)防控制中心、江蘇國(guó)保信息系統(tǒng)測(cè)評(píng)中心有限公司、蘇州億陽(yáng)值通科技發(fā)展股份有限公司、江蘇安國(guó)信檢測(cè)技術(shù)有限公司、蘇州如意云網(wǎng)絡(luò)科技有限公司。本文件主要起草人：鞠鑫、謝興潛、夏燕、孟華、朱杰、馬振剛、張俊杰、陸曉明、劉旭哲、周文淵、趙亞、姚永剛、顧嘉奇、湯景云、沈婷、貝乾、陸建新、沈?yàn)殄?、金健、仲曉偉、李斌、顏慶、顧紀(jì)君、徐先泉、張華榮、程思明、劉亞軍、汪春亮、朱晨、諸俊、閔寒、柳維生、費(fèi)雪剛、唐廣場(chǎng)、沈翀、顧馳洲、黃利軍、沈穎杰、丁翀、方衛(wèi)青、高喆、趙斌、丁松松、吳雪晴、王萍、施嶺、顧奇、郝尚印。DB3205/T1083—2023隨著國(guó)家醫(yī)療改革政策的推進(jìn)，互聯(lián)網(wǎng)醫(yī)院、醫(yī)療聯(lián)合體、醫(yī)療衛(wèi)生服務(wù)共同體、遠(yuǎn)程診療等新型醫(yī)療業(yè)務(wù)蓬勃發(fā)展，數(shù)據(jù)采集、數(shù)據(jù)交換、數(shù)據(jù)共享、數(shù)據(jù)挖掘分析等數(shù)據(jù)處理活動(dòng)成為支撐業(yè)務(wù)創(chuàng)新的關(guān)鍵。同時(shí)，隨著物聯(lián)網(wǎng)、人工智能等技術(shù)的在行業(yè)中不斷創(chuàng)新應(yīng)用，人臉、指紋等新型數(shù)據(jù)也成為了健康醫(yī)療數(shù)據(jù)重要的組成部分。醫(yī)療行業(yè)數(shù)據(jù)存在規(guī)?；⒍鄻踊约傲鲃?dòng)頻繁的特性，醫(yī)療機(jī)構(gòu)如何識(shí)別數(shù)據(jù)要素，如何更加安全、合理的利用醫(yī)療數(shù)據(jù)，也成為行業(yè)當(dāng)前面臨的共性難題。2021年，《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》相繼施行，提出了國(guó)家對(duì)于數(shù)據(jù)保護(hù)的法律底線。而在2022年8月，由國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局、國(guó)家疾控局三部門聯(lián)合發(fā)布并施行的《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》，明確提出了相關(guān)監(jiān)管單位對(duì)于醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)數(shù)據(jù)安全管理的總體要求。本文件在國(guó)家法律、地方條例以及行業(yè)要求的基礎(chǔ)上，針對(duì)蘇州市各醫(yī)療機(jī)構(gòu)提出了更為細(xì)化的數(shù)據(jù)安全管理規(guī)范。本文件為醫(yī)療機(jī)構(gòu)提供可參考的數(shù)據(jù)安全管理思路，指導(dǎo)各醫(yī)療機(jī)構(gòu)制定合理、有效的數(shù)據(jù)安全管理措施，從而提升醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全管理和防護(hù)水平。本文件參考了中國(guó)信息通信研究院、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等機(jī)構(gòu)的數(shù)據(jù)安全建設(shè)思路，并結(jié)合蘇州本地醫(yī)療機(jī)構(gòu)的實(shí)際調(diào)研情況，充分討論、總結(jié)形成，具備科學(xué)性和可操作性。1DB3205/T1083—2023醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理規(guī)范本文件規(guī)定了醫(yī)療機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全管理的基礎(chǔ)工作、常規(guī)工作及專項(xiàng)工作的要求，描述了對(duì)應(yīng)的證實(shí)方法。本文件適用于醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理工作以及監(jiān)管部門檢查與評(píng)估。本文件所指的醫(yī)療機(jī)構(gòu)包括公立醫(yī)院、民營(yíng)醫(yī)院、社區(qū)衛(wèi)生服務(wù)中心（站）、校醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院、診所（醫(yī)務(wù)室）、村衛(wèi)生室、疾病預(yù)防控制中心、婦幼保健機(jī)構(gòu)、?？萍膊》乐卧海ㄋ?、站）、衛(wèi)生監(jiān)督所（中心）。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T39725—2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南3術(shù)語(yǔ)和定義GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1重要數(shù)據(jù)keydata特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模，一旦被泄露、篡改或損毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)。3.2個(gè)人健康醫(yī)療數(shù)據(jù)personalhealthdata單獨(dú)或者其他信息結(jié)合后能夠識(shí)別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)。[來(lái)源：GB/T39725—2020，3.1]3.3健康醫(yī)療信息系統(tǒng)healthinformationsystem以計(jì)算機(jī)可處理的形式采集、存儲(chǔ)、處理、傳輸、訪問(wèn)、銷毀健康醫(yī)療數(shù)據(jù)的系統(tǒng)。[來(lái)源：GB/T39725—2020，3.6]4概述2DB3205/T1083—2023醫(yī)療機(jī)構(gòu)在開(kāi)展數(shù)據(jù)安全管理時(shí)，應(yīng)充分考慮國(guó)家及行業(yè)的相關(guān)要求，結(jié)合自身的基礎(chǔ)設(shè)施現(xiàn)狀，明確建設(shè)目標(biāo)。根據(jù)數(shù)據(jù)安全管理工作開(kāi)展的性質(zhì)，將管理工作劃分為基礎(chǔ)工作、常規(guī)工作、專項(xiàng)工作三大類，具體說(shuō)明如下：——基礎(chǔ)工作是醫(yī)療機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全管理工作的基礎(chǔ)前提；——常規(guī)工作是保障醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全正常運(yùn)行的常規(guī)要求；——專項(xiàng)工作是針對(duì)數(shù)據(jù)安全高風(fēng)險(xiǎn)場(chǎng)景、特殊的醫(yī)療業(yè)務(wù)場(chǎng)景、監(jiān)管等場(chǎng)景下的管理優(yōu)化專項(xiàng)建議。醫(yī)療機(jī)構(gòu)可根據(jù)自身情況選擇三種工作的執(zhí)行內(nèi)容和范圍。醫(yī)療機(jī)構(gòu)監(jiān)管單位也可根據(jù)不同類型、級(jí)別的醫(yī)療機(jī)構(gòu)，設(shè)置不同的數(shù)據(jù)安全管理工作的評(píng)價(jià)、考核指標(biāo)。三種工作的關(guān)系及標(biāo)準(zhǔn)的使用說(shuō)明見(jiàn)附錄A。5數(shù)據(jù)安全基礎(chǔ)工作5.1組織管理5.1.1醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)安全管理團(tuán)隊(duì)。5.1.2數(shù)據(jù)安全管理團(tuán)隊(duì)?wèi)?yīng)包含決策、管理、執(zhí)行、監(jiān)督四個(gè)層級(jí)（見(jiàn)附錄B），具體要求如下：——決策層：負(fù)責(zé)統(tǒng)籌數(shù)據(jù)安全建設(shè)整體策略與方針，為數(shù)據(jù)安全工作指明方向；——管理層：負(fù)責(zé)數(shù)據(jù)安全管理工作，編制數(shù)據(jù)安全相關(guān)制度及要求，指導(dǎo)并推進(jìn)數(shù)據(jù)安全工作的落實(shí)；——執(zhí)行層：負(fù)責(zé)組織內(nèi)部數(shù)據(jù)安全工作具體執(zhí)行，例如：權(quán)限分配，關(guān)鍵數(shù)據(jù)處理活動(dòng)的措施實(shí)施；——監(jiān)督層：負(fù)責(zé)數(shù)據(jù)安全的日常審計(jì)及處理公眾日常投訴等工作，定期開(kāi)展數(shù)據(jù)安全審計(jì)和分析，及時(shí)發(fā)現(xiàn)并反饋問(wèn)題和風(fēng)險(xiǎn)。5.1.3醫(yī)療機(jī)構(gòu)應(yīng)按照組織規(guī)模、組織級(jí)別、組織架構(gòu)現(xiàn)狀設(shè)立數(shù)據(jù)安全管理員崗，負(fù)責(zé)安全管理的具體工作。5.1.4針對(duì)小型醫(yī)療機(jī)構(gòu)，如社區(qū)衛(wèi)生服務(wù)中心（站）、校醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院、診所（醫(yī)務(wù)室）、村衛(wèi)生室等，宜簡(jiǎn)化數(shù)據(jù)安全管理團(tuán)隊(duì)層級(jí)，僅保留管理層和執(zhí)行層，決策層與管理層職責(zé)合并，執(zhí)行層與監(jiān)督層職責(zé)合并。5.1.5針對(duì)小型醫(yī)療機(jī)構(gòu)，如社區(qū)衛(wèi)生服務(wù)中心（站）、校醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院、診所（醫(yī)務(wù)室）、村衛(wèi)生室等，宜采取一把手責(zé)任制，由機(jī)構(gòu)最高領(lǐng)導(dǎo)兼任數(shù)據(jù)安全管理員。5.2人員管理5.2.1醫(yī)療機(jī)構(gòu)應(yīng)對(duì)數(shù)據(jù)安全管理員任用前、任用中、任用終止各環(huán)節(jié)建立有效的安全控制措施，具體要求如下：——任用前，應(yīng)進(jìn)行背景調(diào)查；——任用中，應(yīng)簽署相關(guān)的保密協(xié)議及安全責(zé)任協(xié)議；——離任后，應(yīng)及時(shí)回收相應(yīng)的管理權(quán)限，并確保完成工作交接。5.2.2數(shù)據(jù)安全管理團(tuán)隊(duì)所有成員應(yīng)滿足層級(jí)、崗位的數(shù)據(jù)安全能力要求，不滿足條件時(shí)，宜通過(guò)外部招聘、培訓(xùn)等方式增強(qiáng)數(shù)據(jù)安全能力，以達(dá)到崗位要求。5.2.3醫(yī)療機(jī)構(gòu)應(yīng)為數(shù)據(jù)安全管理團(tuán)隊(duì)成員定制專業(yè)技能、安全意識(shí)、流程制度等維度的培訓(xùn)計(jì)劃。5.2.4醫(yī)療機(jī)構(gòu)應(yīng)將相關(guān)數(shù)據(jù)安全工作納入團(tuán)隊(duì)成員的日常工作考核中，并參考現(xiàn)有的考核機(jī)制執(zhí)行獎(jiǎng)懲。DB3205/T1083—20235.3制度管理5.3.1醫(yī)療機(jī)構(gòu)應(yīng)建立完善的數(shù)據(jù)安全管理制度，至少包含數(shù)據(jù)安全管理、數(shù)據(jù)分類分級(jí)保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全培訓(xùn)5個(gè)部分，宜結(jié)合現(xiàn)有網(wǎng)絡(luò)安全制度進(jìn)行補(bǔ)充或通過(guò)獨(dú)立制度文本呈現(xiàn)。5.3.2醫(yī)療機(jī)構(gòu)若涉及第三方參與業(yè)務(wù)服務(wù)、實(shí)施，或與第三方單位有數(shù)據(jù)交互的情形，還應(yīng)建立第三方的數(shù)據(jù)安全管理制度。5.3.3醫(yī)療機(jī)構(gòu)若涉及數(shù)據(jù)出境情形，如國(guó)際遠(yuǎn)程會(huì)診、海外科研等場(chǎng)景，還應(yīng)按照《數(shù)據(jù)出境安全評(píng)估辦法》的具體規(guī)定進(jìn)行制度的補(bǔ)充建設(shè)。5.3.4醫(yī)療機(jī)構(gòu)應(yīng)定期修訂管理制度，修訂頻率不低于一年一次。5.4經(jīng)費(fèi)保障醫(yī)療機(jī)構(gòu)應(yīng)在數(shù)據(jù)安全建設(shè)和運(yùn)營(yíng)方面設(shè)置保障經(jīng)費(fèi)。6數(shù)據(jù)安全常規(guī)工作6.1基礎(chǔ)設(shè)施安全管理6.1.1醫(yī)療機(jī)構(gòu)數(shù)據(jù)計(jì)算和存儲(chǔ)的安全物理環(huán)境宜參考GB/T22239—2019中的相關(guān)要求建設(shè)。6.1.2醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)設(shè)備應(yīng)部署在中華人民共和國(guó)境內(nèi)。6.1.3醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)設(shè)備應(yīng)具備訪問(wèn)控制、備份與恢復(fù)基本功能。6.1.4針對(duì)醫(yī)療機(jī)構(gòu)重要數(shù)據(jù)，應(yīng)采用本地備份、異地災(zāi)備的技術(shù)保障數(shù)據(jù)的完整性。6.2資產(chǎn)管理6.2.1醫(yī)療機(jī)構(gòu)應(yīng)定期更新《數(shù)據(jù)資產(chǎn)清單》（見(jiàn)附錄C），包括數(shù)據(jù)資產(chǎn)的所在位置、數(shù)據(jù)所屬的健康醫(yī)療信息系統(tǒng)、責(zé)任人、部門等信息。6.2.2醫(yī)療機(jī)構(gòu)宜采用自動(dòng)化工具定期進(jìn)行數(shù)據(jù)資產(chǎn)的掃描，及時(shí)發(fā)現(xiàn)新增和變化的數(shù)據(jù)資產(chǎn)，并通過(guò)數(shù)據(jù)資產(chǎn)分布地圖的形式呈現(xiàn)數(shù)據(jù)資產(chǎn)及資產(chǎn)變化情況。6.2.3當(dāng)醫(yī)療機(jī)構(gòu)重要數(shù)據(jù)資產(chǎn)、個(gè)人健康醫(yī)療數(shù)據(jù)資產(chǎn)發(fā)生較大變化和波動(dòng)時(shí)，應(yīng)有相應(yīng)的監(jiān)測(cè)、預(yù)警、處置機(jī)制。6.3分類分級(jí)管理6.3.1醫(yī)療機(jī)構(gòu)應(yīng)定期開(kāi)展分類分級(jí)工作，對(duì)健康醫(yī)療信息系統(tǒng)內(nèi)的數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)標(biāo)識(shí)。6.3.2醫(yī)療機(jī)構(gòu)宜采用自動(dòng)化工具的方式開(kāi)展數(shù)據(jù)標(biāo)識(shí)，并結(jié)合數(shù)據(jù)分類分級(jí)規(guī)范形成本機(jī)構(gòu)的數(shù)據(jù)分類分級(jí)字典。6.3.3分類分級(jí)工作的執(zhí)行頻率應(yīng)與數(shù)據(jù)資產(chǎn)管理頻率保持一致。6.3.4醫(yī)療機(jī)構(gòu)應(yīng)制定數(shù)據(jù)級(jí)別變更的審批流程，審批鏈路上宜包含數(shù)據(jù)安全管理員，應(yīng)對(duì)級(jí)別變更記錄、審批記錄進(jìn)行保存。6.4分級(jí)管控建設(shè)6.4.1醫(yī)療機(jī)構(gòu)宜參考GB/T39725—2020，采用流程審批、管理制度、加密、脫敏、權(quán)限限制、備份等手段對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行保護(hù)。6.4.2針對(duì)存儲(chǔ)在醫(yī)療機(jī)構(gòu)內(nèi)的人臉識(shí)別信息，應(yīng)按照《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》采取特殊的安全技術(shù)手段進(jìn)行保護(hù)。4DB3205/T1083—20236.4.3醫(yī)療機(jī)構(gòu)應(yīng)定期修訂《數(shù)據(jù)分類分級(jí)管控基線》（見(jiàn)附錄D），保證清單的適用性及合理性。6.5培訓(xùn)管理6.5.1醫(yī)療機(jī)構(gòu)應(yīng)定期組織數(shù)據(jù)安全培訓(xùn)，并形成相關(guān)記錄，培訓(xùn)的內(nèi)容應(yīng)結(jié)合培訓(xùn)對(duì)象的需求制定，具體要求如下：——面對(duì)醫(yī)療機(jī)構(gòu)全員，應(yīng)包含法律宣傳、管理制度宣貫、安全意識(shí)等培訓(xùn)課程；——面對(duì)醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理團(tuán)隊(duì)成員，應(yīng)包含數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全技術(shù)等培訓(xùn)課程。6.5.2醫(yī)療機(jī)構(gòu)宜建立本機(jī)構(gòu)的數(shù)據(jù)安全培訓(xùn)課程體系。7數(shù)據(jù)安全專項(xiàng)工作7.1風(fēng)險(xiǎn)監(jiān)測(cè)7.1.1醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，提高風(fēng)險(xiǎn)發(fā)現(xiàn)的時(shí)效性。7.1.2醫(yī)療機(jī)構(gòu)應(yīng)具備數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)現(xiàn)能力，包含但不限于數(shù)據(jù)內(nèi)容分析能力、數(shù)據(jù)行為分析能力、數(shù)據(jù)溯源能力。7.1.3醫(yī)療機(jī)構(gòu)應(yīng)定期開(kāi)展人員安全意識(shí)評(píng)估，識(shí)別人員風(fēng)險(xiǎn)。7.1.4醫(yī)療機(jī)構(gòu)應(yīng)定期開(kāi)展制度流程風(fēng)險(xiǎn)評(píng)估，識(shí)別流程設(shè)計(jì)、運(yùn)行等缺陷。7.1.5醫(yī)療機(jī)構(gòu)宜部署相關(guān)技術(shù)工具，輔助識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)。7.2應(yīng)急處置7.2.1醫(yī)療機(jī)構(gòu)應(yīng)建立完善的數(shù)據(jù)安全應(yīng)急響應(yīng)與事件處置機(jī)制，做好應(yīng)急預(yù)案，并定期組織應(yīng)急演練，保證信息資源的可用性。7.2.2醫(yī)療機(jī)構(gòu)應(yīng)依據(jù)國(guó)家及行業(yè)主管部門規(guī)定，綜合事件性質(zhì)、影響范圍等因素，對(duì)安全事件進(jìn)行分級(jí)管理。7.2.3醫(yī)療機(jī)構(gòu)應(yīng)按照醫(yī)療行業(yè)主管部門有關(guān)規(guī)定，向醫(yī)療機(jī)構(gòu)監(jiān)管單位上報(bào)數(shù)據(jù)安全事件及其處置情況。7.2.4醫(yī)療機(jī)構(gòu)應(yīng)在發(fā)生數(shù)據(jù)泄露事件時(shí)，及時(shí)采取補(bǔ)救措施，并按照合同協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)。7.2.5醫(yī)療機(jī)構(gòu)應(yīng)在事件處置結(jié)束后，分析原因總結(jié)存在的問(wèn)題，并形成總結(jié)報(bào)告。7.3安全評(píng)估7.3.1醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)安全檢查評(píng)估機(jī)制，并定期組織數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，形成評(píng)估報(bào)告，報(bào)告內(nèi)容包含但不限于：——評(píng)估的數(shù)據(jù)資產(chǎn)的種類、數(shù)量；——已開(kāi)展數(shù)據(jù)處理活動(dòng)的情況；——已識(shí)別的數(shù)據(jù)安全風(fēng)險(xiǎn)。7.3.2針對(duì)檢查評(píng)估的結(jié)果，醫(yī)療機(jī)構(gòu)應(yīng)明確責(zé)任部門，編制適宜的整改計(jì)劃，并由數(shù)據(jù)安全管理員跟蹤落實(shí)。7.4共享與開(kāi)放安全7.4.1醫(yī)療機(jī)構(gòu)應(yīng)設(shè)置數(shù)據(jù)共享與開(kāi)放的責(zé)任人，負(fù)責(zé)組織內(nèi)數(shù)據(jù)的對(duì)外共享和開(kāi)放。DB3205/T1083—20237.4.2醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)共享與開(kāi)放的管理制度和管控規(guī)則。7.4.3醫(yī)療機(jī)構(gòu)應(yīng)根據(jù)共享和開(kāi)放數(shù)據(jù)的類型、數(shù)量及影響范圍，充分評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，形成數(shù)據(jù)共享開(kāi)放風(fēng)險(xiǎn)評(píng)估報(bào)告。7.4.4針對(duì)醫(yī)療機(jī)構(gòu)重要數(shù)據(jù)的共享場(chǎng)景，宜采取數(shù)據(jù)安全新技術(shù)實(shí)現(xiàn)數(shù)據(jù)的可用不可見(jiàn)，例如隱私計(jì)算。7.5個(gè)人健康醫(yī)療數(shù)據(jù)管理7.5.1針對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)的安全管理要求應(yīng)遵循相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。7.5.2醫(yī)療機(jī)構(gòu)應(yīng)具有識(shí)別、區(qū)分個(gè)人健康醫(yī)療數(shù)據(jù)的能力，并對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)進(jìn)行標(biāo)識(shí)。7.5.3醫(yī)療機(jī)構(gòu)應(yīng)建立個(gè)人健康醫(yī)療數(shù)據(jù)的安全管控機(jī)制及技術(shù)措施，包含但不限于個(gè)人健康醫(yī)療數(shù)據(jù)的收集、傳輸、存儲(chǔ)、使用、刪除、銷毀以及個(gè)人健康醫(yī)療數(shù)據(jù)主體的權(quán)利。8安全評(píng)價(jià)與考核8.1醫(yī)療機(jī)構(gòu)應(yīng)按照本文件對(duì)自身數(shù)據(jù)安全建設(shè)情況進(jìn)行評(píng)價(jià)。8.2醫(yī)療機(jī)構(gòu)監(jiān)管單位可參照本文件對(duì)醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全建設(shè)情況進(jìn)行考核，考核方式可以評(píng)價(jià)表方式呈現(xiàn)（見(jiàn)附錄E）。8.3考核可采取數(shù)據(jù)安全專項(xiàng)形式或在年度考核中體現(xiàn)。6DB3205/T1083—2023（資料性）三種工作關(guān)系及標(biāo)準(zhǔn)的使用說(shuō)明圖三種工作的關(guān)系以及標(biāo)準(zhǔn)的使用說(shuō)明如A.1所示。圖A.1醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理規(guī)范標(biāo)準(zhǔn)使用說(shuō)明DB3205/T1083—2023（資料性）組織架構(gòu)設(shè)計(jì)醫(yī)療機(jī)構(gòu)設(shè)計(jì)自身數(shù)據(jù)安全管理組織架構(gòu)，示例見(jiàn)表B.1。表B.1數(shù)據(jù)安全組織架構(gòu)（示例）督8DB3205/T1083—2023（資料性）數(shù)據(jù)資產(chǎn)清單醫(yī)療機(jī)構(gòu)建立的數(shù)據(jù)資產(chǎn)清單，示例見(jiàn)表C.1。表C.1數(shù)據(jù)資產(chǎn)清單人DB3205/T1083—2023（資料性）數(shù)據(jù)分類分級(jí)管控基線醫(yī)療機(jī)構(gòu)建立的數(shù)據(jù)分類分級(jí)管控基線，示例見(jiàn)表D.1。表D.1數(shù)據(jù)分類分級(jí)管控基線級(jí)DB3205/T1083—2023（資料性）數(shù)據(jù)安全評(píng)價(jià)表醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全評(píng)價(jià)和考核表，示例見(jiàn)表E.1。表E.1數(shù)據(jù)安全評(píng)價(jià)表2324226222DB3205/T1083—2023表E.1數(shù)據(jù)安全評(píng)價(jià)表（續(xù)）2-12-1-1醫(yī)療機(jī)構(gòu)是否通過(guò)對(duì)應(yīng)級(jí)別的網(wǎng)絡(luò)安全等保測(cè)22-1-2醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在境內(nèi)，且有明確的數(shù)22-1-3醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)是否采取一定的備份措施，2322-2-3醫(yī)療機(jī)構(gòu)對(duì)于數(shù)據(jù)資產(chǎn)發(fā)生變化時(shí)有相應(yīng)的流2理2-3-1醫(yī)療機(jī)構(gòu)對(duì)于系統(tǒng)數(shù)據(jù)資產(chǎn)定期開(kāi)展分類分級(jí)2分22-3-3醫(yī)療機(jī)構(gòu)是否基于自身數(shù)據(jù)資產(chǎn)形成分類分級(jí)22-3-4醫(yī)療機(jī)構(gòu)對(duì)于數(shù)據(jù)資產(chǎn)級(jí)別發(fā)生變化時(shí)有相應(yīng)2設(shè)2-4-1醫(yī)療機(jī)構(gòu)是否根據(jù)《數(shù)據(jù)分類分級(jí)管控基線》展數(shù)據(jù)安全能力建設(shè)，如加密、脫敏、水印、權(quán)限控制2-4-2醫(yī)療機(jī)構(gòu)是否對(duì)人臉識(shí)別信息采取了特殊的安62-4-3醫(yī)療機(jī)構(gòu)是否定期