DB32T-健康醫(yī)療數(shù)據(jù)安全管理規(guī)范編制說(shuō)明

——《健康醫(yī)療數(shù)據(jù)安全管理規(guī)范》編制說(shuō)明一、目的意義近年來(lái)，“互聯(lián)網(wǎng)+醫(yī)療”、“智慧醫(yī)療”正在迅速進(jìn)入醫(yī)療行業(yè)，滲透到醫(yī)療領(lǐng)域的各個(gè)環(huán)節(jié)，不僅打破了醫(yī)療行業(yè)原有相對(duì)封閉的使用環(huán)境，而且還使信息聚集更加便捷、迅速，這也就給醫(yī)療行業(yè)帶來(lái)了全新的數(shù)據(jù)安全挑戰(zhàn)。一方面，隨著醫(yī)療信息化的迅猛發(fā)展，以及移動(dòng)醫(yī)療、AI醫(yī)療影像、電子病歷等數(shù)字化程序的普及，醫(yī)療數(shù)據(jù)已成為醫(yī)院等醫(yī)療機(jī)構(gòu)發(fā)展的重要信息資產(chǎn)，且數(shù)據(jù)量級(jí)越積累越大，造成管理上的困難；另一方面，醫(yī)療數(shù)據(jù)中通常包含著大量的用戶(hù)個(gè)人敏感信息，如姓名、年齡、身體健康狀況、生理信息、疾病詳情等，這些信息一旦遭到篡改、破壞或泄露，將會(huì)對(duì)社會(huì)秩序以及醫(yī)療機(jī)構(gòu)和個(gè)人的合法利益造成極大的影響。國(guó)家相繼出臺(tái)的相關(guān)法律法規(guī)和標(biāo)準(zhǔn)對(duì)數(shù)據(jù)安全和個(gè)人隱私保護(hù)提出了明確的要求，也為江蘇省健康醫(yī)療數(shù)據(jù)安全管理規(guī)范的研制提供了強(qiáng)有力的有力指導(dǎo)和框架思路。但法律法規(guī)條文是整體、宏觀性的要求，其內(nèi)容無(wú)法直接進(jìn)行落地實(shí)施?！缎畔踩夹g(shù)-數(shù)據(jù)安全能力成熟度模型》雖然提出了數(shù)據(jù)安全具體措施，但該標(biāo)準(zhǔn)是通用型的標(biāo)準(zhǔn)，缺乏對(duì)健康醫(yī)療數(shù)據(jù)安全場(chǎng)景的針對(duì)性措施?！缎畔踩夹g(shù)-健康醫(yī)療數(shù)據(jù)安全指南》雖然提出了針對(duì)健康醫(yī)療數(shù)據(jù)安全管理的要求，但主要針對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)，而醫(yī)療衛(wèi)生機(jī)構(gòu)內(nèi)部也有很多非個(gè)人健康醫(yī)療數(shù)據(jù)，如醫(yī)療機(jī)構(gòu)財(cái)務(wù)數(shù)據(jù)、運(yùn)行數(shù)據(jù)、員工數(shù)據(jù)等，且該指南的很多內(nèi)容也無(wú)法直接落地，醫(yī)療衛(wèi)生機(jī)構(gòu)難以根據(jù)其規(guī)定直接開(kāi)展健康醫(yī)療數(shù)據(jù)安全建設(shè)。在此背景下，以醫(yī)療衛(wèi)生機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)為核心，以保障醫(yī)療業(yè)務(wù)能力為根本，探索研究出一套落地可行的健康醫(yī)療數(shù)據(jù)安全管理規(guī)范就顯得尤為重要。醫(yī)療行業(yè)數(shù)據(jù)安全，既要參照傳統(tǒng)網(wǎng)絡(luò)安全的模式和架構(gòu)，也要?jiǎng)?chuàng)新出擁有自身特色的防護(hù)模式，不能僅僅依靠數(shù)據(jù)安全設(shè)備的堆疊，而要用體系化的思維結(jié)合行業(yè)特征，構(gòu)建以數(shù)據(jù)使用安全為目標(biāo)的整體解決思路。本標(biāo)準(zhǔn)針對(duì)健康醫(yī)療數(shù)據(jù)特點(diǎn)和具體業(yè)務(wù)場(chǎng)景，研制更有針對(duì)性且可直接落地實(shí)施的數(shù)據(jù)安全管理規(guī)范，有助于指導(dǎo)我省各醫(yī)療衛(wèi)生機(jī)構(gòu)落實(shí)數(shù)據(jù)安全要求，提高我省健康醫(yī)療數(shù)據(jù)安全防護(hù)水平。二、任務(wù)來(lái)源2023年1月，江蘇省衛(wèi)生健康委員會(huì)根據(jù)江蘇省省市場(chǎng)監(jiān)督管理局開(kāi)展2023年度省地方標(biāo)準(zhǔn)申報(bào)立項(xiàng)的通知，提交《江蘇省健康醫(yī)療數(shù)據(jù)安全管理規(guī)范》的立項(xiàng)申請(qǐng)。2023年1月，依據(jù)《省市場(chǎng)監(jiān)管局關(guān)于下達(dá)2023年度江蘇省地方標(biāo)準(zhǔn)項(xiàng)目計(jì)劃的通知》（蘇市監(jiān)標(biāo)〔2023〕173號(hào)），《江蘇省健康醫(yī)療數(shù)據(jù)安全管理規(guī)范》獲批立項(xiàng)，編制任務(wù)由江蘇省衛(wèi)生健康信息中心承擔(dān)。三、編制過(guò)程1、成立標(biāo)準(zhǔn)起草小組，制定工作方案2023年1月，由江蘇省衛(wèi)生健康信息中心(江蘇省中醫(yī)藥信息中心)牽頭負(fù)責(zé)，和蘇州市衛(wèi)生計(jì)生統(tǒng)計(jì)信息中心、江蘇省中醫(yī)院、鎮(zhèn)江市第一人民醫(yī)院、蘇州大學(xué)附屬兒童醫(yī)院、無(wú)錫市衛(wèi)生健康統(tǒng)計(jì)信息中心、江蘇瑞新信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、杭州美創(chuàng)科技股份有限公司等專(zhuān)業(yè)人員組成起草小組。起草小組成立后，研究制訂出標(biāo)準(zhǔn)編制工作方案，明確目標(biāo)要求、工作思路、人員分工和工作進(jìn)度等，開(kāi)啟標(biāo)準(zhǔn)的起草工作。2、收集相關(guān)資料，開(kāi)展調(diào)研2023年2月至2023年4月，標(biāo)準(zhǔn)起草小組廣泛搜集、比對(duì)、分析了國(guó)家、省內(nèi)外相關(guān)的法律法規(guī)、規(guī)范性文件以及相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、工程標(biāo)準(zhǔn)，深入調(diào)研醫(yī)療衛(wèi)生機(jī)構(gòu)信息系統(tǒng)建設(shè)情況、數(shù)據(jù)資產(chǎn)情況、典型的業(yè)務(wù)場(chǎng)景、網(wǎng)絡(luò)安全建設(shè)情況、數(shù)據(jù)安全管理、管理制度情況等。全面梳理健康醫(yī)療數(shù)據(jù)安全需求，分析存在的數(shù)據(jù)安全問(wèn)題，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等，在此基礎(chǔ)上形成本標(biāo)準(zhǔn)編制的基本思路和框架。3、標(biāo)準(zhǔn)起草標(biāo)準(zhǔn)起草小組在收集資料和實(shí)地調(diào)研基礎(chǔ)上，深入分析研究健康醫(yī)療數(shù)據(jù)安全需求，梳理健康醫(yī)療行業(yè)面臨的數(shù)據(jù)安全問(wèn)題，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。經(jīng)過(guò)深入分析研究，形成標(biāo)準(zhǔn)草案稿。為保障標(biāo)準(zhǔn)的科學(xué)性與適用性，經(jīng)過(guò)多次內(nèi)、外部研討修改，形成標(biāo)準(zhǔn)征求意見(jiàn)稿。4、征集意見(jiàn)標(biāo)準(zhǔn)起草組通過(guò)省衛(wèi)生健康委員會(huì)向省、市各衛(wèi)生健康信息中心、衛(wèi)生健康醫(yī)療機(jī)構(gòu)征求意見(jiàn)。同時(shí)通過(guò)省衛(wèi)生健康委員會(huì)官網(wǎng)向社會(huì)公眾廣泛征求意見(jiàn)，征求意見(jiàn)時(shí)間為2024年6月1日至2024年7月31日。本次意見(jiàn)征集共收到省、市各衛(wèi)生健康信息中心、衛(wèi)生健康醫(yī)療機(jī)構(gòu)反饋的修改意見(jiàn)41條。起草組針對(duì)每條意見(jiàn)進(jìn)行逐一評(píng)估和判斷，其中采納意見(jiàn)30條，未采納意見(jiàn)11條，并對(duì)部分采納和不采納意見(jiàn)進(jìn)行詳細(xì)的理由說(shuō)明，詳見(jiàn)《征求意見(jiàn)匯總處理表》。四、主要內(nèi)容本標(biāo)準(zhǔn)重點(diǎn)圍繞健康醫(yī)療數(shù)據(jù)安全組織管理、數(shù)據(jù)安全保護(hù)、數(shù)據(jù)安全運(yùn)維、醫(yī)療數(shù)據(jù)安全場(chǎng)景等方面提出針對(duì)性的重點(diǎn)安全措施建議，建立符合醫(yī)療衛(wèi)生機(jī)構(gòu)實(shí)際情況和應(yīng)用場(chǎng)景、可直接落地實(shí)施的數(shù)據(jù)安全管理規(guī)范，用于指導(dǎo)我省各醫(yī)療機(jī)構(gòu)落實(shí)數(shù)據(jù)安全策略，切實(shí)增強(qiáng)數(shù)據(jù)安全防護(hù)能力，也可供健康醫(yī)療、網(wǎng)絡(luò)安全相關(guān)主管部門(mén)以及第三方評(píng)估機(jī)構(gòu)等組織開(kāi)展健康醫(yī)療數(shù)據(jù)的安全監(jiān)督管理與評(píng)估等工作時(shí)進(jìn)行參考。1、數(shù)據(jù)分類(lèi)分級(jí)在數(shù)據(jù)分類(lèi)方面，給出了數(shù)據(jù)分類(lèi)的規(guī)范性原則，并對(duì)數(shù)據(jù)分類(lèi)的方法及分類(lèi)流程進(jìn)行了具體且詳細(xì)的規(guī)定。在數(shù)據(jù)分級(jí)方面，給出了數(shù)據(jù)分級(jí)的原則，明確根據(jù)健康醫(yī)療數(shù)據(jù)的安全屬性（機(jī)密性、完整性、可用性）被破壞后對(duì)客體造成的影響，作為數(shù)據(jù)安全級(jí)別的重要判定依據(jù)，并對(duì)健康醫(yī)療數(shù)據(jù)分級(jí)的方法及分級(jí)流程進(jìn)行具體且詳細(xì)規(guī)定。2、數(shù)據(jù)安全管理主要包括醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全管理的組織架構(gòu)和制度體系。組織架構(gòu)明確了數(shù)據(jù)安全管理的決策層、管理層、執(zhí)行層和監(jiān)督層的人員組成、崗位劃分和工作職責(zé)等。制度體系包括制度建設(shè)、組織和人員、安全策略、安全審核、數(shù)據(jù)和資產(chǎn)管理、開(kāi)放和共享、安全評(píng)估、應(yīng)急管理、合作管理、檢查和考核、出入境管理等相關(guān)制度規(guī)范。3、數(shù)據(jù)分類(lèi)分級(jí)保護(hù)在實(shí)施健康醫(yī)療數(shù)據(jù)分類(lèi)分級(jí)保護(hù)中，從平臺(tái)安全、資產(chǎn)管理、身份認(rèn)證、訪(fǎng)問(wèn)控制、監(jiān)控審計(jì)、接口安全、終端安全等方面，提出數(shù)據(jù)安全運(yùn)維保障的通用保護(hù)要求，對(duì)不同安全級(jí)別的健康醫(yī)療數(shù)據(jù)實(shí)施差異化的管控措施?；跀?shù)據(jù)全生存周期的業(yè)務(wù)場(chǎng)景數(shù)據(jù)安全防護(hù)。在充分的業(yè)務(wù)場(chǎng)景調(diào)研的基礎(chǔ)上，研究提出針對(duì)健康醫(yī)療數(shù)據(jù)在采集、傳輸、存儲(chǔ)、處理、交換、銷(xiāo)毀等全生存周期過(guò)程中應(yīng)采取的數(shù)據(jù)安全措施。4、業(yè)務(wù)場(chǎng)景數(shù)據(jù)安全針對(duì)健康醫(yī)療數(shù)據(jù)安全具體業(yè)務(wù)場(chǎng)景，研究覆蓋數(shù)據(jù)安全生存周期的安全措施，主要包括以下幾類(lèi)場(chǎng)景：核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全（包括HIS、醫(yī)院集成平臺(tái)、互聯(lián)網(wǎng)醫(yī)院、全民健康信息平臺(tái)等）、科研平臺(tái)數(shù)據(jù)安全、運(yùn)維場(chǎng)景數(shù)據(jù)安全、第三方數(shù)據(jù)對(duì)接數(shù)據(jù)安全、醫(yī)療設(shè)備數(shù)據(jù)安全。五、技術(shù)指標(biāo)確定的依據(jù)健康醫(yī)療數(shù)據(jù)分類(lèi)：參考《衛(wèi)生健康信息數(shù)據(jù)集分類(lèi)與編碼規(guī)則》（WS/T306—2023）規(guī)定的分類(lèi)編碼規(guī)則，明確采用國(guó)家衛(wèi)生信息資源的分類(lèi)和編目體系，既考慮了實(shí)際健康醫(yī)療數(shù)據(jù)分類(lèi)的實(shí)際情況，也兼顧了分類(lèi)編目的兼容性問(wèn)題。健康醫(yī)療數(shù)據(jù)分級(jí)：參考全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》以及國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)—健康醫(yī)療數(shù)據(jù)安全指南》（GB/T39725），將健康醫(yī)療數(shù)據(jù)安全級(jí)別劃分為四級(jí)，由低至高分別為L(zhǎng)1級(jí)、L2級(jí)、L3級(jí)、L4級(jí)。分級(jí)要素考慮影響對(duì)象和影響程度：參考全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書(shū)處發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)指引》，根據(jù)數(shù)據(jù)安全屬性（機(jī)密性、完整性、可用性）被破壞后對(duì)客體造成的影響，作為數(shù)據(jù)安全級(jí)別的重要判斷依據(jù)。健康醫(yī)療數(shù)據(jù)分級(jí)應(yīng)當(dāng)根據(jù)影響對(duì)象與影響程度兩個(gè)要素進(jìn)行分級(jí)。。六、重大分歧意見(jiàn)的處理過(guò)程和依據(jù)無(wú)。七、與相關(guān)法律法規(guī)和國(guó)家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)由江蘇省衛(wèi)生健康信息中心牽頭組織了網(wǎng)絡(luò)安全與數(shù)據(jù)安全方面的技術(shù)專(zhuān)家、醫(yī)療健康行業(yè)的安全專(zhuān)家及一線(xiàn)從事技術(shù)的相關(guān)骨干共同參與本管理規(guī)范的編寫(xiě)和調(diào)研工作，與現(xiàn)行法律、法規(guī)以及國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)不存在沖突和矛盾，是對(duì)國(guó)家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)在江蘇省健康醫(yī)療行業(yè)更符合本地工作具體落實(shí)，屬于進(jìn)一步延伸補(bǔ)充的關(guān)系。參考和引用的標(biāo)準(zhǔn)有：《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（GB/T39725—2020）《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（GB/T37988—2019）《信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類(lèi)指南》（GB/T38667）《信息安全技術(shù)大數(shù)據(jù)安全管理指南》（GB/T37973）八、推廣實(shí)施建議本標(biāo)準(zhǔn)用于指導(dǎo)我省各醫(yī)療機(jī)構(gòu)落實(shí)數(shù)據(jù)安全策略，切實(shí)增強(qiáng)數(shù)據(jù)安全防護(hù)能力，也可供衛(wèi)生健康、網(wǎng)絡(luò)安全相關(guān)主管部門(mén)以及第三方評(píng)估機(jī)構(gòu)等組織開(kāi)展健康醫(yī)療數(shù)據(jù)的安全監(jiān)督管理與評(píng)估等工作時(shí)進(jìn)行參考。后續(xù)標(biāo)準(zhǔn)印發(fā)實(shí)施后，建議在省市場(chǎng)監(jiān)督管理局和省衛(wèi)生健康委員會(huì)的支持與指導(dǎo)下，通過(guò)多樣形式加強(qiáng)對(duì)該標(biāo)準(zhǔn)開(kāi)展宣貫培訓(xùn)和解讀，增強(qiáng)標(biāo)準(zhǔn)應(yīng)用實(shí)施九、起草單位和起草人員信息及分工序號(hào)姓名單位名稱(chēng)職務(wù)/職稱(chēng)項(xiàng)目分工1張國(guó)明江蘇省衛(wèi)生健康信息中心高級(jí)工程師項(xiàng)目總負(fù)責(zé)人2唐凱江蘇省衛(wèi)生健康信息中心研究員級(jí)高工資源調(diào)配3陸家發(fā)江蘇省衛(wèi)生健康信息中心工程師參編區(qū)域衛(wèi)生數(shù)據(jù)安全4朱瀝瀝南京市口腔醫(yī)院工程師參編醫(yī)院數(shù)據(jù)安全5劉云江蘇省中醫(yī)院高級(jí)工程師參編醫(yī)院數(shù)據(jù)安全6管正濤江蘇省衛(wèi)生健康委員會(huì)調(diào)研員資源調(diào)配7韋小強(qiáng)江蘇省衛(wèi)生健康委員會(huì)主任科員參編8解明無(wú)錫市衛(wèi)生健康統(tǒng)計(jì)信息中心高級(jí)工程師參編區(qū)域衛(wèi)生數(shù)據(jù)安全9諸俊蘇州大學(xué)附屬兒童醫(yī)院高級(jí)工程師參編醫(yī)院數(shù)據(jù)安全10劉健鎮(zhèn)江市第一人民醫(yī)院正高級(jí)工程師