DB32T-健康醫(yī)療數(shù)據(jù)安全管理規(guī)范編制說明

——《健康醫(yī)療數(shù)據(jù)安全管理規(guī)范》編制說明一、目的意義近年來，“互聯(lián)網(wǎng)+醫(yī)療”、“智慧醫(yī)療”正在迅速進入醫(yī)療行業(yè)，滲透到醫(yī)療領(lǐng)域的各個環(huán)節(jié)，不僅打破了醫(yī)療行業(yè)原有相對封閉的使用環(huán)境，而且還使信息聚集更加便捷、迅速，這也就給醫(yī)療行業(yè)帶來了全新的數(shù)據(jù)安全挑戰(zhàn)。一方面，隨著醫(yī)療信息化的迅猛發(fā)展，以及移動醫(yī)療、AI醫(yī)療影像、電子病歷等數(shù)字化程序的普及，醫(yī)療數(shù)據(jù)已成為醫(yī)院等醫(yī)療機構(gòu)發(fā)展的重要信息資產(chǎn)，且數(shù)據(jù)量級越積累越大，造成管理上的困難；另一方面，醫(yī)療數(shù)據(jù)中通常包含著大量的用戶個人敏感信息，如姓名、年齡、身體健康狀況、生理信息、疾病詳情等，這些信息一旦遭到篡改、破壞或泄露，將會對社會秩序以及醫(yī)療機構(gòu)和個人的合法利益造成極大的影響。國家相繼出臺的相關(guān)法律法規(guī)和標(biāo)準(zhǔn)對數(shù)據(jù)安全和個人隱私保護提出了明確的要求，也為江蘇省健康醫(yī)療數(shù)據(jù)安全管理規(guī)范的研制提供了強有力的有力指導(dǎo)和框架思路。但法律法規(guī)條文是整體、宏觀性的要求，其內(nèi)容無法直接進行落地實施。《信息安全技術(shù)-數(shù)據(jù)安全能力成熟度模型》雖然提出了數(shù)據(jù)安全具體措施，但該標(biāo)準(zhǔn)是通用型的標(biāo)準(zhǔn)，缺乏對健康醫(yī)療數(shù)據(jù)安全場景的針對性措施?！缎畔踩夹g(shù)-健康醫(yī)療數(shù)據(jù)安全指南》雖然提出了針對健康醫(yī)療數(shù)據(jù)安全管理的要求，但主要針對個人健康醫(yī)療數(shù)據(jù)，而醫(yī)療衛(wèi)生機構(gòu)內(nèi)部也有很多非個人健康醫(yī)療數(shù)據(jù)，如醫(yī)療機構(gòu)財務(wù)數(shù)據(jù)、運行數(shù)據(jù)、員工數(shù)據(jù)等，且該指南的很多內(nèi)容也無法直接落地，醫(yī)療衛(wèi)生機構(gòu)難以根據(jù)其規(guī)定直接開展健康醫(yī)療數(shù)據(jù)安全建設(shè)。在此背景下，以醫(yī)療衛(wèi)生機構(gòu)業(yè)務(wù)數(shù)據(jù)為核心，以保障醫(yī)療業(yè)務(wù)能力為根本，探索研究出一套落地可行的健康醫(yī)療數(shù)據(jù)安全管理規(guī)范就顯得尤為重要。醫(yī)療行業(yè)數(shù)據(jù)安全，既要參照傳統(tǒng)網(wǎng)絡(luò)安全的模式和架構(gòu)，也要創(chuàng)新出擁有自身特色的防護模式，不能僅僅依靠數(shù)據(jù)安全設(shè)備的堆疊，而要用體系化的思維結(jié)合行業(yè)特征，構(gòu)建以數(shù)據(jù)使用安全為目標(biāo)的整體解決思路。本標(biāo)準(zhǔn)針對健康醫(yī)療數(shù)據(jù)特點和具體業(yè)務(wù)場景，研制更有針對性且可直接落地實施的數(shù)據(jù)安全管理規(guī)范，有助于指導(dǎo)我省各醫(yī)療衛(wèi)生機構(gòu)落實數(shù)據(jù)安全要求，提高我省健康醫(yī)療數(shù)據(jù)安全防護水平。二、任務(wù)來源2023年1月，江蘇省衛(wèi)生健康委員會根據(jù)江蘇省省市場監(jiān)督管理局開展2023年度省地方標(biāo)準(zhǔn)申報立項的通知，提交《江蘇省健康醫(yī)療數(shù)據(jù)安全管理規(guī)范》的立項申請。2023年1月，依據(jù)《省市場監(jiān)管局關(guān)于下達2023年度江蘇省地方標(biāo)準(zhǔn)項目計劃的通知》（蘇市監(jiān)標(biāo)〔2023〕173號），《江蘇省健康醫(yī)療數(shù)據(jù)安全管理規(guī)范》獲批立項，編制任務(wù)由江蘇省衛(wèi)生健康信息中心承擔(dān)。三、編制過程1、成立標(biāo)準(zhǔn)起草小組，制定工作方案2023年1月，由江蘇省衛(wèi)生健康信息中心(江蘇省中醫(yī)藥信息中心)牽頭負責(zé)，和蘇州市衛(wèi)生計生統(tǒng)計信息中心、江蘇省中醫(yī)院、鎮(zhèn)江市第一人民醫(yī)院、蘇州大學(xué)附屬兒童醫(yī)院、無錫市衛(wèi)生健康統(tǒng)計信息中心、江蘇瑞新信息技術(shù)股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、杭州美創(chuàng)科技股份有限公司等專業(yè)人員組成起草小組。起草小組成立后，研究制訂出標(biāo)準(zhǔn)編制工作方案，明確目標(biāo)要求、工作思路、人員分工和工作進度等，開啟標(biāo)準(zhǔn)的起草工作。2、收集相關(guān)資料，開展調(diào)研2023年2月至2023年4月，標(biāo)準(zhǔn)起草小組廣泛搜集、比對、分析了國家、省內(nèi)外相關(guān)的法律法規(guī)、規(guī)范性文件以及相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、工程標(biāo)準(zhǔn)，深入調(diào)研醫(yī)療衛(wèi)生機構(gòu)信息系統(tǒng)建設(shè)情況、數(shù)據(jù)資產(chǎn)情況、典型的業(yè)務(wù)場景、網(wǎng)絡(luò)安全建設(shè)情況、數(shù)據(jù)安全管理、管理制度情況等。全面梳理健康醫(yī)療數(shù)據(jù)安全需求，分析存在的數(shù)據(jù)安全問題，最終確定數(shù)據(jù)安全防護的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等，在此基礎(chǔ)上形成本標(biāo)準(zhǔn)編制的基本思路和框架。3、標(biāo)準(zhǔn)起草標(biāo)準(zhǔn)起草小組在收集資料和實地調(diào)研基礎(chǔ)上，深入分析研究健康醫(yī)療數(shù)據(jù)安全需求，梳理健康醫(yī)療行業(yè)面臨的數(shù)據(jù)安全問題，最終確定數(shù)據(jù)安全防護的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。經(jīng)過深入分析研究，形成標(biāo)準(zhǔn)草案稿。為保障標(biāo)準(zhǔn)的科學(xué)性與適用性，經(jīng)過多次內(nèi)、外部研討修改，形成標(biāo)準(zhǔn)征求意見稿。4、征集意見標(biāo)準(zhǔn)起草組通過省衛(wèi)生健康委員會向省、市各衛(wèi)生健康信息中心、衛(wèi)生健康醫(yī)療機構(gòu)征求意見。同時通過省衛(wèi)生健康委員會官網(wǎng)向社會公眾廣泛征求意見，征求意見時間為2024年6月1日至2024年7月31日。本次意見征集共收到省、市各衛(wèi)生健康信息中心、衛(wèi)生健康醫(yī)療機構(gòu)反饋的修改意見41條。起草組針對每條意見進行逐一評估和判斷，其中采納意見30條，未采納意見11條，并對部分采納和不采納意見進行詳細的理由說明，詳見《征求意見匯總處理表》。四、主要內(nèi)容本標(biāo)準(zhǔn)重點圍繞健康醫(yī)療數(shù)據(jù)安全組織管理、數(shù)據(jù)安全保護、數(shù)據(jù)安全運維、醫(yī)療數(shù)據(jù)安全場景等方面提出針對性的重點安全措施建議，建立符合醫(yī)療衛(wèi)生機構(gòu)實際情況和應(yīng)用場景、可直接落地實施的數(shù)據(jù)安全管理規(guī)范，用于指導(dǎo)我省各醫(yī)療機構(gòu)落實數(shù)據(jù)安全策略，切實增強數(shù)據(jù)安全防護能力，也可供健康醫(yī)療、網(wǎng)絡(luò)安全相關(guān)主管部門以及第三方評估機構(gòu)等組織開展健康醫(yī)療數(shù)據(jù)的安全監(jiān)督管理與評估等工作時進行參考。1、數(shù)據(jù)分類分級在數(shù)據(jù)分類方面，給出了數(shù)據(jù)分類的規(guī)范性原則，并對數(shù)據(jù)分類的方法及分類流程進行了具體且詳細的規(guī)定。在數(shù)據(jù)分級方面，給出了數(shù)據(jù)分級的原則，明確根據(jù)健康醫(yī)療數(shù)據(jù)的安全屬性（機密性、完整性、可用性）被破壞后對客體造成的影響，作為數(shù)據(jù)安全級別的重要判定依據(jù)，并對健康醫(yī)療數(shù)據(jù)分級的方法及分級流程進行具體且詳細規(guī)定。2、數(shù)據(jù)安全管理主要包括醫(yī)療衛(wèi)生機構(gòu)數(shù)據(jù)安全管理的組織架構(gòu)和制度體系。組織架構(gòu)明確了數(shù)據(jù)安全管理的決策層、管理層、執(zhí)行層和監(jiān)督層的人員組成、崗位劃分和工作職責(zé)等。制度體系包括制度建設(shè)、組織和人員、安全策略、安全審核、數(shù)據(jù)和資產(chǎn)管理、開放和共享、安全評估、應(yīng)急管理、合作管理、檢查和考核、出入境管理等相關(guān)制度規(guī)范。3、數(shù)據(jù)分類分級保護在實施健康醫(yī)療數(shù)據(jù)分類分級保護中，從平臺安全、資產(chǎn)管理、身份認證、訪問控制、監(jiān)控審計、接口安全、終端安全等方面，提出數(shù)據(jù)安全運維保障的通用保護要求，對不同安全級別的健康醫(yī)療數(shù)據(jù)實施差異化的管控措施?；跀?shù)據(jù)全生存周期的業(yè)務(wù)場景數(shù)據(jù)安全防護。在充分的業(yè)務(wù)場景調(diào)研的基礎(chǔ)上，研究提出針對健康醫(yī)療數(shù)據(jù)在采集、傳輸、存儲、處理、交換、銷毀等全生存周期過程中應(yīng)采取的數(shù)據(jù)安全措施。4、業(yè)務(wù)場景數(shù)據(jù)安全針對健康醫(yī)療數(shù)據(jù)安全具體業(yè)務(wù)場景，研究覆蓋數(shù)據(jù)安全生存周期的安全措施，主要包括以下幾類場景：核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全（包括HIS、醫(yī)院集成平臺、互聯(lián)網(wǎng)醫(yī)院、全民健康信息平臺等）、科研平臺數(shù)據(jù)安全、運維場景數(shù)據(jù)安全、第三方數(shù)據(jù)對接數(shù)據(jù)安全、醫(yī)療設(shè)備數(shù)據(jù)安全。五、技術(shù)指標(biāo)確定的依據(jù)健康醫(yī)療數(shù)據(jù)分類：參考《衛(wèi)生健康信息數(shù)據(jù)集分類與編碼規(guī)則》（WS/T306—2023）規(guī)定的分類編碼規(guī)則，明確采用國家衛(wèi)生信息資源的分類和編目體系，既考慮了實際健康醫(yī)療數(shù)據(jù)分類的實際情況，也兼顧了分類編目的兼容性問題。健康醫(yī)療數(shù)據(jù)分級：參考全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》以及國家標(biāo)準(zhǔn)《信息安全技術(shù)—健康醫(yī)療數(shù)據(jù)安全指南》（GB/T39725），將健康醫(yī)療數(shù)據(jù)安全級別劃分為四級，由低至高分別為L1級、L2級、L3級、L4級。分級要素考慮影響對象和影響程度：參考全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南—網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》，根據(jù)數(shù)據(jù)安全屬性（機密性、完整性、可用性）被破壞后對客體造成的影響，作為數(shù)據(jù)安全級別的重要判斷依據(jù)。健康醫(yī)療數(shù)據(jù)分級應(yīng)當(dāng)根據(jù)影響對象與影響程度兩個要素進行分級。。六、重大分歧意見的處理過程和依據(jù)無。七、與相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)由江蘇省衛(wèi)生健康信息中心牽頭組織了網(wǎng)絡(luò)安全與數(shù)據(jù)安全方面的技術(shù)專家、醫(yī)療健康行業(yè)的安全專家及一線從事技術(shù)的相關(guān)骨干共同參與本管理規(guī)范的編寫和調(diào)研工作，與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)不存在沖突和矛盾，是對國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)在江蘇省健康醫(yī)療行業(yè)更符合本地工作具體落實，屬于進一步延伸補充的關(guān)系。參考和引用的標(biāo)準(zhǔn)有：《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（GB/T39725—2020）《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》（GB/T37988—2019）《信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南》（GB/T38667）《信息安全技術(shù)大數(shù)據(jù)安全管理指南》（GB/T37973）八、推廣實施建議本標(biāo)準(zhǔn)用于指導(dǎo)我省各醫(yī)療機構(gòu)落實數(shù)據(jù)安全策略，切實增強數(shù)據(jù)安全防護能力，也可供衛(wèi)生健康、網(wǎng)絡(luò)安全相關(guān)主管部門以及第三方評估機構(gòu)等組織開展健康醫(yī)療數(shù)據(jù)的安全監(jiān)督管理與評估等工作時進行參考。后續(xù)標(biāo)準(zhǔn)印發(fā)實施后，建議在省市場監(jiān)督管理局和省衛(wèi)生健康委員會的支持與指導(dǎo)下，通過多樣形式加強對該標(biāo)準(zhǔn)開展宣貫培訓(xùn)和解讀，增強標(biāo)準(zhǔn)應(yīng)用實施九、起草單位和起草人員信息及分工序號姓名單位名稱職務(wù)/職稱項目分工1張國明江蘇省衛(wèi)生健康信息中心高級工程師項目總負責(zé)人2唐凱江蘇省衛(wèi)生健康信息中心研究員級高工資源調(diào)配3陸家發(fā)江蘇省衛(wèi)生健康信息中心工程師參編區(qū)域衛(wèi)生數(shù)據(jù)安全4朱瀝瀝南京市口腔醫(yī)院工程師參編醫(yī)院數(shù)據(jù)安全5劉云江蘇省中醫(yī)院高級工程師參編醫(yī)院數(shù)據(jù)安全6管正濤江蘇省衛(wèi)生健康委員會調(diào)研員資源調(diào)配7韋小強江蘇省衛(wèi)生健康委員會主任科員參編8解明無錫市衛(wèi)生健康統(tǒng)計信息中心高級工程師參編區(qū)域衛(wèi)生數(shù)據(jù)安全9諸俊蘇州大學(xué)附屬兒童醫(yī)院高級工程師參編醫(yī)院數(shù)據(jù)安全10劉健鎮(zhèn)江市第一人民醫(yī)院正高級工程師