ICS35.020 CCSL09 2023-08-31实 2023-08-23发布 施 苏州市市场监督管理局发布DB3205 医疗机构数据安全管理规范 Datasecuritymanagementstandardsformedicalinstitutions苏州市地方标准 DB3205/T1083—2023 DB3205/T1083—2023 I目次 前言..................................................................................II 引言.................................................................................III 1范围................................................................................1 2规范性引用文件......................................................................1 3术语和定义..........................................................................1 4概述................................................................................1 5数据安全基础工作....................................................................2 5.1组织管理......................................................................2 5.2人员管理......................................................................2 5.3制度管理......................................................................3 5.4经费保障......................................................................3 6数据安全常规工作....................................................................3 6.1基础设施安全管理..............................................................3 6.2资产管理......................................................................3 6.3分类分级管理..................................................................3 6.4分级管控建设..................................................................3 6.5培训管理......................................................................4 7数据安全专项工作....................................................................4 7.1风险监测......................................................................4 7.2应急处置......................................................................4 7.3安全评估......................................................................4 7.4共享与开放安全................................................................4 7.5个人健康医疗数据管理..........................................................5 8安全评价与考核......................................................................5 附录A（资料性）三种工作关系及标准的使用说明图........................................6 附录B（资料性）组织架构设计..........................................................7 附录C（资料性）数据资产清单..........................................................8 附录D（资料性）数据分类分级管控基线..................................................9 附录E（资料性）数据安全评价表.......................................................10 参考文献..............................................................................13 DB3205/T1083—2023 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由苏州市卫生健康委员会提出并归口。 本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网络安全 和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市 卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生 健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医 院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国 保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司、 苏州如意云网络科技有限公司。 本文件主要起草人：鞠鑫、谢兴潜、夏燕、孟华、朱杰、马振刚、张俊杰、陆晓明、刘旭哲、周文 渊、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、陆建新、沈为濂、金健、仲晓伟、李斌、颜庆、顾 纪君、徐先泉、张华荣、程思明、刘亚军、汪春亮、朱晨、诸俊、闵寒、柳维生、费雪刚、唐广场、沈 翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝 尚印。 DB3205/T1083—2023 III引言 随着国家医疗改革政策的推进，互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型 医疗业务蓬勃发展，数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为支撑业务创新 的关键。同时，随着物联网、人工智能等技术的在行业中不断创新应用，人脸、指纹等新型数据也成为 了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性，医疗机构如 何识别数据要素，如何更加安全、合理的利用医疗数据，也成为行业当前面临的共性难题。 2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继施行，提出了国 家对于数据保护的法律底线。而在2022年8月，由国家卫生健康委、国家中医药局、国家疾控局三部门 联合发布并施行的《医疗卫生机构网络安全管理办法》，明确提出了相关监管单位对于医疗卫生机构网 络数据安全管理的总体要求。 本文件在国家法律、地方条例以及行业要求的基础上，针对苏州市各医疗机构提出了更为细化的数 据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路，指导各医疗机构制定合理、有效 的数据安全管理措施，从而提升医疗机构的数据安全管理和防护水平。 本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路，并结合苏 州本地医疗机构的实际调研情况，充分讨论、总结形成，具备科学性和可操作性。