DB3205/T 1083-2023 医疗机构数据安全管理规范

ICS35.020

CCSL09

DB3205

苏州市地方标准

DB3205/T1083—2023

医疗机构数据安全管理规范

Datasecuritymanagementstandardsformedicalinstitutions

2023-08-23发布2023-08-31实施

苏州市市场监督管理局发布

DB3205/T1083—2023

目次

前言..................................................................................II

引言.................................................................................III

1范围................................................................................1

2规范性引用文件......................................................................1

3术语和定义..........................................................................1

4概述................................................................................1

5数据安全基础工作....................................................................2

5.1组织管理......................................................................2

5.2人员管理......................................................................2

5.3制度管理......................................................................3

5.4经费保障......................................................................3

6数据安全常规工作....................................................................3

6.1基础设施安全管理..............................................................3

6.2资产管理......................................................................3

6.3分类分级管理..................................................................3

6.4分级管控建设..................................................................3

6.5培训管理......................................................................4

7数据安全专项工作....................................................................4

7.1风险监测......................................................................4

7.2应急处置......................................................................4

7.3安全评估......................................................................4

7.4共享与开放安全................................................................4

7.5个人健康医疗数据管理..........................................................5

8安全评价与考核......................................................................5

附录A（资料性）三种工作关系及标准的使用说明图........................................6

附录B（资料性）组织架构设计..........................................................7

附录C（资料性）数据资产清单..........................................................8

附录D（资料性）数据分类分级管控基线..................................................9

附录E（资料性）数据安全评价表.......................................................10

参考文献..............................................................................13

I

DB3205/T1083—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由苏州市卫生健康委员会提出并归口。

本文件起草单位：苏州市卫生计生统计信息中心、苏州市卫生健康委员会、中共苏州市委网络安全

和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、北京神州绿盟科技有限公司、昆山市

卫生计生信息中心、常熟市卫生信息中心、苏州市吴中区卫生健康发展中心、苏州市姑苏区民政和卫生

健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附属第二医院、苏州市立医

院、苏州市中医医院、苏州市第五人民医院、苏州市第九人民医院、苏州市疾病预防控制中心、江苏国

保信息系统测评中心有限公司、苏州亿阳值通科技发展股份有限公司、江苏安国信检测技术有限公司、

苏州如意云网络科技有限公司。

本文件主要起草人：鞠鑫、谢兴潜、夏燕、孟华、朱杰、马振刚、张俊杰、陆晓明、刘旭哲、周文

渊、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、贝乾、陆建新、沈为濂、金健、仲晓伟、李斌、颜庆、顾

纪君、徐先泉、张华荣、程思明、刘亚军、汪春亮、朱晨、诸俊、闵寒、柳维生、费雪刚、唐广场、沈

翀、顾驰洲、黄利军、沈颖杰、丁翀、方卫青、高喆、赵斌、丁松松、吴雪晴、王萍、施岭、顾奇、郝

尚印。

II

DB3205/T1083—2023

引言

随着国家医疗改革政策的推进，互联网医院、医疗联合体、医疗卫生服务共同体、远程诊疗等新型

医疗业务蓬勃发展，数据采集、数据交换、数据共享、数据挖掘分析等数据处理活动成为支撑业务创新

的关键。同时，随着物联网、人工智能等技术的在行业中不断创新应用，人脸、指纹等新型数据也成为

了健康医疗数据重要的组成部分。医疗行业数据存在规模化、多样化以及流动频繁的特性，医疗机构如

何识别数据要素，如何更加安全、合理的利用医疗数据，也成为行业当前面临的共性难题。

2021年，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继施行，提出了国

家对于数据保护的法律底线。而在2022年8月，由国家卫生健康委、国家中医药局、国家疾控局三部门

联合发布并施行的《医疗卫生机构网络安全管理办法》，明确提出了相关监管单位对于医疗卫生机构网

络数据安全管理的总体要求。

本文件在国家法律、地方条例以及行业要求的基础上，针对苏州市各医疗机构提出了更为细化的数

据安全管理规范。本文件为医疗机构提供可参考的数据安全管理思路，指导各医疗机构制定合理、有效

的数据安全管理措施，从而提升医疗机构的数据安全管理和防护水平。

本文件参考了中国信息通信研究院、国家标准化管理委员会等机构的数据安全建设思路，并结合苏

州本地医疗机构的实际调研情况，充分讨论、总结形成，具备科学性和可操作性。

III

DB3205/T1083—2023

医疗机构数据安全管理规范

1范围

本文件规定了医疗机构开展数据安全管理的基础工作、常规工作及专项工作的要求，描述了对应的

证实方法。

本文件适用于医疗机构数据安全管理工作以及监管部门检查与评估。本文件所指的医疗机构包括公

立医院、民营医院、社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村卫生室、疾

病预防控制中心、妇幼保健机构、专科疾病防治院（所、站）、卫生监督所（中心）。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T25069—2022信息安全技术术语

GB/T39725—2020信息安全技术健康医疗数据安全指南

3术语和定义

GB/T25069—2022界定的以及下列术语和定义适用于本文件。

3.1

重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模，一旦被泄露、篡改或损毁，可能直接危害

国家安全、经济运行、社会稳定、公共健康和安全的数据。

3.2

个人健康医疗数据personalhealthdata

单独或者其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数

据。

[来源：GB/T39725—2020，3.1]

3.3

健康医疗信息系统healthinformationsystem

以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。

[来源：GB/T39725—2020，3.6]

4概述

1

DB3205/T1083—2023

医疗机构在开展数据安全管理时，应充分考虑国家及行业的相关要求，结合自身的基础设施现状，

明确建设目标。根据数据安全管理工作开展的性质，将管理工作划分为基础工作、常规工作、专项工作

三大类，具体说明如下：

——基础工作是医疗机构开展数据安全管理工作的基础前提；

——常规工作是保障医疗机构数据安全正常运行的常规要求；

——专项工作是针对数据安全高风险场景、特殊的医疗业务场景、监管等场景下的管理优化专项

建议。

医疗机构可根据自身情况选择三种工作的执行内容和范围。医疗机构监管单位也可根据不同类型、

级别的医疗机构，设置不同的数据安全管理工作的评价、考核指标。三种工作的关系及标准的使用说明

见附录A。

5数据安全基础工作

5.1组织管理

5.1.1医疗机构应建立数据安全管理团队。

5.1.2数据安全管理团队应包含决策、管理、执行、监督四个层级（见附录B），具体要求如下：

——决策层：负责统筹数据安全建设整体策略与方针，为数据安全工作指明方向；

——管理层：负责数据安全管理工作，编制数据安全相关制度及要求，指导并推进数据安全工作的

落实；

——执行层：负责组织内部数据安全工作具体执行，例如：权限分配，关键数据处理活动的措施实

施；

——监督层：负责数据安全的日常审计及处理公众日常投诉等工作，定期开展数据安全审计和分析，

及时发现并反馈问题和风险。

5.1.3医疗机构应按照组织规模、组织级别、组织架构现状设立数据安全管理员岗，负责安全管理的

具体工作。

5.1.4针对小型医疗机构，如社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村

卫生室等，宜简化数据安全管理团队层级，仅保留管理层和执行层，决策层与管理层职责合并，执行层

与监督层职责合并。

5.1.5针对小型医疗机构，如社区卫生服务中心（站）、校医院、乡镇卫生院、诊所（医务室）、村

卫生室等，宜采取一把手责任制，由机构最高领导兼任数据安全管理员。

5.2人员管理

5.2.1医疗机构应对数据安全管理员任用前、任用中、任用终止各环节建立有效的安全控制措施，具

体要求如下：

——任用前，应进行背景调查；

——任用中，应签署相关的保密协议及安全责任协议；

——离任后，应及时回收相应的管理权限，并确保完成工作交接。

5.2.2数据安全管理团队所有成员应满足层级、岗位的数据安全能力要求，不满足条件时，宜通过外

部招聘、培训等方式增强数据安全能力，以达到岗位要求。

5.2.3医疗机构应为数据安全管理团队成员定制专业技能、安全意识、流程制度等维度的培训计划。

5.2.4医疗机构应将相关数据安全工作纳入团队成员的日常工作考核中，并参考现有的考核机制执行

奖惩。

2

DB3205/T1083—2023

5.3制度管理

5.3.1医疗机构应建立完善的数据安全管理制度，至少包含数据安全管理、数据分类分级保护、数据

安全风险评估、数据安全应急处置、数据安全培训5个部分，宜结合现有网络安全制度进行补充或通过

独立制度文本呈现。

5.3.2医疗机构若涉及第三方参与业务服务、实施，或与第三方单