T/GDWJ 013-2022 广东省健康医疗数据安全分类分级管理技术规范

ICS35030

CCSL.80

团体标准

T/GDWJ013—2022

广东省健康医疗数据安全分类分级

管理技术规范

Technicalspecificationforcategorizationandclassificationofhealthdatasecurity

2022-07-15发布2022-07-15实施

广东省卫生经济学会发布

中国标准出版社出版

T/GDWJ013—2022

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………2

数据分类分级原则

4………………………2

分类分级流程

5……………3

建立数据分类分级组织保障

5.1………………………3

建立数据分类分级制度保障

5.2………………………3

数据资源梳理

5.3………………………3

建立数据资源目录

5.4…………………3

对数据资源分类

5.5……………………4

对数据资源分级

5.6……………………4

数据分类分级标识

5.7…………………4

建立数据分类分级清单

5.8……………4

数据分类分级方法

6………………………4

数据分类方法

6.1………………………4

数据分级方法

6.2………………………5

数据分级安全保护要求

7…………………6

总体要求

7.1……………6

数据分级安全保护具体要求

7.2………………………7

附录资料性数据分类示例

A()…………8

附录资料性数据分级示例

B()…………9

附录资料性数据分类分级标识方法

C()………………11

附录规范性数据分级安全保护通用要求

D()…………12

附录规范性数据分级安全保护技术要求

E()…………14

附录规范性数据分级安全保护管理要求

F()…………16

参考文献

……………………19

Ⅰ

T/GDWJ013—2022

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的其他内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由广东省卫生经济学会提出并归口

。

本文件主要起草单位东莞市卫生信息统计中心中山大学附属口腔医院深圳市中医院东莞市人

:、、、

民医院中山大学附属第三医院广州医科大学附属口腔医院广州医科大学附属第二医院南方医科大

、、、、

学第三附属医院广州市第十二人民医院暨南大学附属顺德医院连州市医疗总院广州市急救医疗指

、、、、

挥中心东莞市第六人民医院广东网安科技有限公司北京中安星云软件技术有限公司工业和信息化

、、、、

部电子第五研究所中国电信股份有限公司广东分公司北京天融信网络安全技术有限公司深圳昂楷

、、、

科技有限公司北京嘉和美康信息技术有限公司杭州美创科技有限公司上海柯林布瑞信息技术有限

、、、

公司上海米健信息技术有限公司

、。

本文件主要起草人熊劲光郑金陈惠城魏书山陆慧菁高峰李永强曾睿林建权范伟唐雄伟

:、、、、、、、、、、、

张晓东邝允成吴庆斌邓意恒查正清陈炳坤张家庆陈涛刘永波柳遵梁王景保

、、、、、、、、、、。

Ⅲ

T/GDWJ013—2022

广东省健康医疗数据安全分类分级

管理技术规范

1范围

本文件规定了健康医疗数据控制者在保护健康医疗数据时可采取的管理和技术措施

。

本文件适用于指导健康医疗数据控制者对健康医疗数据进行安全保护也可供医疗健康管理机构

,、

网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时

参考

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息技术安全技术术语

GB/T25069—2010

信息安全技术个人信息安全规范

GB/T35273

分类与编码通用术语

GB/T10113

3术语定义和缩略语

、

31术语和定义

.

界定的以及下列术语和定义适用于本文件

GB/T25069—2010。

311

..

个人健康医疗信息personalhealthinformation

能够单独或者与其他信息结合识别特定自然人或者反映特定自然人生理或心理健康相关信息涉

,

及个人过去现在或将来的身体或精神健康状况接受的医疗保健服务和支付的医疗保健服务费用等

、、。

注个人健康医疗信息可能包括

::

提供健康医疗服务时登记的个人信息

a);

出于健康医疗目的例如治疗支付或保健护理等分配给个人的唯一标识号码或符号等

b),、,;

在向个人提供健康医疗服务过程中收集的有关个人的任何信息例如既往病史社会史家族史症状和生

c),、、、

活方式等各类病历记载的信息也包括基因信息以及测序的信息

,;

来自身体部位或身体物质例如组织体液血尿便气体生物大分子检查或检验的结果信息

d),、、、、、、;

可穿戴设备采集的与个人健康相关的信息并且该种信息

e),:

本身或者明显为健康医疗相关信息

1),

或是由传感器采集的并且可以单独或者与其他数据结合用来对可穿戴设备的用户的健康状况或者

2),

疾病风险进行判断的信息

,

或是可穿戴设备采集的信息并且为对用户的健康状况或者疾病风险进行判断后的结论

3),

或是通过可穿戴设备相连的应用者系统进行传送的并非可穿戴设备使用者另行提供的

4),;

接受的健康医疗服务相关信息例如检验检查医嘱诊断操作药物医疗效果等

f),、、、、;

为个人提供健康医疗服务的服务者身份信息

g);

1