内容简介
ICS 35.020CCS L 09 DB3205
苏
州 市 地 方 标 准
DB3205/T 1167-2024
医疗机构数据分类分级规范
Specification for data classification and grading of medicalinstitution
2024-12-25 发布
2024-12-31 实施
苏州市市场监督管理局 发 布
DB3205/T 1167—2024
目
次
前言 .................................................................................. II
1 范围 ................................................................................ 1
2 规范性引用文件 ...................................................................... 1
3 术语和定义 .......................................................................... 1
4 数据分类分级原则 .................................................................... 2
5 数据分类规则 ........................................................................ 2
5.1 分类框架 ...................................................................... 2
5.2 分类方法 ...................................................................... 3
6 数据分级规则 ........................................................................ 3
6.1 分级框架 ...................................................................... 3
6.2 分级方法 ...................................................................... 3
6.3 分级要素 ...................................................................... 4
7 数据分类分级管理 .................................................................... 5
7.1 职责分工 ...................................................................... 5
7.2 工作要求 ...................................................................... 6
附录 A(资料性) 医疗机构数据分类参考表 ................................................7
附录 B(资料性) 医疗机构数据分类分级职责划分参考表 ....................................9
附录 C(资料性) 数据目录上报模板 .....................................................10
附录 D(资料性) 数据安全级别变化规则示例表 ...........................................11
参考文献 .............................................................................. 12
I
DB3205/T 1167—2024
前
言
本文件按照 GB/T 1.1—2020《标准化工作导则
定起草。
第 1 部分:标准化文件的结构和起草规则》的规
本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。
本文件由苏州市卫生健康委员会提出、归口并组织实施。
本文件起草单位:苏州市卫生健康信息中心、中国联合网络通信有限公司苏州市分公司、苏州市卫
生健康委员会、中共苏州市委网络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、
北京神州绿盟科技有限公司、中国信息通信研究院、苏州市姑苏区政务信息中心、昆山市卫生计生信息
中心、常熟市卫生信息中心、苏州市吴江区卫生计生统计信息中心、苏州市吴中区卫生健康发展中心、
苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附
属第二医院、苏州大学附属儿童医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市
第九人民医院、苏州大学附属第四医院、苏州市疾病预防控制中心、苏州明基医院、常熟市第二人民医
院。
本文件主要起草人:鞠鑫、陆治平、汤峥、朱杰、徐爱彬、张俊杰、陆晓明、刘旭哲、周文渊、王
宝燕、李嘉、周号云、金建芳、钱瑾、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、赵芯蕊、胡莉莉、贝乾、
金健、仲晓伟、李斌、朱建光、王澜、颜庆、顾纪君、徐先泉、张华荣、程思民、刘亚军、汪春亮、朱
晨、诸俊、闵寒、费雪刚、柳维生、唐广场、王怡、沈翀、黄利军、沈颖杰、丁翀、方卫青、高喆、叶
栋、潘爱女、谢晓烽、李泉、丁松松、赵斌、邵军琦、王萍、施岭、马林平。
II
DB3205/T 1167—2024
医疗机构数据分类分级规范
1
范围
本文件规定了医疗机构开展数据分类分级的原则、规则和管理等。
本文件适用于指导医疗机构开展数据分类分级工作,也适用于监管部门开展数据分类分级的落地考
核和检查。医疗机构包括公立医院、民营医院、社区卫生服务中心(站)、校医院、乡镇卫生院、诊所
(医务室)、村卫生室、疾病预防控制中心、妇幼保健机构、专科疾病防治院(所、站)、卫生监督所
(中心)。
本文件不适用于涉及国家秘密的数据。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
3 GB/T 25069—2022 信息安全技术 术语
GB/T 43697—2024 数据安全技术 数据分类分级规则
术语和定义
GB/T 25069—2022 界定的以及下列术语和定义适用于本文件。
3.1
数据
data
任何以电子或者其他方式对信息的记录。
3.2
数据分类
data classification
根据数据的属性或特征,按照一定的原则和方法进行区分和归类。
3.3
数据分级
data grading
根据数据的敏感程度和被破坏后对受害者的影响程度,按照一定的原则和方法进行定级,为数据全
生命周期过程中组织数据的开放、共享安全策略制定提供支撑。
3.4
重要数据
key data
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危
害国家安全、经济运行、社会稳定、公共健康和安全的数据。
注:仅影响组织自身或公民个体的数据一般不作为重要数据。
3.5
核心数据
core data
1
DB3205/T 1167—2024
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或
共享,可能直接影响政治安全的重要数据。
注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国
家有关部门评估确定的其他数据。
3.6
一般数据
general data
核心数据、重要数据之外的其他数据。
4
数据分类分级原则
医疗机构数据分类分级原则遵循 GB/T 43697—2024 且考虑与行业分类分级规则的一致性。
a) 根据 GB/T 43697—2024,医疗机构数据分类分级遵循科学实用、边界清晰、就高从严、点面
结合、动态更新五个基本原则。
b) 行业一致性原则:医疗机构开展数据分类分级时,与行业主管部门相关规定和要求、其他数据
分类分级框架保持必要的一致性。
5
数据分类
5.1
分类框架
医疗机构数据分类按照先业务属性分类,再按照数据属性分类的思路进行分类。
a) 按照业务属性,将数据分为个人信息、机构运营数据、医疗应用数据、医疗支付数据、公共卫
生数据、医学教育研究数据、其他数据七个一级类别。
b) 在业务属性分类的基础上,按照医疗机构的数据属性,对数据进行细化分类。二级类别包括但
不限于:
1)个人属性信息是指医疗机构中所有人员的基本信息和活动情况的数据集合,包括个人基本
信息、个人身份信息、个人通讯信息、个人财产信息、个人生物识别信息、个人就医信息、
个人健康生理信息、其他个人信息八个子类;
2)机构运营数据是指支撑医疗机构日常运行管理和服务的数据集合,包括机构基础数据、机
构医疗资源数据两个子类;
3)医疗应用数据是指机构在开展医疗活动中产生和收集的数据集合,包括基础就诊信息、病
历信息、检查检验报告、用药信息、病程记录信息、手术记录信息、其他医疗就诊数据七
个子类;
4)医疗支付数据是指医疗机构开展医疗活动中产生的财务数据的集合,包括交易信息、保险
信息两个子类;
5)公共卫生数据是指医疗机构开展医疗活动中产生的呈现公共卫生概况的数据集合,包括环
境卫生数据、传染病疫情数据、疾病监测预防数据、出生死亡数据、其他公共卫生数据五
个子类;
6)医学教育研究数据是指医疗机构开展医学研究和教育培训活动中产生和收集的数据集合,
包括医学教育宣传数据、医疗科研数据两个子类;
7)其他数据是指不属于以上分类的数据。
c) 医疗机构数据一、二级分类参考见附录 A。
2
DB3205/T 1167—2024
d) 在一级类别、二级类别的基础上,医疗机构根据工作需要进行子类细分。可细分为三级类别、
四级类别,以方便确定等级。
e) 如涉及法律法规有专门管理要求的数据类别(如个人信息等),应按照有关规定和标准进行识
别和分类。
5.2
分类方法
医疗机构数据分类可根据数据有效保护、合法利用和持续安全的实际需要,结合已有数据分类框架
(参见 5.1),使用线分类法、面分类法、混合分类法等方法,灵活选择业务领域和数据属性将数据细
化分类。具体参考以下步骤开展数据分类。
a) 明确数据范围:按照医疗机构主管(监管)部门职责,明确本机构管理的数据范围。
b) 细化业务分类:对本机构业务进行细化分类,包括:
1)结合部门职责分工,明确医疗机构或业务条线的分类;
2)按照业务范围、运营模式、业务流程等,细化医疗机构或明确各业务条线的关键业务分类。
c) 业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。
d) 确定分类规则:梳理分析各关键业务的数据分类结果,根据本机构数据管理和使用需求,确定
本机构数据分类规则,例如:
1)可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则;
2)也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。
6 数据分级
6.1 分级框架
根据医疗机构数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、
非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害
程度,将医疗机构数据从高到低分为核心数据(L5)、重要数据(L4)和一般数据,其中一般数据细分
为三级(L3、L2、L1),与国家和行业的数据分类分级要求相对应。
6.2
分级方法
医疗机构数据分级,可按照以下步骤进行数据分级:
a) 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等;
注 1:数据项通常表现为数据库表某一列字段等。数据集是由多个数据记录组成的集合,如数据库表、数据库一行
或多行记录集合、数据文件等。
注 2:跨行业领域数据是医疗领域与其他行业领域的数据融合加工产生的数据。
b) 分级要素识别:结合自身数据特点,医疗机构应对不同类别的数据,开展数据所属领域、数据
描述群体、数据描述区域、数据重要性、数据规模、数据覆盖度、数据深度等数据分级要素的
梳理;
c) 数据影响分析:医疗机构应评估不同类别数据,一旦遭到泄露、篡改、损毁、非法获取、非法
使用、非法共享后对国家安全、经济运行、社会秩序、组织、个人权益的影响,并将影响程度
划分为特别严重危害、严重危害、一般危害三层。影响对象、程度与数据级别的关系见表 1;
d) 综合确定级别:按照 6.3,结合数据分类分级原则,综合确定数据级别。
3
DB3205/T 1167—2024
表 1
数据级别规则参考表
影响对象 影响程度
特别严重危害 严重危害 一般危害
国家安全 核心数据(L5) 核心数据(L5) 重要数据(L4)
经济运行 核心数据(L5) 重要数据(L4) 一般数据(L3)
社会秩序 核心数据(L5) 重要数据(L4) 一般数据(L3)
公共利益 核心数据(L5) 重要数据(L4) 一般数据(L3)
组织权益、个人权益 一般数据(L3) 一般数据(L2) 一般数据(L1)
注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国 家安全、经济运行、社会秩序或公共利益造成影响。
6.3
分级要素
影响医疗机构数据分级的要素,包括医疗机构数据的群体、精度、规模、深度、覆盖度、重要性等。
数据分级应充分识别以下数据分级要素情况:
a) 在分级要素识别、数据影响分析的基础上,应按照以下规则对医疗机构数据级别进行进一步确
定和调整,相关信息见表 2;
表 2
数据级别确定表
级别 定义 识别规则
L5 核心数据(L5) 1. 涉及 1000 万人以上个人信息或 100 万人以上敏感个人 信息; 2. 涉及 1000 万人以上经过计算加工生成的,对数据描述 对象有较深刻画程度,且影响国家安全的衍生数据; 3. 覆盖某一重要特定群体全部个体的健康数据,特定时 期特定区域的群体健康数据; 4. 涉及 1 个及以上省级行政区的卫生健康业务处理能力 丧失,对公众健康造成重大损失或负面影响; 5. 经国家卫生健康委评估确定的核心数据。
L4 重要数据(L4) 1. 涉及 100 万人及以上个人信息或 10 万人及以上敏感个 人信息; 2. 涉及 10 万人的群体健康生理状况数据; 3. 涉及 10 万人的诊疗数据、医疗救援保障数据、特定药 品实验数据等; 4. 涉及 1 万人的族群特征的数据、健康医疗资源数据; 5. 涉及 1 个及以上地级行政区的卫生健康业务处理能力 丧失,对公众健康造成一定损失或负面影响; 6. 经国家卫生健康委评估确定的重要数据。
4
DB3205/T 1167—2024
表 2
数据级别确定表(续)
级别 定义 识别规则
L3 一般数据(L3) 1. 直接影响医疗机构日常运行管理的数据; 2. 覆盖医疗机构所有健康生理状况、个人信息数据; 3. 未公开发布的年度统计类数据及其他衍生数据。
L2 一般数据(L2) 1. 直接影响医疗机构某一特定医疗业务的数据; 2. 直接影响职工、患者、患者家属及第三方合作人员权 益的数据。
L1 一般数据(L1) 1. 可对外公开发布的数据; 2. 同时考虑发布数据的类别、规模及关联分析的风险。
b) 医疗机构中若存在反映生物技术研究、开发和应用情况,反映族群特征、遗传信息,关系重大
突发传染病、动植物疫情,关系生物实验室安全,或可能被利用制造生物武器、实施生物恐怖
袭击,关系外来物种入侵和生物多样性的数据,此类数据级别应不低于 L4;
c) 医疗机构中若存在反映国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安
全的数据,此类数据级别应不低于 L4;
d) 若待分级数据涉及多个要素、多个影响对象或影响程度,应按照就高从严原则确定数据级别;
e) 数据集级别应在数据项级别的基础上,按照就高从严的原则,将数据集包含数据项的最高级别
作为数据集默认级别,但同时也要考虑分级要素(如数据规模)变化可能需要调高级别;
f) 衍生数据级别应按照就高从严原则,在原始数据级别的基础上,综合考虑加工后的数据深度等
分级要素对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响进行确定;
g) 根据数据重要程度和可能造成的危害程度的变化,应对数据级别进行动态更新;
h) 特殊病种和特殊人群等的特殊数据的安全级别,按照管理实际可以适当提高。
7 数据分类分级管理
7.1 职责分工
针对数据分类分级工作开展,医疗机构应有明确的工作分工和职责确定,确保数据分类分级工作有
序推进。
a) 应明确数据分类分级的管理部门,负责医疗机构的分类分级统筹管理工作,领导各部门开展分
类分级工作。职责划分如下:
1)负责数据分类分级工作的目标、计划的制定;
2)负责数据分类分级流程、制度的制定;
3)负责数据分类分级规范的制定;
4)负责对执行部门的分类分级成果开展审核评价;
5)负责对重要/核心数据目录的编制和统一上报;
6)负责数据分类分级保护策略的制定。
b) 应明确数据分类分级的执行部门,负责医疗机构分类分级工作的具体执行,协调各部门开展数
据分类分级工作。职责划分如下:
1)依据管理部门制定的分类分级目标、计划、流程、制度以及规范开展数据分类分级工作;
5
DB3205/T 1167—2024
2)负责将执行结果反馈至管理部门;
3)配合管理部门开展数据分类分级相关规范制度的优化迭代。在执行过程中对数据分类分级
规范要求存在异议时,应与管理部门沟通,讨论规范的合理性,研讨并修正,保证数据分
类分级规范的可执行性。
c) 医疗机构数据分类分级职责划分建议参考附录 B。
注:数据分类分级工作不仅仅围绕信息部门开展,还包括如行政、急诊、门诊、住院、药房、财务等支撑医疗卫生
机构运转的部门。
7.2 工作要求
7.2.1 分类分级工作流程
医疗机构开展数据分类分级工作,可以按照以下流程:
a) 数据资产梳理:对本机构的数据资产进行全面梳理,形成数据资产清单,确定数据分类分级对
象(如数据集、数据项、衍生数据等);
b) 数据分类分级:按照本文件数据分类方法和数据分级方法,结合本机构实际对数据进行分类分
级;
c) 数据目录上报:医疗机构应根据行业主管部门要求,将拟定为核心和重要数据目录报送至上级
单位进行审批、备案;
注:苏州市医疗机构数据目录上报模板见附录 C。
d) 动态更新管理:数据业务属性、使用场景、公开范围、聚合脱敏、数据时效等发生变化时,医
疗机构应按照本文件重新开展数据分类分级并按流程上报备案。
注:数据安全级别变化规则见附录 D。
7.2.2
分类分级管理流程
医疗机构管理数据分类分级工作,可以参考以下要求:
a) 数据分类分级的管理部门应整合数据分类和数据分级的成果,制定本医疗机构的数据分类分级
规范;
b) 数据分类分级的管理部门应根据上级主管单位下发/更新的重要数据目录、核心数据目录,对
本机构的数据分类分级目录进行调整;
c) 数据分类分级的管理部门应制定本机构的数据分类分级流程、制度,督促数据分类分级执行部
门周期性开展分类分级工作。
6
DB3205/T 1167—2024
附 录 A
(资料性)
医疗机构数据分类参考表
医疗机构数据分类参考表见表 A.1。
表 A.1
医疗机构数据分类参考表
一级类别 二级类别 内容
个人属性信息 个人基本信息 出生日期、性别、民族、国籍、职业、工作单位、家庭成员信息、 联系人信息、收入、婚姻状态、血型、户籍属性、年龄、文化程度
个人身份信息 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住 证等
个人通讯信息 个人电话号码、邮箱、账号及关联信息等; 详细住址(街道/村委、 小区、楼宇等)
个人财产信息 医保账户余额、就诊卡余额
个人生物识别信息 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等
个人就医信息 医保卡号、农合家庭医疗号、农合个人编号,建卡/档时间、可识 别个人的影像图像、健康卡号、住院号、各类检查检验相关单号、 医院就诊记录、就诊编号
个人健康生理信息 主诉、现病史、既往病史、体格检查(体征) 、家族史、症状、 检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、 生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分 子检测、人体微生物检测、生理缺陷情况、药物过敏史、精神状况 等
其他个人信息 其他个人信息
机构运营数据 机构基础数据 医疗机构名称、医疗机构组织机构代码、医疗机构类别、医院学科 门类、医院地址、电话、邮编、机构代码、科室介绍、医院等级、 医生职称、医生简介、医生特长、人力资源、财务数据、后勤数据 等
机构医疗资源数据 床位数、医药情况(药品名称、价格、用药剂量、药物使用频率、 药品医保编码、药品国家代码等)、物资数据(药品采购情况等)
医疗应用数据 基础就诊信息 就诊序号、挂号来源、门(急)诊号(病案号、就诊卡号、健康档 案号)、科室名称、登记人、放号时间、退号信息、预约记录、孕 期情况
病历信息 过敏史标志、过敏史、就诊日期时间、主诉、现病史、既往史、体 格检查等,就诊类型(出诊,复诊)、处方分类、临床诊断、疾病 名称、住院号、病区名称、病床号、病房号、医嘱类别代码、医嘱 计划开始时间、医嘱计划结束时间、医嘱项目类型、医嘱项目、疾 病类别等
病程记录信息 病程记录类别、病程记录内容、治疗类别代码等
7
DB3205/T 1167—2024
表 A.1
医疗机构数据分类参考表(续)
一级类别 二级类别 内容
医疗应用数据 检查检验报告 检查报告单编号、科室名称、症状开始日期时间、症状停止日 期时间、症状描述、操作标志、操作代码、检查部位、检测方 法
检验报告单编号、检验申请机构、检验申请科室、检验方法名 称、检验项目名称、检验类别、检验项目代码、检验结果代码、 检验定量结果、样本采集部位、试管类别等
用药信息 药物用法、药物使用-频率、药物使用-剂量单位、药物使用- 次剂量、药物使用-总剂量、药物使用-途径代码、药物名称、 药物剂型代码、中药类别代码、药物类型、药物名称代码、中 药煎煮法代码等
手术记录信息 术前诊断、术后诊断、手术开始日期时间、手术结束日期时间、 手术/操作代码、手术名称、手术级别、手术目标部位名称、 手术日期时间、介入物名称、手术体位代码、手术过程描述、 手术标志、手术切口描述等
其他医疗就诊信息 住院次数、出院原因等
医疗支付数据 交易信息 支付信息、交易金额、交易记录,交易时间、结算类别(自费、 医保、商保等)、结算类别名称、交易流水号、发票信息、交 易渠道(银行卡、医保、微信、支付宝等)、费用类型(挂号 费、诊疗费、附加费等)、支付状态
保险信息 保险状态、保险金额等
公共卫生数据 环境卫生数据 公共场所危害因素合格率、生活饮用水水质合格率、鼠密度、 蜚蠊密度、蚊密度、蝇密度、孳生地阳性率、病媒生物密度控 制水平等级、布雷图指数、消毒质量合格率、手卫生合格率、 消毒效果评价等
传染病疫情数据 病名、发病人数、发病率、死亡人数、死亡率、发病数据排名、 死亡数据排名等,发病类别、流行病学调查(接触史)
疾病监测数据 慢性病分类、慢性病数据(肿瘤等)、人口学资料、病原体型 别、毒力、耐药性变异情况、人群免疫水平的测定、动物宿主 和媒介昆虫种群分布及病原体携带状况、传播动力学及其影响 因素的调查、防治措施效果的评价、疫情预测、专题调查(如 暴发调查、漏报调查等)等
疾病预防数据 疫苗接种数据(疫苗代码、接种属性、接种剂次、接种部位、 疫苗类型)、应接种人数、实接种人数、接种不良反应(异常 反应)等
出生死亡数据 出生人数、出生率、死亡人数、死亡率、自然增长数、自然增 长率、死亡原因、死亡日期等信息
其他公共卫生数据 其他公共卫生数据
医学教育研究数据 医学教育宣传数据 医学教育、宣传等数据
医疗科研数据 用于开展医疗研究的数据
其他数据 其他数据 其他数据
8
DB3205/T 1167—2024
附 录 B
(资料性)
医疗机构数据分类分级职责划分参考表
医疗机构数据分类分级职责划分参考表见表 B.1。
表 B.1
医疗机构数据分类分级职责划分参考表
角色 主要职责
数据分类分级管理者 分类分级统筹管理、协调,重要/核心数据目录的编制和统一上报。
数据分类分级管理部门 主导分类分级流程、制度、规范的制定,定制数据分类分级工作的目标、计 划,对执行部门的分类分级成果开展审核评价。
数据分类分级执行部门 依据管理部门制定的分类分级目标、计划、流程、制度以及分类分级规范开 展分类分级工作,并将执行结果反馈至管理部门。
9
DB3205/T 1167—2024
附 录 C
(资料性)
数据目录上报模板
数据目录上报模板见表 C.1。
表 C.1
数据目录上报模板
一、责任主体基本情况
类别 基本内容 备注
责任主体名称
责任主体性质
单位注册地(省/市)
办公所在地(详细地址)
统一社会信用代码
经营范围
主营业务
数据安全负责人姓名
数据安全负责人职务
数据安全负责人联系方式
二、重要数据目录基本情况
序 号 数据基本情况 数据处理情况 数据安全情况 是 否 建 议 纳 入 核 心 数 据 目 录 * 备 注
数 据 名 称 * 依 据 数 据 分 类 分 级 规 范 * 数 据 一 级 分 类 * 数 据 二 级 分 类 * 数 据 三 级 分 类 数 据 四 级 分 类 建 议 数 据 级 别 * 数 据 载 体 * 数 据 来 源 * 数 据 量 ( 单 位: GB) * 数 据 量 ( 单 位: 条) * 数据 覆盖 情况 数 据 精 度 数 据 处 理 目 的 * 数据出境 情况 是 否 涉 及 跨 主 体 流 动 * 是 否 为 涉 外 数 据 * 信 息 系 统 名 称 * 是 否 为 关 键 信 息 基 础 设 施 * 数据安全风险 评估情况
覆 盖 类 型 * 覆 盖 占 比 * 是 否 出 境 * 是 否 开 展 数 据 出 境 安 全 评 估 * 数 据 出 境 安 全 评 估 结 果 是 否 进 行 数 据 安 全 风 险 评 估 * 评 估 机 构 评 估 规 范 评 估 时 间 评 估 结 论
1
2
注 1:*号为必填内容。
注 2:数据目录台账经确认形成核心和重要数据目录后,“数据基本情况”中的“建议数据级别”调整为“数据级别”。
10
DB3205/T 1167—2024
附 录 D
(资料性)
数据安全级别变化规则示例表
医疗机构数据导致安全级别变化的规则详见表 D.1(包括但不限于表中措施和情形)。
表 D.1
医疗机构数据导致安全级别变化的规则
序号 措施或情形 安全级别变化
1 数据量增加到特定规模导致社会重大影响 升级
2 达到国家有关部门规定精度的数据 升级
3 关联多个业务部门数据 升级
4 大量多维数据进行关联 升级
5 发生特定事件导致数据敏感性增强 升级
6 数据已被公开或披露 降级
7 数据进行脱敏或删除关键字段 降级
8 数据进行去标识化、假名化、匿名化 降级
9 数据发生特定事件导致数据失去敏感性 降级
10 具有时效性的数据过期 降级
11 数据体量减小到特定规模不会导致社会重大影响 降级
11
DB3205/T 1167—2024
参 考 文 献
GB/T 10113—2003
GB/T 22080—2016
GB/T 22081—2016
GB/T 35273—2020
GB/T 37964—2019
GB/T 39725—2020
分类与编码通用术语
信息技术 安全技术 信息安全管理体系要求
信息技术 安全技术 信息安全控制实践指南
信息安全技术 个人信息安全规范
信息安全技术 个人信息去标识化指南
信息安全技术 健康医疗数据安全指南
[7]
中华人民共和国数据安全法(中华人民共和国主席令第84号)
[8]
中华人民共和国网络安全法(中华人民共和国主席令第53号)
[9]
中华人民共和国个人信息保护法(中华人民共和国主席令第91号)
[10]
数据出境安全评估办法(国家互联网信息办公室)
[11]
医疗卫生机构网络安全管理办法(国家卫生健康委、国家中医药局、国家疾控局)
[12]
卫生健康行业数据分类分级指南(试行)(国家卫生健康委办公厅、国家中医药管理局综合
司、国家疾病预防控制局综合司)
[13]
医疗机构管理条例实施细则(2017年国家卫生和计划生育委员会令第12号)
DB3205/T 1083—2023
医疗机构数据安全管理规范
[1]
[2]
[3]
[4]
[5]
[6]
[14]
12