信息安全技术.docx

《信息安全技术.docx》由会员分享，可在线阅读，更多相关《信息安全技术.docx（90页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L 80中 华 人 民 共 和 国 国 家 标 准GB/T 39725-2020 信息安全技术健康医疗数据安全指南Information security technology Guide for health data security2020-12-14 发布2021-07-01 实施 GB/T 39725-2020目次前言I引言II1 范围12 规范性引用文件13 术语和定义14 缩略语35 安全目标36 分类体系36.1 数据类别范围36.2 数据分级划分46.3 相关角色分类46.4 流通使用场景56.5 数据开放形式57 使用披露要求68 安全措施要点78.1 分

2、级安全措施要点78.2 场景安全措施要点88.3 开放安全措施要点109 安全管理指南109.1 概述109.2 组织119.3 过程119.4 应急处置1210 安全技术指南1310.1 通用安全技术指南1310.2 去标识化指南1311 典型场景数据安全1511.1 医生调阅数据安全1511.2 患者查询数据安全1611.3 临床研究数据安全1711.4 二次利用数据安全2311.5 健康传感数据安全2511.6 移动应用数据安全2611.7 商保对接数据安全2711.8 医疗器械数据安全30附录A （资料性附录） 个人健康医疗数据范围34附录B （资料性附录） 卫生信息相关标准35附录C

3、 （资料性附录） 数据使用管理办法示例42附录D （资料性附录） 数据申请审批示例46附录E （资料性附录） 数据处理使用协议模板49附录F （资料性附录） 健康医疗数据安全检查表54附录G （资料性附录） 卫生信息数据元去标识化示例58参考文献60GB/T 39725-2020前言本标准按照GB/T 1.12009标准化工作导则第1部分：标准的结构和编写给出的规则起草。请注意本文件的其他内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本标准主要起草单位：清华大学、北京清华长庚医院、中国医师协会智慧医疗专业委

4、员会、中国网络安全审查技术与认证中心、中电数据服务有限公司、中国电子技术标准化研究院、上海市儿童医院、深圳市腾讯计算机系统有限公司、浪潮软件集团有限公司、东软集团股份有限公司、零氪科技（北京） 有限公司、阿里巴巴（北京）软件服务有限公司、泰康保险集团股份有限公司、中国平安保险(集团)股份有限公司、北京邮电大学、四川大学、中国信息安全测评中心、北京天融信网络安全技术有限公司、上海市方达律师事务所、中国软件评测中心、中南大学、启明星辰信息技术集团股份有限公司、中国中医科学院、湖南科创信息技术股份有限公司、北京奇安信科技有限公司、陕西省信息化工程研究院、北京数字认证股份有限公司、中电长城网际系统应用

5、有限公司、北京大学、浙江蚂蚁小微金融服务集团股份有限公司、北京协和医院、中国医院协会信息管理专业委员会。 本标准主要起草人：金涛、刘海一、王建民、董家鸿、张剑、左晓栋、刘贤刚、屈劲、于广军、赵冉冉、袁耀文、傅兴良、杨浩、来子祺、苏凌云、叶晓俊、陶蓉、于惊涛、马诗诗、王枞、殷晋、付嵘、王龑、张毅、姚建伟、陈先来、谢安明、文天才、肖国荣、周亚超、郭颖、张勇、宋玲娓、闵京华、洪延青、王昕、孟晓阳、罗妍。 II引言健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展，各种新业务、新应用不断出现，健康医疗

6、数据在全生命周期各阶段均面临着越来越多的安全挑战，安全问题频发。由于健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全，为了更好的保护健康医疗数据安全，规范和推动健康医疗数据的融合共享、开放应用，促进健康医疗事业发展，特制定健康医疗数据安全指南标准。涉及人类遗传资源数据（是指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸（DNA）构建体等遗传材料的信息资料）等重要数据的，按照相关部门要求执行。 健康医疗数据的出境安全管理，按数据出境安全评估相关办法执行。 涉及国家秘密的健康医疗数据，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术

7、标准，结合系统实际情况进行保护。 GB/T 39725-2020信息安全技术健康医疗数据安全指南1 范围本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。 本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护，也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是标注日期的引用文件，仅标注日期的版本适用于本文件。凡是不标注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 220802016信息技术安全技术信息安全管理体系要求GB/

8、T 220812016信息技术安全技术信息安全控制实践指南GB/T 222392019信息安全技术网络安全等级保护基本要求GB/T 25069信息安全技术术语GB/T 31168信息安全技术云计算服务安全能力要求GB/T 35273信息安全技术个人信息安全规范 GB/T 352742017信息安全技术大数据服务安全能力要求 GB/T 379642019信息安全技术个人信息去标识化指南 3 术语和定义GB/T 25069中界定的以及下列术语和定义适用于本文件。 3.1个人健康医疗数据personal health data单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康

9、的相关电子数据。 注：个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等，详见附录A。 3.2健康医疗数据health data包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。 示例：经过对群体健康医疗数据处理后得到的群体总体医疗数据分析结果、趋势预测、疾病防治统计数据等。 3.3健康医疗专业人员health service professional经政府或行业组织授权有资格履行特定健康医疗工作职责的人员。 10示例：医生。 3.4健康医疗服务health service由健康医疗专业人员或专业辅助人员提

10、供的对健康状况有影响的服务。 3.5健康医疗数据控制者health data controller能够决定健康医疗数据处理目的、方式及范围等的组织或个人。 示例：提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等。 3.6健康医疗信息系统health information system以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。 3.7受限制数据集limited data set经过部分去标识化处理，但仍可识别相应个人并因此需要保护的个人健康医疗数据集。 示例：删除与个人及其家属、家庭成员和雇主直接相关的标识。 注：受限制数据集可在未经

11、个人授权的情形下用于科学研究、医学/健康教育、公共卫生等目的。 3.8治疗笔记notes of treatment健康医疗专业人员在提供健康医疗服务过程中记录的观察、思考、方案探讨、结论等内容。 注：治疗笔记具有知识产权属性，其知识产权归健康医疗专业人员和/或其单位所有。 3.9 披露disclosure将健康医疗数据向特定个人或组织进行转让、共享，以及向不特定个人、组织或社会公开发布的行为。 3.10 临床研究clinical research用于确认针对人的药物、医疗器械、生物制品、体外诊断试剂、临床信息系统、诊断产品和治疗方案等的安全性和有效性的研究。 注：临床研究属于医学研究的一个分支

12、。 3.11完全公开共享completely public sharing数据一旦发布，很难召回，一般通过互联网直接公开发布。 GB/T 379642019，定义3.12 3.12受控公开共享controlled public sharing通过数据使用协议对数据的使用进行约束。 GB/T 379642019，定义3.13 3.13领地公开共享enclave public sharing在物理或者虚拟的领地范围内共享，数据不能流出到领地范围外。 GB/T 379642019，定义3.144 缩略语下列缩略语适用于本文件。 ACL：访问控制列表（Access Control Lists） EDC

13、：电子数据采集（Electronic Data Capture） GCP：临床试验规范标准（Good Clinical Practice） HIS：医院信息系统（Hospital Information Systems） HIV：艾滋病病毒（Human Immunodeficiency Virus） ID：身份标识（Identity） IP：互联网协议（Internet Protocol） IPSEC：网际协议安全（Internet Protocol Security） IT：信息技术（Information Technology） LDS：受限制数据集（Limited Data Set Fi

14、les） PIN：个人识别号码（Personal Identity Number） PUF：公用数据集（Public Use Files） RIF：可标识数据集（Research Identifiable Files） TLS：传输层安全（Transport Layer Security） USB：通用串行总线（Universal Serial Bus） VPN：虚拟专用网络（Virtual Private Network） 5 安全目标健康医疗数据控制者应采取合理和适当的管理与技术保障措施，以达到以下目标： a) 确保健康医疗数据的保密性、完整性和可用性； b) 确保健康医疗数据使用和披露过

15、程的合法性和合规性，保护个人信息安全、公众利益和国家安全； c) 确保健康医疗数据在符合上述安全要求的前提下满足业务发展需求。 6 分类体系6.1 数据类别范围健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别，具体内容如表 1 所示。在卫生信息领域使用的数据元、数据集、值域代码等相关标准可参考附录 B。 a) 个人属性数据是指能够单独或者与其他信息结合识别特定自然人的数据。 b) 健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。 c) 医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。

16、d) 医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据。 e) 卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。 f) 公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。 表1健康医疗数据类别与范围 数据类别 范围 个人属性数据 1) 人口统计信息，包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等； 2) 个人身份信息，包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等； 3) 个人通讯信息，包括个人电话号码、邮箱、账号及关联信息等；

17、4) 个人生物识别信息，包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等； 5) 个人健康监测传感设备ID等。 健康状况数据 主诉、现病史、既往病史、体格检查（体征）、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。 医疗应用数据 门（急）诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊（院）记录、知情告知信息等。 医疗支付数据 1) 医疗交易信息，包括医保支付信息、交易金额、交易记录等； 2) 保险信息，包括保险状态

18、、保险金额等。 卫生资源数据 医院基本数据、医院运营数据等。 公共卫生数据 环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。 6.2 数据分级划分根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别，建议数据划分为以下5级： a) 第1级：可完全公开使用的数据。例如医院名称、地址、电话等，可直接在互联网上面向公众公开。 b) 第2级：可在较大范围内供访问使用的数据。例如不能标识个人身份的数据，各科室医生经过申请审批可以用于研究分析。 c) 第3级：可在中等范围内供访问使用的数据。例如经过部分去标识化处理，但仍可能重标识的数据，仅限于获得授权

19、的项目组范围内使用。 d) 第4级：在较小范围内供访问使用的数据。例如可以直接标识个人身份的数据，仅限于相关医护人员访问使用。 e) 第5级：仅在极小范围内且在严格限制条件下供访问使用的数据。例如特殊病种（例如艾滋病、性病）的详细资料，仅限于主治医护人员访问且需要进行严格管控。 6.3 相关角色分类针对特定数据特定场景，相关组织或个人可划分为以下四类角色。对任何特定组织或个人，围绕特定数据，在特定场景或特定的数据使用处理行为上，其只能归为其中一个角色。 a) 个人健康医疗数据主体（以下简称“主体”）：个人健康医疗数据所标识的自然人。 b) 健康医疗数据控制者（以下简称“控制者”）：能够决定健康

20、医疗数据处理目的、方式及范围等的组织或个人。包括提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等，其以电子形式传输或处理健康医疗数据。判断组织或个人能否决定健康医疗数据的处理目的、方式及范围，可以考虑： 1) 该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规规定所必需； 2) 该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需； 3) 该项健康医疗数据处理行为是否由该组织或个人自行决定； 4) 是否由相关个人或者政府授权。 共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人，为共同控制者。 c) 健康医疗数据处理者（以下简称“处理者

21、”）：代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据，或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有：健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。 d) 健康医疗数据使用者（以下简称“使用者”）：针对特定数据的特定场景，不属于主体，也不属于控制者和处理者，但对健康医疗数据进行利用的相关组织或个人。 6.4 流通使用场景基于不同角色之间的数据流动，数据流通使用场景可分为以下6类，如图1所示。1) 主体-控制者间数据流通使用； 2) 控制者-主体间数据流通使用； 3) 控制者内部数据流通使用； 4) 控制者-处理

22、者间数据流通使用； 5) 控制者间数据流通使用； 6) 控制者-使用者间数据流通使用。 31426主体控制者处理者5控制者使用者图1数据流通使用场景分类示意图6.5 数据开放形式数据公开共享类型可划分为完全公开共享、受控公开共享、领地公开共享，对应的去标识化要求不同，参见GB/T 379642019。常见的数据开放形式包括网站公开、文件共享、API接入、在线查询、数据分析平台。常见的数据开放形式及其适用的公开共享类型详见表2。 表2常见数据开放形式开放形式 说明 适用公开共享类型 网站公开 统计概要类数据或经匿名处理后的数据，向大众开放，可自行下载分析。 完全公开共享 文件共享 由数据系统生成

23、文件并推送至SFTP接口设备或应用系统，或采用移动介质进行共享。 受控公开共享 API接入 系统之间通过请求回应方式提供数据，由数据系统提供实时或准实时面向特定用户的数据服务应用接口，需求方系统发起请求数据系统返回所需数据，例如通过Webservice接口。 受控公开共享 在线查询 在数据系统提供的功能页面上查询相关数据。 完全公开共享（匿名查询） 受控公开共享（用户查询） 数据分析平台 提供数据分析平台、系统环境、挖掘工具以及不含敏感数据的样本数据或模拟数据。平台用户共享或者专用硬件和数据资源，可以部署自有数据和数据分析算法，可以查询权限内的数据和分析结果。平台所有原始数据不能导出；分析结果

24、的输出、下载必须经审核通过后才能对外输出。 领地公开共享 7 使用披露要求控制者在使用或披露健康医疗数据的过程中，应遵循以下要求： a) 控制者在使用或披露个人健康医疗数据时，应获得主体的个人授权（以下b中情况除外）；所 有授权应使用通俗易懂的语言，并且包含有关要披露或使用的数据内容、数据的接收方、数据 的用途以及使用方式、数据使用期限、数据主体权利以及控制者采取的保护措施等具体信息。使用或披露个人健康医疗数据不能超出个人授权范围。因业务需要，确需超出范围使用的，应 再次征得主体同意。 b) 控制者在没有获得主体的授权时，在以下情况可以使用或披露相应个人健康医疗数据： 1) 向主体提供其本人健

25、康医疗数据； 2) 治疗、支付或保健护理时； 3) 涉及公共利益或法律法规要求时； 4) 用于科学研究、医学/健康教育、公共卫生或医疗保健操作目的的受限制数据集； 在上述情况下，控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。 c) 控制者应获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动，但控制者与主体之间进行面对面的营销沟通除外。用于市场营销活动的授权应以合理方式提示主体，并让其充分知悉，明确、自主作出同意。该授权应是独立的，并且不得作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中。控制者在取得授权的同时，应书面

26、告知主体其有权随时撤销该授权。 d) 主体（或其授权代表）有权访问其个人健康医疗数据或要求披露其数据，控制者应按其要求披露相应个人健康医疗数据，例如通过API接入方式披露。 e) 主体有权复查并获得其个人健康医疗数据的副本，控制者应提供，例如通过文件共享或者在线查询方式提供。 f) 主体发现控制者所持有的该主体的个人健康医疗数据不准确或不完整时，控制者应为其提供请求更正或补充信息的方法。 g) 主体有权对控制者或其处理者使用或披露数据的情况进行历史回溯查询，最短回溯期为六年。 h) 主体有权要求控制者在诊断、治疗、支付、健康服务等过程中限制使用或披露个人健康医疗数据，以及限制向相关人员披露信息

27、，控制者没有义务同意上述限制请求；但一旦同意，除非法律法规要求以及医疗紧急情况下，控制者应遵守商定的限制。 i) 控制者可以使用治疗笔记用于治疗，在进行必要的去标识化处理后，可以在未经个人授权的情况下使用或披露治疗笔记进行内部培训和学术研讨。 j) 控制者应制定、实施合理的策略与流程，将使用和披露限制在最低限度。 k) 控制者应确认处理者的安全能力满足安全要求，并签署数据处理协议后，才能让处理者为其进行数据处理，处理者应当按照控制者的要求处理数据，未经控制者许可，处理者不能引入第三方协助处理数据。 l) 控制者向政府授权的第三方控制者传送数据前，应获得加盖政府公章的相关文件，数据传送后，数据安

28、全责任以及传输通道的安全责任由第三方控制者承担。 m) 控制者在确认数据使用的合法性、正当性和必要性，并确认使用者具备相应数据安全能力，且使用者签订了数据使用协议并承诺保护受限制数据集中的个人健康医疗数据后，可将受限制数据集用于科学研究、医疗保健业务、公共卫生等目的；使用者只能在协议约定的范围内使用数据并承担数据安全责任，在使用数据完成后，应按照控制者要求归还、彻底销毁或者进行其他处理。未经控制者许可，使用者不能将数据披露给第三方。 n) 如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据，该数据不再属于个人信息，但其使用和披露应遵守国家其他相关法规要求。 o)

29、 控制者因为学术研讨需要，需要向境外提供相应数据的，在进行必要的去标识化处理后，经过数据安全委员会讨论审批同意，数量在250条以内的非涉密非重要数据可以提供，否则应提请相关部门审批。 p) 经主体授权同意，并经数据安全委员会讨论审批同意，不涉及国家秘密且不属于重要数据的，控制者可向境外目的地传送个人健康医疗数据，累计数据量应控制在250条以内，否则应提请 相关部门审批。 q) 不将健康医疗数据在境外的服务器中存储，不托管、租赁在境外的服务器；使用云平台的应符合国家相关要求。 r) 对外进行数据合作开发利用时，宜采用“数据分析平台”开放形式，对数据使用披露进行严格管控。 8 安全措施要点8.1

30、分级安全措施要点可以根据数据保护的需要进行数据分级，对不同级别的数据实施不同的安全保护措施，重点在于授权管理、身份鉴别、访问控制管理。例如，从个人信息安全风险出发划分的数据分级和安全措施要点如表3所示。医生调阅场景下的数据分级及安全措施详见11.1。临床研究场景下的数据分级详见11.3。 表3从个人信息安全风险出发的数据分级与安全措施要点数据 分级 数据特点 适用场合 特征与案例 安全措施要点 安全风险 第 1 级 业务要求：可公开发布数据内容：某些统计值 数据接收与使用者：大众 公告 需要公众了解，例如剩余床位信息、剩余可就诊号源信息 是否可公开需要评审 认为可以公开的数据 业务要求：不需要

31、识别个管理、研究、教育与统计分析 例如病例分析、各类病种分布统计、流行病研究、疾病队列研究等 场景举例：临床研究、医学健康教育、药品/医疗器械研发 宜进行去标识化处理，通过协议或领地公开共享模式管控，宜确保数据的完整性和真实性 人 第 2 级 数据内容：一般人口信息、各类医疗、卫生服务信息 对公共卫生利益造成损害 数据接收与使用者：科研教育等人员 业务要求：服务对象个人第 3 级 可识别，周边人不易识别数据内容：部分个人可识别信息或代码，与其他信息内容分离，例如张 XX、排队序号等 服务对象告知 在公开场合通知服务对象，例如门诊叫号、检查叫号、体检服务叫号等 个人信息需部分遮蔽，环境与接收人数

32、量受到限制 会对患者和医务人员的工作和生活造成影响 数据接收与使用者：局部小范围人群 业务要求：必须准确识别针对个人的医疗服务、由于涉及个人标识信息，环境与接收人宜严格管控，宜高标准保证数据完整性和可用性 个人 卫生健康服务，传染病第 4 级 数据内容：包含完整准确的个人健康医疗数据 数据接收与使用者：比较个性化服务与管理 管控、基因组测序等 场景举例：医院互联互通、远程医疗、健康传对机构的权益造成损害 小范围人员、有审计、有感数据管理、移动应保护隐私义务 用、商保对接 业务要求：特殊疾病诊疗所必须 第 5 级 数据内容：特殊病种详细资料 数据接收与使用者：极小特殊疾病诊疗 疾病极其敏感，比如

33、艾滋病等 严格的身份鉴 别、访问控制等措施 对公共卫生利益造成损害 范围人员、有审计、有保密义务 8.2 场景安全措施要点基于数据流通使用场景的不同，各角色在健康医疗数据应用过程中所涉及的安全环节与责任不同， 由此决定了各角色需要满足的安全控制要求不同。数据使用的应用场景和安全措施要点如表4所示，针 对常见场景需要重点关注的安全措施详见第11章。 表4数据使用安全责任与安全措施要点场景分类 安全环节 安全责任与安全措施要点 场景与用户举例 主体-控制者间数据流通 采集安全 控制者：采集数据知情同意 场景举例：医生调阅、健康传感、移动应用 主体：个人 控制者：医疗机构、科研机构、医保机构、商业保

34、险公司、健康服务企业 传输安全 控制者：加密、存储介质管控 存储安全 控制者：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控 控制者-主体间数据流通 传输安全 控制者：加密、存储介质管控 场景举例：患者查询主体：个人 控制者：医疗机构 使用安全 控制者：身份鉴别、访问控制、敏感数据控制 控制者内部数据使用 收集安全 控制者：收集数据知情同意、审批 场景举例：内部数据使用控制者：医疗机构 处理安全 处理者：去标识化、权限管理、质量管理、元数据管理 使用安全 控制者：审批授权、身份鉴别、访问控制、审计 存储安全 控制者：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控 控制者

35、-处理者间数据流通 传输安全 控制者：传输前的审查、评估、授权；加密、审计、流量控制、存储介质管控 处理者：数据传输加密、传输方式控制 场景举例：医疗器械维护控制者：医疗机构、政府机构 处理者：科研机构、健康医疗信息服务企业、医疗器械厂商 处理安全 处理者：去标识化、权限管理、质量管理、元数据管理、审计 存储安全 控制者：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理处理者数据存储过程 处理者：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 控制者间数据流通 传输安全 控制者 A：对接安全、加密、审计、流量控制、存储介质管控 控制者 B：对接安全、加密、

36、审计、流量控制、存储介质管控 场景举例：互联互通；远程医疗 控制者：政府机构、医疗机构、医保机构 使用安全 控制者 A：审批授权、身份鉴别、访问控制、审计 控制者 B: 审批授权、身份鉴别、访问控制、审计 存储安全 控制者 A：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 控制者 B：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 控制者-使用者间数据流通 传输安全 控制者：传输前的审查、评估、授权；加密、审计、流量控制、存储介质管控 场景举例：商保对接、临床研究、二次利用 控制者：医疗机构 使用者：商业保险公司、科研机构 使用安全 使用者：审批授

37、权、身份鉴别、访问控制、审计 存储安全 控制者：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理使用者数据存储过程 使用者：境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 GB/T 39725-2020注：在数据实际应用场景中，存在一个控制者对应多个流通使用场景的情况，此时需参照多个数据流通使用场景实施安全措施。 8.3 开放安全措施要点不同数据开放形式均宜：a) 遵循“最少必要原则”；b) 数据开放的合法性、正当性、必要性、目的、内容、使用方等经过数据安全委员会审批；c) 根据使用目的尽可能的去标识化；d) 明确数据使用目的、使用方需要承担的安全责任、安

38、全措施等，签署相应的协议； 涉及出境的应依规进行安全评估，涉及重要数据的应依规进行评估审批。此外，不同数据开放形式还需要满足的安全措施要点详见表5所示。表5不同数据开放形式安全措施要点数据开放形式 安全措施要点 网站公开 1) 公开数据宜经过数据安全委员会审批。 文件共享 1) 2) 3) 宜采用密码技术保障数据完整性和可追溯性； 宜对文件的大小、内容、生成时间等进行审计； 通过移动介质传输的宜采用具有加密或访问控制的移动介质方案。 API接入 1) 2) 3) 4) 宜采用口令、密码技术、生物技术等鉴别技术对接入用户进行身份鉴别； 宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加

39、密等方式保证数据在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面； 宜对API的调用情况进行日志审计，包括但不限于调用方、调用时间、调用接口名称、调用结果等； 宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。 在线查询 1) 2) 3) 4) 5) 6) 匿名可查询的数据经过数据安全委员会审批，确保不涉及个人信息、重要数据等； 宜采用口令、密码技术、生物技术等鉴别技术对查询用户进行身份鉴别； 宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加密等方式保证数据在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面； 对查

40、询的数据量、查询次数和查询时间进行审计，形成异常报告； 宜对批量查询操作进行监控，发现高频查询及时告警； 宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。 数据分析平台 1) 2) 3) 4) 任何分析结果的导出宜经过数据安全委员会审批； 宜对平台的访问进行权限管理，包括访问权限和数据使用权限； 数据分析平台的数据操作宜具备留痕和溯源功能； 导出数据或者结果留存备案待审计。 9 安全管理指南9.1 概述10GB/T 39725-2020控制者为实现第5章所述安全目标，宜按照GB/T 220802016要求，参照第6章进行数据分类分级和场景分析，分析健康医疗数据安全面临的风险，有

41、针对性的采取安全措施，并对实施措施后的效果进行检查，持续改进。 控制者可参照附录C建立数据使用管理办法，参照附录D对数据申请进行审批，参照附录E与处理者（使用者）签署数据处理（使用）协议，参照附录F进行自查。 9.2 组织宜建立完善的组织保障体系，组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全工作办公室，以确保做好健康医疗数据安全管理工作，并形成相应的文档记录，包括但不限于： a) 建立健康医疗数据安全委员会（简称委员会），对健康医疗数据安全工作全面负责，讨论决定健康医疗数据安全重大事项。委员会宜： 1) 包含组织高层管理人员和各业务口负责人等； 2) 涵盖信息安全、伦理、法律、统

42、计、审计、保密等相关专业人员； 3) 由组织最高负责人担任主任委员； 4) 并不一定重新建立，可依托伦理委员会、院务会等； 5) 协调配置健康医疗数据安全工作必要的人力、物力、资金等资源，例如基于权限分离的原则，配备安全管理员、安全审计员、系统管理员等； 6) 负责审核健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案； 7) 负责审核数据安全相关规章制度（例如数据使用审批流程）； 8) 负责审核去标识化策略和流程； 9) 定期召开工作会议，建议每月至少召开一次。 b) 建立健康医疗数据安全工作办公室，指定专人（数据安全官）负责健康医疗数据安全日常工作。办公室宜： 1

43、) 负责落实执行健康医疗数据安全委员会的各项决定，并向委员会报告工作； 2) 负责制定健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案； 3) 负责建立数据安全相关规章制度； 4) 负责制定数据使用审批流程，以及去标识化策略和流程； 5) 梳理业务流程及涉及的健康医疗信息系统和数据，并进行安全风险分析和合规分析，提出健康医疗数据安全工作建议； 6) 形成并管理好元数据结构，形成符合业务流程的数据和系统供应链结构； 7) 负责人员的数据安全教育与培训，确保相关人员具备相应数据安全能力； 8) 至少每年对健康医疗数据安全工作进行全面自查，并作出整改建议； 9) 审计健康

44、医疗数据使用情况，并适时调整改进安全措施； 10) 监测预警健康医疗数据安全状态，并适时调整改进安全措施。 9.3 过程9.3.1 规划规划阶段主要工作如下，各项工作宜形成相应文档记录。a) 界定健康医疗数据安全工作范围； b) 建立健康医疗数据安全策略并通告全组织； c) 建立数据安全相关规章制度并通告全组织； 11GB/T 39725-2020d) 建立健康医疗数据安全风险评估方案和合规评估方案； e) 梳理健康医疗数据相关业务及涉及的系统和数据； f) 识别健康医疗数据安全风险并评估影响； g) 识别健康医疗数据安全合规风险点并评估影响； h) 针对风险建立风险处置方案；涉及数据使用披露的，宜按照本标准第7章“使