醫(yī)療健康大數據安全要求II目 次前言 II1范圍 12規(guī)性用件 13術和義 14醫(yī)健大據全述 3體求 3療康數分分方法 35第級全求 4療康數組管安能力 4療康數處安能力 5療康數服安風管力 86第級全求 10療康數組管安能力 10療康數處安能力 11療康數服安風管力 177第級全求 20療康數組管安能力 20療康數處安能力 23療康數服安風管力 298第級全求 34療康數組管安能力 35療康數處安能力 37療康數服安風管力 44附錄A（資性醫(yī)健大據礎分類 50附錄B(資性)醫(yī)健大據務分類 51附錄C（資性醫(yī)健大據題分類 52PAGEPAGE4醫(yī)療健康大數據安全要求范圍本文件規(guī)定了醫(yī)療健康大數據分級保護的安全要求。本文件適用于指導醫(yī)療健康大數據服務提供者分等級的大數據安全能力建設和管理。GB/T25069—2022信息安全技術術語GB/T35274—2023信息安全技術大數據服務安全能力要求GB/T37092—2018信息安全技術密碼模塊安全要求GB/T39725—2020信息安全技術健康醫(yī)療數據安全指南GB/T39786—2021信息安全技術信息系統(tǒng)密碼應用基本要求GB/T25069—2022、GB/T39725—2020、GB/T39786—2021和GB/T35274—2023界定的以及下列術語和定義適用于本文件。大數據bigdata醫(yī)療健康大數據medicalhealthbigdata在疾病防治、健康管理等過程中產生的與醫(yī)療健康相關的大數據。數據資產dataasset以數據為載體和表現形式，能夠持續(xù)發(fā)揮作用并且?guī)斫洕娴臄祿Y源。數據處理datahandling數據收集datacollection數據存儲datastorage將數據持久化保存在硬盤等存儲介質中的數據處理活動。數據使用datausage數據加工dataprocessing（）數據傳輸datatransmission通過信息通信設備將數據從一個網絡節(jié)點傳送到一個或多個網絡節(jié)點的數據處理活動。數據提供dataprovision向組織內其他責任主體或其他組織提供所控制的數據資源的數據處理活動。數據公開datadisclosure數據銷毀datadestruction抹去或覆蓋存儲介質中的數據或銷毀存儲介質的數據處理活動。大數據應用bigdataapplication由大數據平臺支撐，執(zhí)行數據處理活動，提供大數據服務的應用。大數據系統(tǒng)bigdatasystem包括大數據平臺、大數據應用及其所需和控制數據資源的信息系統(tǒng)。大數據服務bigdataservice利用大數據技術開展數據處理，并通過底層大數據平臺和上層多種大數據應用以服務方式為大數據使用者提供有價值的數據處理功能的活動。大數據服務提供者bigdataserviceprovider擁有大數據系統(tǒng)，提供大數據服務的組織。數據安全datasecurity通過采取必要措施，確保數據處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。數據保護dataprotection實施適當的管理、技術或物理手段，以防止未授權的有意或無意地泄露、修改或破壞數據的活動。數據供應鏈datasupplychain在大數據服務中，數據處理涉及數據需求及供應關系目的的上游與下游組織的數據資源及數據操作所形成的鏈接集?？傮w要求醫(yī)療健康大數據分類分級方法23456.方7891023456.計劃生育、7.綜合管理；345.各類別醫(yī)療健康大數據的細化數據項詳見附錄A、B、C。GB/T37092GB/T37092GB/T37092此級數據泄露會對個人以及公共衛(wèi)生利益造成特別嚴重損害，嚴重危害國家安全。醫(yī)療健康大數據組織管理安全能力本項要求包括：本項要求包括：本項要求包括：應制定大數據服務人力資源管理安全策略，明確不同職能部門和安全崗位人員的權責和能力本項要求包括：應制定數據開發(fā)利用和數據安全保護相關的教育培訓計劃，每年組織開展全員數據安全教育應建立數據資產安全管理規(guī)范，明確數據資產的安全管理目標和原則。應建立系統(tǒng)資產安全管理規(guī)范，明確系統(tǒng)資產的安全管理目標和原則。本項要求包括：本項要求包括：應具備對數據加載終端或加載服務組件等進行身份鑒別的能力，滿足數據加載操作人員身份本項要求包括：本項要求包括：應建立數據存儲冗余策略和復制、備份和恢復相關數據副本的操作規(guī)范，包括數據在線備份與離線備份的副本數量、訪問權限管理、數據備份方案與機制等。本項要求包括：應建立數據存儲時效性管控措施和操作規(guī)程，按照法律法規(guī)和主管部門的數據保存時長要求對相關數據進行留存。應制定多租戶數據存儲隔離操作規(guī)程包括租戶應用上線、下線的數據遷移操作規(guī)程。本項要求包括：應建立分布式計算節(jié)點間安全連接策略和互操作規(guī)范，采用節(jié)點認證等技術機制保證大數據應建立分布式計算節(jié)點和用戶安全屬性的周期性確認機制，保證預定義分布式計算安全策略應建立分布式計算過程中不同節(jié)點的數據副本的更新檢測機制保證數據副本的完整性和一致本項要求包括：本項要求包括：本項要求包括：應建立組織內跨安全域數據提供安全操作規(guī)范，明確數據提供活動涉及的職能部門和崗位相應審核組織內跨安全域提供數據的應用場景及其數據內容，檢查數據接收方的數據使用和數本項要求包括：依法向其他組織提供其處理的個人信息時，應向個人信息主體告知數據接收方的名稱或者姓本項要求包括：應建立組織外用戶在線訪問準入準則和公開數據在線訪問的授權操作規(guī)范與數據使用操作規(guī)范，包括訪問申請的登記、審核、審批、辦理、歸檔等工作制度，明確在線訪問申請管理的審核內容。本項要求包括：應建立數據刪除安全操作規(guī)范，建立法律法規(guī)要求的重要數據或個人信息多級級聯刪除操作應建立物理刪除和邏輯刪除的數據刪除方法和技術，明確不同類別的數據刪除方式和技術要醫(yī)療健康大數據服務安全風險管理能力本項要求包括：本項要求包括：應制定區(qū)域邊界防護策略和規(guī)程的更新維護規(guī)則，并采用必要的手段或管控措施使更新后區(qū)本項要求包括：本項要求包括：應制定數據供應鏈中數據流轉操作安全管控策略，通過技術機制對大數據系統(tǒng)以及供應鏈涉本項要求包括：本項要求包括：6本項要求包括：應識別需要備份和歸檔的數據，制定數據備份、歸檔與恢復的計劃。PAGEPAGE28醫(yī)療健康大數據組織管理安全能力本項要求包括：應建立數據供應鏈安全管控規(guī)程，以書面協(xié)議等方式與數據供應鏈涉及的上下游組織明確約應建立數據安全風險評估和個人信息保護影響評估規(guī)程，制定應對數據安全和個人信息保護本項要求包括：本項要求包括：本項要求包括：應制定大數據服務人力資源管理安全策略，明確不同職能部門和安全崗位人員的權責和能力應建立人員數據安全責任管理機制，在其調離或終止勞動合同時將其所擁有的角色和責任移應與所有涉及大數據服務崗位人員簽訂安全責任協(xié)議，人員調離或終止勞動合同時歸還組織本項要求包括：應制定數據開發(fā)利用和數據安全保護相關的教育培訓計劃，每年組織開展全員數據安全教育本項要求包括：本項要求包括：本項要求包括：本項要求包括：應采取技術手段和管理措施對所獲取或清洗操作生成的數據進行保護，包括但不限于衍生數本項要求包括：應采用技術措施對收集的數據進行識別，并依據數據分類分級策略對收集數據的安全屬性進本項要求包括：應具備對數據加載終端或加載服務組件等進行身份鑒別的能力，滿足數據加載操作人員身份本項要求包括：應建立數據邏輯存儲安全管理操作規(guī)范，具備對數據分片和數據分布式存儲等邏輯存儲結構本項要求包括：本項要求包括：應建立歸檔數據安全管理制度，定期采取技術手段和管控措施驗證歸檔數據的完整性和可用本項要求包括：應建立數據存儲時效性管控措施和操作規(guī)程，按照法律法規(guī)和主管部門的數據保存時長要求本項要求包括：本項要求包括：本項要求包括：應建立訪問控制管控操作日志記錄及其審計日志數據的分布式存儲機制，具備對數據使用和本項要求包括：本項要求包括：應建立分布式計算節(jié)點間安全連接策略和互操作規(guī)范，采用節(jié)點認證等技術機制保證大數據應建立分布式計算節(jié)點和用戶安全屬性的周期性確認機制，保證預定義分布式計算安全策略應建立分布式計算過程中不同節(jié)點的數據副本的更新檢測機制，保證數據副本的完整性和一應建立分布式計算中數據泄露控制技術機制，包括但不限于數據分布式處理過程中的調試信本項要求包括：本項要求包括：應支持在數據脫敏時保留其原始數據格式和特定屬性，以滿足基于脫敏數據的開發(fā)與利用服本項要求包括：應建立大數據系統(tǒng)中數據傳輸接口安全管理操作規(guī)范，包括建立跨安全域的數據安全傳輸相應具備在構建傳輸通道前對兩端主體身份進行標識和鑒別的能力，以及在跨域傳輸數據前對本項要求包括：應建立組織內跨安全域數據提供安全操作規(guī)范，明確數據提供活動涉及的職能部門和崗位相應審核組織內跨安全域提供數據的應用場景及其數據內容，檢查數據接收方的數據使用和數本項要求包括：依法向其他組織提供其處理的個人信息時，應向個人信息主體告知數據接收方的名稱或者姓6.2.8應督促和監(jiān)督數據接收方加強數據安全管理，發(fā)現其未落實合同規(guī)定要求和責任時督促數據6.2.8應具備對嵌入的第三方數據提供自動化工具進行安全監(jiān)測的能力，當發(fā)現數據處理活動超出本項要求包括：本項要求包括：應建立組織外用戶在線訪問準入準則和公開數據在線訪問的授權操作規(guī)范與數據使用操作規(guī)應建立組織外用戶在線訪問公開數據的數據使用責任追究技術機制，包括在線訪問中安全事本項要求包括：應建立數據刪除安全操作規(guī)范，建立法律法規(guī)要求的重要數據或個人信息多級級聯刪除操作本項要求包括：醫(yī)療健康大數據服務安全風險管理能力本項要求包括：應具備基于數據安全風險分級和按照國家數據分類分級相關制度對數據資產進行分類分級的本項要求包括：應具備發(fā)現大數據服務中數據供應鏈上下游組織網絡產品和服務的脆弱性和威脅的能力，包應向大數據服務中數據供應鏈上下游的組織及時發(fā)布所識別的數據供應鏈風險及風險應對建本項要求包括：應制定區(qū)域邊界防護策略和規(guī)程的更新維護規(guī)則，并采用必要的手段或管控措施使更新后區(qū)應在涉及重要數據和個人信息的跨組織的區(qū)域邊界訪問時，對應用接口或服務接口等訪問進本項要求包括：本項要求包括：應制定數據供應鏈中數據流轉操作安全管控策略，通過技術機制對大數據系統(tǒng)以及供應鏈涉因業(yè)務確需向境外提供個人信息或重要數據時，應在通過國家主管部門組織的數據出境安全本項要求包括：本項要求包括：本項要求包括：應建立數據處理活動及其數據操作服務接口的安全監(jiān)測措施，宜具備對數據處理活動及其數應建立數據處理活動的監(jiān)測規(guī)則，能根據預定義的數據安全基線或值對數據處理活動異常行6應建立針對重要數據和敏感個人信息流轉等敏感數據操作的監(jiān)測機制，并采取技術措施及時本項要求包括：6本項要求包括：6.1應跟蹤和控制大數據服務相關的網絡產品和服務及其數據訪問接口，及時終止不安全的網絡6本項要求包括：應定期對大數據系統(tǒng)的安全控制措施進行檢查，使所采取的安全措施覆蓋了不同級別的數據應跟蹤數據安全和個人信息保護相關法律法規(guī)和管理規(guī)定，結合大數據系統(tǒng)運營中的數據安本項要求包括：本項要求包括：應制定安全事件歸因分析的數據溯源策略和安全管理機制，以及事件歸因溯源數據安全存儲本項要求包括：本項要求包括：醫(yī)療健康大數據組織管理安全能力本項要求包括：應建立數據供應鏈安全管控規(guī)程，以書面協(xié)議等方式與數據供應鏈涉及的上下游組織明確約應建立數據安全風險評估和個人信息保護影響評估規(guī)程，制定應對數據安全和個人信息保護應建立落實數據安全和個人信息保護法律法規(guī)及相關數據安全保護的責任考核制度，涉及敏本項要求包括：涉及重要數據的組織應成立數據安全管理機構，組織最高管理人員或高級管理人員應作為組本項要求包括：應按照大數據技術架構和大數據服務業(yè)務安全建立大數據用戶授權策略和訪問控制模型，明本項要求包括：應制定大數據服務人力資源管理安全策略，明確不同職能部門和安全崗位人員的權責和能力應建立人員數據安全責任管理機制，在其調離或終止勞動合同時將其所擁有的角色和責任移應與所有涉及大數據服務崗位人員簽訂安全責任協(xié)議，人員調離或終止勞動合同時歸還組織本項要求包括：應制定數據開發(fā)利用和數據安全保護相關的教育培訓計劃，每年組織開展全員數據安全教育本項要求包括：本項要求包括：醫(yī)療健康大數據處理安全能力本項要求包括：本項要求包括：應采取技術手段和管理措施對所獲取或清洗操作生成的數據進行保護，包括但不限于衍生數本項要求包括：應采用技術措施對收集的數據進行識別，并依據數據分類分級策略對收集數據的安全屬性進本項要求包括：應具備對數據加載終端或加載服務組件等進行身份鑒別的能力，滿足數據加載操作人員身份本項要求包括：應建立數據邏輯存儲安全管理操作規(guī)范，具備對數據分片和數據分布式存儲等邏輯存儲結構應選擇適當的使數據存儲架構實現容災備份的能力，應提供數據存儲本地和異地的容災備份本項要求包括：應提供在線與離線數據副本和備份數據存儲的多種壓縮實現技術機制，并確保壓縮數據副本本項要求包括：應建立歸檔數據安全管理制度，定期采取技術手段和管控措施驗證歸檔數據的完整性和可用本項要求包括：應建立數據存儲時效性管控措施和操作規(guī)程，按照法律法規(guī)和主管部門的數據保存時長要求應為不同時效性的數據建立分層的數據存儲方法，具備按照時效性自動遷移數據分層存儲的本項要求包括：應提供支持商用密碼算法集成的密鑰管理互操作性接口，宜建立多層存儲加密及密鑰管理的本項要求包括：本項要求包括：應建立數據使用審計記錄和受保護的數據使用日志的分布式存儲機制和管控措施，具備對潛本項要求包括：應建立訪問控制管控操作日志記錄及其審計日志數據的分布式存儲機制，具備對數據使用和應利用大數據系統(tǒng)的分布式層次訪問控制技術實施大數據使用者身份標識與鑒別、存儲數據本項要求包括：本項要求包括：應建立分布式計算節(jié)點間安全連接策略和互操作規(guī)范，采用節(jié)點認證等技術機制保證大數據應建立分布式計算節(jié)點和用戶安全屬性的周期性確認機制，保證預定義分布式計算安全策略應建立分布式計算過程中不同節(jié)點的數據副本的更新檢測機制保證數據副本的完整性和一致應建立分布式計算中數據泄露控制技術機制，包括但不限于數據分布式處理過程中的調試信本項要求包括：宜具備構建大數據分析過程及數據血緣圖譜的能力，根據血緣關系對大數據分析數據及其衍本項要求包括：應明確需要進行密文計算的數據資產和密鑰管理技術機制，可自動或人工選擇相適應的密碼本項要求包括：應支持在數據脫敏時保留其原始數據格式和特定屬性，以滿足基于脫敏數據的開發(fā)與利用服本項要求包括：應建立大數據系統(tǒng)中數據傳輸接口安全管理操作規(guī)范，包括建立跨安全域的數據安全傳輸相應具備在構建傳輸通道前對兩端主體身份進行標識和鑒別的能力，以及在跨域傳輸數據前對本項要求包括：應建立組織內跨安全域數據提供安全操作規(guī)范，明確數據提供活動涉及的職能部門和崗位相應審核組織內跨安全域提供數據的應用場景及其數據內容，檢查數據接收方的數據使用和數本項要求包括：依法向其他組織提供其處理的個人信息時，應向個人信息主體告知數據接收方的名稱或者姓7.2.8應督促和監(jiān)督數據接收方加強數據安全管理，發(fā)現其未落實合同規(guī)定要求和責任時督促數據7.2.8應具備對嵌入的第三方數據提供自動化工具進行安全監(jiān)測的能力，當發(fā)現數據處理活動超出3年，共享交5應在必要時對數據接收方的數據銷毀機制進行驗證，檢查跨組織數據提供服務到期后其在數本項要求包括：應提供發(fā)布數據的數據訪問接口及數據格式規(guī)范，宜具備對敏感個人信息等自動識別和實時本項要求包括：應建立組織外用戶在線訪問準入準則和公開數據在線訪問的授權操作規(guī)范與數據使用操作規(guī)應建立組織外用戶在線訪問公開數據的數據使用責任追究技術機制，包括在線訪問中安全事應建立公開數據在線訪問目錄庫和組織外用戶在線訪問公開數據的渠道，包括數據訪問接口應采用自動和人工審計相結合的手段對在線訪問操作進行監(jiān)控和記錄，涉及對重要數據等高本項要求包括：應建立數據刪除安全操作規(guī)范，建立法律法規(guī)要求的重要數據或個人信息多級級聯刪除操作應監(jiān)督數據刪除操作及其刪除效果反饋的過程，包括已共享或者已被其他用戶使用的數據的本項要求包括：應使用經認證的物理銷毀設備或請具備資質的單位對存儲重要數據和個人信息的介質設備進醫(yī)療健康大數據服務安全風險管理能力本項要求包括：應具備基于數據安全風險分級和按照國家數據分類分級相關制度對數據資產進行分類分級的應針對應用于關鍵信息基礎設施的大數據平臺提供定制化的數據處理和大數據系統(tǒng)運營的安應定期自行開展或邀請第三方專業(yè)機構開展數據安全風險識別和風險分析工作，按規(guī)定保存本項要求包括：應具備發(fā)現大數據服務中數據供應鏈上下游組織網絡產品和服務的脆弱性和威脅的能力，包應向大數據服務中數據供應鏈上下游的組織及時發(fā)布所識別的數據供應鏈風險及風險應對建本項要求包括：應制定區(qū)域邊界防護策略和規(guī)程的更新維護規(guī)則，并采用必要的手段或管控措施使更新后區(qū)應在涉及重要數據和個人信息的跨組織的區(qū)域邊界訪問時，對應用接口或服務接口等訪問進應建立基于主客體屬性和區(qū)域邊界上下文的邏輯訪問控制措施及機制，實現跨區(qū)域邊界的大本項要求包括：應提供細粒度授權管理和訪問控制功能，如依據資產屬性和用戶屬性設置授權規(guī)則和訪問控本項要求包括：應制定數據供應鏈中數據流轉操作安全管控策略，通過技術機制對大數據系統(tǒng)以及供應鏈涉因業(yè)務確需向境外提供個人信息或重要數據時，應在通過國家主管部門組織的數據出境安全本項要求包括：本項要求包括：應具備對威脅情報數據的關聯分析能力，以及將威脅情報數據向大數據服務安全檢測防御規(guī)應與專業(yè)機構建立威脅情報數據共享機制，持續(xù)提高數據安全風險和供應鏈安全風險應對處本項要求包括：應建立數據處理活動及其數據操作服務接口的安全監(jiān)測措施，宜具備對數據處理活動及其數應建立數據處理活動的監(jiān)測規(guī)則，能根據預定義的數據安全基線或值對數據處理活動異常行6應建立針對重要數據和敏感個人信息流轉等敏感數據操作的監(jiān)測機制，并采取技術措施及時本項要求包括：6本項要求包括：7.1應跟蹤和控制大數據服務相關的網絡產品和服務及其數據訪問接口，及時終止不安全的網絡6應對監(jiān)測累積的大數據服務監(jiān)測記錄進行關聯和分析，必要時向數據安全管理機構報送大數本項要求包括：應定期對大數據系統(tǒng)的安全控制措施進行檢查，使所采取的安全措施覆蓋了不同級別的數據應跟蹤數據安全和個人信息保護相關法律法規(guī)和管理規(guī)定，結合大數據系統(tǒng)運營中的數據安應在獲得授權同意以及做好風險管理和應急預案等工作前提下，采取滲透性測試方式對數據本項要求包括：本項要求包括：應制定安全事件歸因分析的數據溯源策略和安全管理機制，以及事件歸因溯源數據安全存儲應對事件歸因的溯源數據進行備份或歸檔，并采取技術手段對重要數據和個人信息處理活動應采取技術機制和管控措施保證事件歸因的溯源數據完整性，通過溯源數據能重現數據處理應對涉及重要數據和個人信息的數據處理活動及其數據供應鏈活動，按規(guī)定定期開展安全風應在經過數據出境評估后向境外組織提供重要數據和數據出境達到相關規(guī)定數量的個人信息本項要求包括：本項要求包括：醫(yī)療健康大數據組織管理安全能力本項要求包括：應建立數據供應鏈安全管控規(guī)程，以書面協(xié)議等方式與數據供應鏈涉及的上下游組織明確約應建立數據安全風險評估和個人信息保護影響評估規(guī)程，制定應對數據安全和個人信息保護應建立落實數據安全和個人信息保護法律法規(guī)及相關數據安全保護的責任考核制度，涉及敏本項要求包括：涉及重要數據的組織應成立數據安全管理機構，組織最高管理人員或高級管理人員應作為組本項要求包括：應按照大數據技術架構和大數據服務業(yè)務安全建立大數據用戶授權策略和訪問控制模型，明本項要求包括：應制定大數據服務人力資源管理安全策略，明確不同職能部門和安全崗位人員的權責和能力應建立人員數據安全責任管理機制，在其調離或終止勞動合同時將其所擁有的角色和責任移應與所有涉及大數據服務崗位人員簽訂安全責任協(xié)議，人員調離或終止勞動合同時歸還組織本項要求包括：應制定數據開發(fā)利用和數據安全保護相關的教育培訓計劃，每年組織開展全員數據安全教育本項要求包括：本項要求包括：本項要求包括：本項要求包括：應采取技術手段和管理措施對所獲取或清洗操作生成的數據進行保護，包括但不限于衍生數本項要求包括：應采用技術措施對收集的數據進行識別，并依據數據分類分級策略對收集數據的安全屬性進本項要求包括：應具備對數據加載終端或加載服務組件等進行身份鑒別的能力，滿足數據加載操作人員身份本項要求包括：應建立數據邏輯存儲安全管理操作規(guī)范，具備對數據分片和數據分布式存儲等邏輯存儲結構應選擇適當的使數據存儲架構實現容災備份的能力，應提供數據存儲本地和異地的容災備份應具備依據訪問頻率和數據時效性高低設計的數據分層存儲管理機制與技術支持數據在各分本項要求包括：應提供在線和離線數據副本和備份數據存儲的多種壓縮實現技術機制，并確保壓縮數據副本本項要求包括：應建立歸檔數據安全管理制度，定期采取技術手段和管控措施驗證歸檔數據的完整性和可用本項要求包括：應建立數據存儲時效性管控措施和操作規(guī)程，按照法律法規(guī)和主管部門的數據保存時長要求應為不同時效性的數據建立分層的數據存儲方法，具備按照時效性自動遷移數據分層存儲的本項要求包括：應提供支持商用密碼算法集成的密鑰管理互操作性接口，應建立多層存儲加密及密鑰管理的本項要求包括：本項要求包括：應建立數據使用審計記錄和受保護的數據使用日志的分布式存儲機制和管控措施，具備對潛本項要求包括：應建立訪問控制管控操作日志記錄及其審計日志數據的分布式存儲機制，具備對數據使用和應利用大數據系統(tǒng)的分布式層次訪問控制技術實施大數據使用者身份標識與鑒別、存儲數據本項要求包括：本項要求包括：應建立分布式計算節(jié)點間安全連接策略和互操作規(guī)范，采用節(jié)點認證等技術機制保證大數據應建立分布式計算節(jié)點和用戶安全屬性的周期性確認機制，保證預定義分布式計算安全策略應建立分布式計算過程中不同節(jié)點的數據副本的更新檢測機制，保證數據副本的完整性和一應建立分布式計算中數據泄露控制技術機制，包括但不限于數據分布式處理過程中的調試信本項要求包括：應具備構建大數據分析過程及數據血緣圖譜的能力，根據血緣關系對大數據分析數據及其衍本項要求包括：應明確需要進行密文計算的數據資產和密鑰管理技術機制，可自動或人工選擇相適應的密碼本項要求包括：應支持在數據脫敏時保留其原始數據格式和特定屬性，以滿足基于脫敏數據的開發(fā)與利用服本項要求包括：應建立大數據系統(tǒng)中數據傳輸接口安全管理操作規(guī)范，包括建立跨安全域的數據安全傳輸相應具備在構建傳輸通道前對兩端主體身份進行標識和鑒別的能力，以及在跨域傳輸數據前對本項要求包括：應建立組織內跨安全域數據提供安全操作規(guī)范，明確數據提供活動涉及的職能部門和崗位相應審核組織內跨安全域提供數據的應用場景及其數據內容，檢查數據接收方的數據使用和數本項要求包括：依法向其他組織提供其處理的個人信息時，應向個人信息主體告知數據接收方的名稱或者姓8.2.8應督促和監(jiān)督數據接收方加強數據安全管理，發(fā)現其未落實合同規(guī)定要求和責任時督促數據8.2.8應具備對嵌入的第三方數據提供自動化工具進行安全監(jiān)測的能力，當發(fā)現數據處理活動超出3年，共享交5應在必要時對數據接收方的數據銷毀機制進行驗證，檢查跨組織數據提供服務到期后其在數本項要求包括：應提供發(fā)布數據的數據訪問接口及數據格式規(guī)范，應具備對敏感個人信息等自動識別和實時本項要求包括：應建立組織外用戶在線訪問準入準則和公開數據在線訪問的授權操作規(guī)范與數據使用操作規(guī)應建立組織外用戶在線訪問公開數據的數據使用責任追究技術機制，包括在線訪問中安全事應建立公開數據在線訪問目錄庫和組織外用戶在線訪問公開數據的渠道，包括數據訪問接口應采用自動和人工審計相結合的手段對在線訪問操作進行監(jiān)控和記錄；涉及對重要數據等高本項要求包括：應建立數據刪除安全操作規(guī)范，建立法律法規(guī)要求的重要數據或個人信息多級級聯刪除操作應監(jiān)督數據刪除操作及其刪除效果反饋的過程，包括已共享或者已被其他用戶使用的數據的本項要求包括：應使用經認證的物理銷毀設備或請具備資質的單位對存儲重要數據和個人信息的介質設備進醫(yī)療健康大數據服務安全風險管理能力本項要求包括：應具備基于數據安全風險分級和按照國家數據分類分級相關制度對數據資產進行分類分級的應針對應用于關鍵信息基礎設施的大數據平臺提供定制化的數據處理和大數據系統(tǒng)運營的安應定期自行開展或邀請第三方專業(yè)機構開展數據安全風險識別和風險分析工作，按規(guī)定保存本項要求包括：應具備發(fā)現大數據服務中數據供應鏈上下游組織網絡產品和服務的脆弱性和威脅的能力，包應向大數據服務中數據供應鏈上下游的組織及時發(fā)布所識別的數據供應鏈風險及風險應對建本項要求包括：應制定區(qū)域邊界防護策略和規(guī)程的更新維護規(guī)則，并采用必要的手段或管控措施使更新后區(qū)應在涉及重要數據和個人信息的跨組織的區(qū)域邊界訪問時，對應用接口或服務接口等訪問進應建立基于主客體屬性和區(qū)域邊界上下文的邏輯訪問控制措施及機制，實現跨區(qū)域邊界的大本項要求包括：應采用技術工具對大數據服務的接入設備、服務組件及數據處理系統(tǒng)等計算設施的安全屬性應提供細粒度授權管理和訪問控制功能，如依據資產屬性和用戶屬性設置授權規(guī)則和訪問控本項要求包括：應制定數據供應鏈中數據流轉操作安全管控策略，通過技術機制對大數據系統(tǒng)以及供應鏈涉因業(yè)務確需向境外提供個人信息或重要數據時，應在通過國家主管部門組織的數據出境安全本項要求包括：本項要求包括：應具備對威脅情報數據的關聯分析能力，以及