CCSL09蘇DB32052023-08-23發(fā)布蘇州市市場(chǎng)監(jiān)督管理局發(fā)布DB3205/T1083—2023前言 2規(guī)范性引用文件 3術(shù)語(yǔ)和定義 4概述 5數(shù)據(jù)安全基礎(chǔ)工作 25.1組織管理 25.2人員管理 25.3制度管理 35.4經(jīng)費(fèi)保障 36數(shù)據(jù)安全常規(guī)工作 36.1基礎(chǔ)設(shè)施安全管理 36.2資產(chǎn)管理 36.3分類分級(jí)管理 36.4分級(jí)管控建設(shè) 36.5培訓(xùn)管理 47數(shù)據(jù)安全專項(xiàng)工作 47.1風(fēng)險(xiǎn)監(jiān)測(cè) 47.2應(yīng)急處置 47.3安全評(píng)估 47.4共享與開(kāi)放安全 47.5個(gè)人健康醫(yī)療數(shù)據(jù)管理 58安全評(píng)價(jià)與考核 5附錄A（資料性）三種工作關(guān)系及標(biāo)準(zhǔn)的使用說(shuō)明圖 6附錄B（資料性）組織架構(gòu)設(shè)計(jì) 7附錄C（資料性）數(shù)據(jù)資產(chǎn)清單 8附錄D（資料性）數(shù)據(jù)分類分級(jí)管控基線 9附錄E（資料性）數(shù)據(jù)安全評(píng)價(jià)表 10參考文獻(xiàn) DB3205/T1083—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由蘇州市衛(wèi)生健康委員會(huì)提出并歸口。本文件起草單位：蘇州市衛(wèi)生計(jì)生統(tǒng)計(jì)信息中心、蘇州市衛(wèi)生健康委員會(huì)、中共蘇州市委網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、蘇州市公安局、蘇州市質(zhì)量和標(biāo)準(zhǔn)化院、北京神州綠盟科技有限公司、昆山市衛(wèi)生計(jì)生信息中心、常熟市衛(wèi)生信息中心、蘇州市吳中區(qū)衛(wèi)生健康發(fā)展中心、蘇州市姑蘇區(qū)民政和衛(wèi)生健康局、蘇州工業(yè)園區(qū)衛(wèi)生健康委員會(huì)、蘇州大學(xué)附屬第一醫(yī)院、蘇州大學(xué)附屬第二醫(yī)院、蘇州市立醫(yī)院、蘇州市中醫(yī)醫(yī)院、蘇州市第五人民醫(yī)院、蘇州市第九人民醫(yī)院、蘇州市疾病預(yù)防控制中心、江蘇國(guó)保信息系統(tǒng)測(cè)評(píng)中心有限公司、蘇州億陽(yáng)值通科技發(fā)展股份有限公司、江蘇安國(guó)信檢測(cè)技術(shù)有限公司、蘇州如意云網(wǎng)絡(luò)科技有限公司。本文件主要起草人：鞠鑫、謝興潛、夏燕、孟華、朱杰、馬振剛、張俊杰、陸曉明、劉旭哲、周文淵、趙亞、姚永剛、顧嘉奇、湯景云、沈婷、貝乾、陸建新、沈?yàn)殄?、金健、仲曉偉、李斌、顏慶、顧紀(jì)君、徐先泉、張華榮、程思明、劉亞軍、汪春亮、朱晨、諸俊、閔寒、柳維生、費(fèi)雪剛、唐廣場(chǎng)、沈翀、顧馳洲、黃利軍、沈穎杰、丁翀、方衛(wèi)青、高喆、趙斌、丁松松、吳雪晴、王萍、施嶺、顧奇、郝尚印。DB3205/T1083—2023隨著國(guó)家醫(yī)療改革政策的推進(jìn)，互聯(lián)網(wǎng)醫(yī)院、醫(yī)療聯(lián)合體、醫(yī)療衛(wèi)生服務(wù)共同體、遠(yuǎn)程診療等新型醫(yī)療業(yè)務(wù)蓬勃發(fā)展，數(shù)據(jù)采集、數(shù)據(jù)交換、數(shù)據(jù)共享、數(shù)據(jù)挖掘分析等數(shù)據(jù)處理活動(dòng)成為支撐業(yè)務(wù)創(chuàng)新的關(guān)鍵。同時(shí)，隨著物聯(lián)網(wǎng)、人工智能等技術(shù)的在行業(yè)中不斷創(chuàng)新應(yīng)用，人臉、指紋等新型數(shù)據(jù)也成為了健康醫(yī)療數(shù)據(jù)重要的組成部分。醫(yī)療行業(yè)數(shù)據(jù)存在規(guī)模化、多樣化以及流動(dòng)頻繁的特性，醫(yī)療機(jī)構(gòu)如何識(shí)別數(shù)據(jù)要素，如何更加安全、合理的利用醫(yī)療數(shù)據(jù)，也成為行業(yè)當(dāng)前面臨的共性難題。2021年，《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》相繼施行，提出了國(guó)家對(duì)于數(shù)據(jù)保護(hù)的法律底線。而在2022年8月，由國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局、國(guó)家疾控局三部門聯(lián)合發(fā)布并施行的《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》，明確提出了相關(guān)監(jiān)管單位對(duì)于醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)數(shù)據(jù)安全管理的總體要求。本文件在國(guó)家法律、地方條例以及行業(yè)要求的基礎(chǔ)上，針對(duì)蘇州市各醫(yī)療機(jī)構(gòu)提出了更為細(xì)化的數(shù)據(jù)安全管理規(guī)范。本文件為醫(yī)療機(jī)構(gòu)提供可參考的數(shù)據(jù)安全管理思路，指導(dǎo)各醫(yī)療機(jī)構(gòu)制定合理、有效的數(shù)據(jù)安全管理措施，從而提升醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全管理和防護(hù)水平。本文件參考了中國(guó)信息通信研究院、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)等機(jī)構(gòu)的數(shù)據(jù)安全建設(shè)思路，并結(jié)合蘇州本地醫(yī)療機(jī)構(gòu)的實(shí)際調(diào)研情況，充分討論、總結(jié)形成，具備科學(xué)性和可操作性。1DB3205/T1083—2023醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理規(guī)范本文件規(guī)定了醫(yī)療機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全管理的基礎(chǔ)工作、常規(guī)工作及專項(xiàng)工作的要求，描述了對(duì)應(yīng)的證實(shí)方法。本文件適用于醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理工作以及監(jiān)管部門檢查與評(píng)估。本文件所指的醫(yī)療機(jī)構(gòu)包括公立醫(yī)院、民營(yíng)醫(yī)院、社區(qū)衛(wèi)生服務(wù)中心（站）、校醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院、診所（醫(yī)務(wù)室）、村衛(wèi)生室、疾病預(yù)防控制中心、婦幼保健機(jī)構(gòu)、專科疾病防治院（所、站）、衛(wèi)生監(jiān)督所（中心）。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25069—2022信息安全技術(shù)術(shù)語(yǔ)GB/T39725—2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南3術(shù)語(yǔ)和定義GB/T25069—2022界定的以及下列術(shù)語(yǔ)和定義適用于本文件。3.1重要數(shù)據(jù)keydata特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模，一旦被泄露、篡改或損毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的數(shù)據(jù)。3.2個(gè)人健康醫(yī)療數(shù)據(jù)personalhealthdata單獨(dú)或者其他信息結(jié)合后能夠識(shí)別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)。[來(lái)源：GB/T39725—2020，3.1]3.3健康醫(yī)療信息系統(tǒng)healthinformationsystem以計(jì)算機(jī)可處理的形式采集、存儲(chǔ)、處理、傳輸、訪問(wèn)、銷毀健康醫(yī)療數(shù)據(jù)的系統(tǒng)。[來(lái)源：GB/T39725—2020，3.6]4概述2DB3205/T1083—2023醫(yī)療機(jī)構(gòu)在開(kāi)展數(shù)據(jù)安全管理時(shí)，應(yīng)充分考慮國(guó)家及行業(yè)的相關(guān)要求，結(jié)合自身的基礎(chǔ)設(shè)施現(xiàn)狀，明確建設(shè)目標(biāo)。根據(jù)數(shù)據(jù)安全管理工作開(kāi)展的性質(zhì)，將管理工作劃分為基礎(chǔ)工作、常規(guī)工作、專項(xiàng)工作三大類，具體說(shuō)明如下：——基礎(chǔ)工作是醫(yī)療機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全管理工作的基礎(chǔ)前提；——常規(guī)工作是保障醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全正常運(yùn)行的常規(guī)要求；——專項(xiàng)工作是針對(duì)數(shù)據(jù)安全高風(fēng)險(xiǎn)場(chǎng)景、特殊的醫(yī)療業(yè)務(wù)場(chǎng)景、監(jiān)管等場(chǎng)景下的管理優(yōu)化專項(xiàng)建議。醫(yī)療機(jī)構(gòu)可根據(jù)自身情況選擇三種工作的執(zhí)行內(nèi)容和范圍。醫(yī)療機(jī)構(gòu)監(jiān)管單位也可根據(jù)不同類型、級(jí)別的醫(yī)療機(jī)構(gòu)，設(shè)置不同的數(shù)據(jù)安全管理工作的評(píng)價(jià)、考核指標(biāo)。三種工作的關(guān)系及標(biāo)準(zhǔn)的使用說(shuō)明見(jiàn)附錄A。5數(shù)據(jù)安全基礎(chǔ)工作5.1組織管理5.1.1醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)安全管理團(tuán)隊(duì)。5.1.2數(shù)據(jù)安全管理團(tuán)隊(duì)?wèi)?yīng)包含決策、管理、執(zhí)行、監(jiān)督四個(gè)層級(jí)（見(jiàn)附錄B），具體要求如下：——決策層：負(fù)責(zé)統(tǒng)籌數(shù)據(jù)安全建設(shè)整體策略與方針，為數(shù)據(jù)安全工作指明方向；——管理層：負(fù)責(zé)數(shù)據(jù)安全管理工作，編制數(shù)據(jù)安全相關(guān)制度及要求，指導(dǎo)并推進(jìn)數(shù)據(jù)安全工作的落實(shí)；——執(zhí)行層：負(fù)責(zé)組織內(nèi)部數(shù)據(jù)安全工作具體執(zhí)行，例如：權(quán)限分配，關(guān)鍵數(shù)據(jù)處理活動(dòng)的措施實(shí)施；——監(jiān)督層：負(fù)責(zé)數(shù)據(jù)安全的日常審計(jì)及處理公眾日常投訴等工作，定期開(kāi)展數(shù)據(jù)安全審計(jì)和分析，及時(shí)發(fā)現(xiàn)并反饋問(wèn)題和風(fēng)險(xiǎn)。5.1.3醫(yī)療機(jī)構(gòu)應(yīng)按照組織規(guī)模、組織級(jí)別、組織架構(gòu)現(xiàn)狀設(shè)立數(shù)據(jù)安全管理員崗，負(fù)責(zé)安全管理的具體工作。5.1.4針對(duì)小型醫(yī)療機(jī)構(gòu)，如社區(qū)衛(wèi)生服務(wù)中心（站）、校醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院、診所（醫(yī)務(wù)室）、村衛(wèi)生室等，宜簡(jiǎn)化數(shù)據(jù)安全管理團(tuán)隊(duì)層級(jí)，僅保留管理層和執(zhí)行層，決策層與管理層職責(zé)合并，執(zhí)行層與監(jiān)督層職責(zé)合并。5.1.5針對(duì)小型醫(yī)療機(jī)構(gòu)，如社區(qū)衛(wèi)生服務(wù)中心（站）、校醫(yī)院、鄉(xiāng)鎮(zhèn)衛(wèi)生院、診所（醫(yī)務(wù)室）、村衛(wèi)生室等，宜采取一把手責(zé)任制，由機(jī)構(gòu)最高領(lǐng)導(dǎo)兼任數(shù)據(jù)安全管理員。5.2人員管理5.2.1醫(yī)療機(jī)構(gòu)應(yīng)對(duì)數(shù)據(jù)安全管理員任用前、任用中、任用終止各環(huán)節(jié)建立有效的安全控制措施，具體要求如下：——任用前，應(yīng)進(jìn)行背景調(diào)查；——任用中，應(yīng)簽署相關(guān)的保密協(xié)議及安全責(zé)任協(xié)議；——離任后，應(yīng)及時(shí)回收相應(yīng)的管理權(quán)限，并確保完成工作交接。5.2.2數(shù)據(jù)安全管理團(tuán)隊(duì)所有成員應(yīng)滿足層級(jí)、崗位的數(shù)據(jù)安全能力要求，不滿足條件時(shí)，宜通過(guò)外部招聘、培訓(xùn)等方式增強(qiáng)數(shù)據(jù)安全能力，以達(dá)到崗位要求。5.2.3醫(yī)療機(jī)構(gòu)應(yīng)為數(shù)據(jù)安全管理團(tuán)隊(duì)成員定制專業(yè)技能、安全意識(shí)、流程制度等維度的培訓(xùn)計(jì)劃。5.2.4醫(yī)療機(jī)構(gòu)應(yīng)將相關(guān)數(shù)據(jù)安全工作納入團(tuán)隊(duì)成員的日常工作考核中，并參考現(xiàn)有的考核機(jī)制執(zhí)行獎(jiǎng)懲。DB3205/T1083—20235.3制度管理5.3.1醫(yī)療機(jī)構(gòu)應(yīng)建立完善的數(shù)據(jù)安全管理制度，至少包含數(shù)據(jù)安全管理、數(shù)據(jù)分類分級(jí)保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全應(yīng)急處置、數(shù)據(jù)安全培訓(xùn)5個(gè)部分，宜結(jié)合現(xiàn)有網(wǎng)絡(luò)安全制度進(jìn)行補(bǔ)充或通過(guò)獨(dú)立制度文本呈現(xiàn)。5.3.2醫(yī)療機(jī)構(gòu)若涉及第三方參與業(yè)務(wù)服務(wù)、實(shí)施，或與第三方單位有數(shù)據(jù)交互的情形，還應(yīng)建立第三方的數(shù)據(jù)安全管理制度。5.3.3醫(yī)療機(jī)構(gòu)若涉及數(shù)據(jù)出境情形，如國(guó)際遠(yuǎn)程會(huì)診、海外科研等場(chǎng)景，還應(yīng)按照《數(shù)據(jù)出境安全評(píng)估辦法》的具體規(guī)定進(jìn)行制度的補(bǔ)充建設(shè)。5.3.4醫(yī)療機(jī)構(gòu)應(yīng)定期修訂管理制度，修訂頻率不低于一年一次。5.4經(jīng)費(fèi)保障醫(yī)療機(jī)構(gòu)應(yīng)在數(shù)據(jù)安全建設(shè)和運(yùn)營(yíng)方面設(shè)置保障經(jīng)費(fèi)。6數(shù)據(jù)安全常規(guī)工作6.1基礎(chǔ)設(shè)施安全管理6.1.1醫(yī)療機(jī)構(gòu)數(shù)據(jù)計(jì)算和存儲(chǔ)的安全物理環(huán)境宜參考GB/T22239—2019中的相關(guān)要求建設(shè)。6.1.2醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)設(shè)備應(yīng)部署在中華人民共和國(guó)境內(nèi)。6.1.3醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)的存儲(chǔ)設(shè)備應(yīng)具備訪問(wèn)控制、備份與恢復(fù)基本功能。6.1.4針對(duì)醫(yī)療機(jī)構(gòu)重要數(shù)據(jù)，應(yīng)采用本地備份、異地災(zāi)備的技術(shù)保障數(shù)據(jù)的完整性。6.2資產(chǎn)管理6.2.1醫(yī)療機(jī)構(gòu)應(yīng)定期更新《數(shù)據(jù)資產(chǎn)清單》（見(jiàn)附錄C），包括數(shù)據(jù)資產(chǎn)的所在位置、數(shù)據(jù)所屬的健康醫(yī)療信息系統(tǒng)、責(zé)任人、部門等信息。6.2.2醫(yī)療機(jī)構(gòu)宜采用自動(dòng)化工具定期進(jìn)行數(shù)據(jù)資產(chǎn)的掃描，及時(shí)發(fā)現(xiàn)新增和變化的數(shù)據(jù)資產(chǎn)，并通過(guò)數(shù)據(jù)資產(chǎn)分布地圖的形式呈現(xiàn)數(shù)據(jù)資產(chǎn)及資產(chǎn)變化情況。6.2.3當(dāng)醫(yī)療機(jī)構(gòu)重要數(shù)據(jù)資產(chǎn)、個(gè)人健康醫(yī)療數(shù)據(jù)資產(chǎn)發(fā)生較大變化和波動(dòng)時(shí)，應(yīng)有相應(yīng)的監(jiān)測(cè)、預(yù)警、處置機(jī)制。6.3分類分級(jí)管理6.3.1醫(yī)療機(jī)構(gòu)應(yīng)定期開(kāi)展分類分級(jí)工作，對(duì)健康醫(yī)療信息系統(tǒng)內(nèi)的數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)標(biāo)識(shí)。6.3.2醫(yī)療機(jī)構(gòu)宜采用自動(dòng)化工具的方式開(kāi)展數(shù)據(jù)標(biāo)識(shí)，并結(jié)合數(shù)據(jù)分類分級(jí)規(guī)范形成本機(jī)構(gòu)的數(shù)據(jù)分類分級(jí)字典。6.3.3分類分級(jí)工作的執(zhí)行頻率應(yīng)與數(shù)據(jù)資產(chǎn)管理頻率保持一致。6.3.4醫(yī)療機(jī)構(gòu)應(yīng)制定數(shù)據(jù)級(jí)別變更的審批流程，審批鏈路上宜包含數(shù)據(jù)安全管理員，應(yīng)對(duì)級(jí)別變更記錄、審批記錄進(jìn)行保存。6.4分級(jí)管控建設(shè)6.4.1醫(yī)療機(jī)構(gòu)宜參考GB/T39725—2020，采用流程審批、管理制度、加密、脫敏、權(quán)限限制、備份等手段對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行保護(hù)。6.4.2針對(duì)存儲(chǔ)在醫(yī)療機(jī)構(gòu)內(nèi)的人臉識(shí)別信息，應(yīng)按照《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》采取特殊的安全技術(shù)手段進(jìn)行保護(hù)。4DB3205/T1083—20236.4.3醫(yī)療機(jī)構(gòu)應(yīng)定期修訂《數(shù)據(jù)分類分級(jí)管控基線》（見(jiàn)附錄D），保證清單的適用性及合理性。6.5培訓(xùn)管理6.5.1醫(yī)療機(jī)構(gòu)應(yīng)定期組織數(shù)據(jù)安全培訓(xùn)，并形成相關(guān)記錄，培訓(xùn)的內(nèi)容應(yīng)結(jié)合培訓(xùn)對(duì)象的需求制定，具體要求如下：——面對(duì)醫(yī)療機(jī)構(gòu)全員，應(yīng)包含法律宣傳、管理制度宣貫、安全意識(shí)等培訓(xùn)課程；——面對(duì)醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理團(tuán)隊(duì)成員，應(yīng)包含數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全技術(shù)等培訓(xùn)課程。6.5.2醫(yī)療機(jī)構(gòu)宜建立本機(jī)構(gòu)的數(shù)據(jù)安全培訓(xùn)課程體系。7數(shù)據(jù)安全專項(xiàng)工作7.1風(fēng)險(xiǎn)監(jiān)測(cè)7.1.1醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)制，提高風(fēng)險(xiǎn)發(fā)現(xiàn)的時(shí)效性。7.1.2醫(yī)療機(jī)構(gòu)應(yīng)具備數(shù)據(jù)安全風(fēng)險(xiǎn)發(fā)現(xiàn)能力，包含但不限于數(shù)據(jù)內(nèi)容分析能力、數(shù)據(jù)行為分析能力、數(shù)據(jù)溯源能力。7.1.3醫(yī)療機(jī)構(gòu)應(yīng)定期開(kāi)展人員安全意識(shí)評(píng)估，識(shí)別人員風(fēng)險(xiǎn)。7.1.4醫(yī)療機(jī)構(gòu)應(yīng)定期開(kāi)展制度流程風(fēng)險(xiǎn)評(píng)估，識(shí)別流程設(shè)計(jì)、運(yùn)行等缺陷。7.1.5醫(yī)療機(jī)構(gòu)宜部署相關(guān)技術(shù)工具，輔助識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)。7.2應(yīng)急處置7.2.1醫(yī)療機(jī)構(gòu)應(yīng)建立完善的數(shù)據(jù)安全應(yīng)急響應(yīng)與事件處置機(jī)制，做好應(yīng)急預(yù)案，并定期組織應(yīng)急演練，保證信息資源的可用性。7.2.2醫(yī)療機(jī)構(gòu)應(yīng)依據(jù)國(guó)家及行業(yè)主管部門規(guī)定，綜合事件性質(zhì)、影響范圍等因素，對(duì)安全事件進(jìn)行分級(jí)管理。7.2.3醫(yī)療機(jī)構(gòu)應(yīng)按照醫(yī)療行業(yè)主管部門有關(guān)規(guī)定，向醫(yī)療機(jī)構(gòu)監(jiān)管單位上報(bào)數(shù)據(jù)安全事件及其處置情況。7.2.4醫(yī)療機(jī)構(gòu)應(yīng)在發(fā)生數(shù)據(jù)泄露事件時(shí)，及時(shí)采取補(bǔ)救措施，并按照合同協(xié)議等有關(guān)約定履行客戶及合作方告知義務(wù)。7.2.5醫(yī)療機(jī)構(gòu)應(yīng)在事件處置結(jié)束后，分析原因總結(jié)存在的問(wèn)題，并形成總結(jié)報(bào)告。7.3安全評(píng)估7.3.1醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)安全檢查評(píng)估機(jī)制，并定期組織數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，形成評(píng)估報(bào)告，報(bào)告內(nèi)容包含但不限于：——評(píng)估的數(shù)據(jù)資產(chǎn)的種類、數(shù)量；——已開(kāi)展數(shù)據(jù)處理活動(dòng)的情況；——已識(shí)別的數(shù)據(jù)安全風(fēng)險(xiǎn)。7.3.2針對(duì)檢查評(píng)估的結(jié)果，醫(yī)療機(jī)構(gòu)應(yīng)明確責(zé)任部門，編制適宜的整改計(jì)劃，并由數(shù)據(jù)安全管理員跟蹤落實(shí)。7.4共享與開(kāi)放安全7.4.1醫(yī)療機(jī)構(gòu)應(yīng)設(shè)置數(shù)據(jù)共享與開(kāi)放的責(zé)任人，負(fù)責(zé)組織內(nèi)數(shù)據(jù)的對(duì)外共享和開(kāi)放。DB3205/T1083—20237.4.2醫(yī)療機(jī)構(gòu)應(yīng)建立數(shù)據(jù)共享與開(kāi)放的管理制度和管控規(guī)則。7.4.3醫(yī)療機(jī)構(gòu)應(yīng)根據(jù)共享和開(kāi)放數(shù)據(jù)的類型、數(shù)量及影響范圍，充分評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，形成數(shù)據(jù)共享開(kāi)放風(fēng)險(xiǎn)評(píng)估報(bào)告。7.4.4針對(duì)醫(yī)療機(jī)構(gòu)重要數(shù)據(jù)的共享場(chǎng)景，宜采取數(shù)據(jù)安全新技術(shù)實(shí)現(xiàn)數(shù)據(jù)的可用不可見(jiàn)，例如隱私計(jì)算。7.5個(gè)人健康醫(yī)療數(shù)據(jù)管理7.5.1針對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)的安全管理要求應(yīng)遵循相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。7.5.2醫(yī)療機(jī)構(gòu)應(yīng)具有識(shí)別、區(qū)分個(gè)人健康醫(yī)療數(shù)據(jù)的能力，并對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)進(jìn)行標(biāo)識(shí)。7.5.3醫(yī)療機(jī)構(gòu)應(yīng)建立個(gè)人健康醫(yī)療數(shù)據(jù)的安全管控機(jī)制及技術(shù)措施，包含但不限于個(gè)人健康醫(yī)療數(shù)據(jù)的收集、傳輸、存儲(chǔ)、使用、刪除、銷毀以及個(gè)人健康醫(yī)療數(shù)據(jù)主體的權(quán)利。8安全評(píng)價(jià)與考核8.1醫(yī)療機(jī)構(gòu)應(yīng)按照本文件對(duì)自身數(shù)據(jù)安全建設(shè)情況進(jìn)行評(píng)價(jià)。8.2醫(yī)療機(jī)構(gòu)監(jiān)管單位可參照本文件對(duì)醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全建設(shè)情況進(jìn)行考核，考核方式可以評(píng)價(jià)表方式呈現(xiàn)（見(jiàn)附錄E）。8.3考核可采取數(shù)據(jù)安全專項(xiàng)形式或在年度考核中體現(xiàn)。6DB3205/T1083—2023（資料性）三種工作關(guān)系及標(biāo)準(zhǔn)的使用說(shuō)明圖三種工作的關(guān)系以及標(biāo)準(zhǔn)的使用說(shuō)明如A.1所示。圖A.1醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全管理規(guī)范標(biāo)準(zhǔn)使用說(shuō)明DB3205/T1083—2023組織架構(gòu)設(shè)計(jì)醫(yī)療機(jī)構(gòu)設(shè)計(jì)自身數(shù)據(jù)安全管理組織架構(gòu)，示例見(jiàn)表B.1。表B.1數(shù)據(jù)安全組織架構(gòu)（示例）督8DB3205/T1083—2023數(shù)據(jù)資產(chǎn)清單醫(yī)療機(jī)構(gòu)建立的數(shù)據(jù)資產(chǎn)清單，示例見(jiàn)表C.1。表C.1數(shù)據(jù)資產(chǎn)清單DB3205/T1083—2023（資料性）數(shù)據(jù)分類分級(jí)管控基線醫(yī)療機(jī)構(gòu)建立的數(shù)據(jù)分類分級(jí)管控基線，示例見(jiàn)表D.1。表D.1數(shù)據(jù)分類分級(jí)管控基線DB3205/T1083—2023（資料性）數(shù)據(jù)安全評(píng)價(jià)表醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全評(píng)價(jià)和考核表，示例見(jiàn)表E.1。表E.1數(shù)據(jù)安全評(píng)價(jià)表2324226222DB3205/T1083—2023表E.1數(shù)據(jù)安全評(píng)價(jià)表（續(xù)）2-1-1醫(yī)療機(jī)構(gòu)是否通過(guò)對(duì)應(yīng)級(jí)別的網(wǎng)絡(luò)安全等保測(cè)22-1-2醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)存儲(chǔ)在境內(nèi)，且有明確的數(shù)22-1-3醫(yī)療機(jī)構(gòu)業(yè)務(wù)數(shù)據(jù)是否采取一定的備份措施，2322-2-3醫(yī)療機(jī)構(gòu)對(duì)于數(shù)據(jù)資產(chǎn)發(fā)生變化時(shí)有相應(yīng)的流2理2-3-1醫(yī)療機(jī)構(gòu)對(duì)于系統(tǒng)數(shù)據(jù)資產(chǎn)定期開(kāi)展分類分級(jí)2分22-3-3醫(yī)療機(jī)構(gòu)是否基于自身數(shù)據(jù)資產(chǎn)形成分類分級(jí)22-3-4醫(yī)療機(jī)構(gòu)對(duì)于數(shù)據(jù)資產(chǎn)級(jí)別發(fā)生變化時(shí)有相應(yīng)2設(shè)2-4-1醫(yī)療機(jī)構(gòu)是否根據(jù)《數(shù)據(jù)分類分級(jí)管控基線》展數(shù)據(jù)安全能力建設(shè)，如加密、脫敏、水印、權(quán)限控制2