- 本文由指南内容的精简总结和笔者个人理解编写而成,指南原文链接在文末。
- 不同数据使用场景的下的安全保护措施因篇幅问题单独编写一章,链接在文末。
目录
一、背景
二、数据分类分级
1.数据分类
2.数据分级
3.数据开放形式
三、数据安全管理要求和技术要求
1.数据安全建设实施流程
2.数据安全实施指南
1)组织保障体系
2)数据生命周期各阶段安全措施要点
3)应急处置
指南原文:
解读(二)
一、背景
《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》于2022年12月14日发布,2021年7月1日正式实施。
指南中数据分类、分级、开放安全要求、不同场景下的措施、安全管理等内容做了详细指导说明,但从目前已经实施的案例中可以得出,数据安全的实施基本上都是按照分模块、分体系的方式展开的,因为本文将指南拆解后按照常见实施思路重新整合,说明医疗行业数据安全实施要点。
二、数据分类分级
健康医疗数据:个人健康医疗数据、个人健康医疗数据加工后得到的健康医疗相关电子数据
(包括群体分析结果、疾病防治统计等)。
个人健康医疗数据:个人过去、现在或将来的生理和心理健康状况、医疗服务和医疗费用。
1.数据分类
数据类别 | 类别定义 | 范围 |
个人属性数据 | 单独或与其他信息结合能够识别特定自然人的数据 | 1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状况等; 2)个人身份信息,包括身份证、工作证、居住证、社保卡、可识别个人的影音图像、健康卡号、住院号、各类检查检验相关单号等; 3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等; 4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征; 5)个人健康监测传感设备ID等 |
健康状况数据 | 能反映个人健康情况或同个人健康情况有着密切关系的数据 | 主诉、现病史、既往病史、体征、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分析检测、人体微生物检测 |
医疗应用数据 | 能反映医疗保健、问诊、住院、出院和其他医疗服务情况的数据 | 门(急)诊病例、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息 |
医疗支付数据 | 医疗或保险等服务中所涉及的与费用相关的数据 | 1)医疗交易信息,包括医保支付信息、交易金额、交易记录等 2)保险信息,包括保险状态、保险金额等 |
卫生资源数据 | 反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据 | 医院基本数据、医院运营数据等 |
公共卫生数据 | 关系到国家或地区大众健康的公共事业相关数据 | 环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等 |
2.数据分级
1)数据级别定义
根据对个人健康医疗数据主体可能造成的损害和影响,将数据分为5级。
数据级别 | 级别定义 | 示例 | 适用场合 |
1级 | 可完全公开使用的数据 | 可直接在互联网上面向公众公开的数据 例:剩余床位、剩余可就诊号 | 公告 |
2级 | 可在较大范围内供访问使用的数据 | 不能标识个人身份的数据 例:卫生服务信息 | 管理、研究、教育与统计分析 |
3级 | 可在中等范围内供访问使用的数据 | 仅限于获得授权项目组范围内使用的数据 例:门诊叫号 | 服务对象告知 |
4级 | 可在较小范围内反问使用的数据,一旦泄露对数据主体造成较高程度损害 | 可直接标识个人身份的数据,例如身份证号码 例:患者身份证号码 | 个性化服务于管理 |
5级 | 仅能在极小范围内严格限制条件供访问使用的数据,一旦泄露会对数据主体造成严重程度的损害 | 例如特殊病种、隐私性病种 例:艾滋病 | 特殊疾病诊疗 |
2)不同级别数据安全措施要点
数据分类分级的结果是协助用户归类数据、判断数据安全管控措施,而并非绝对定义数据安全管控措施。不同级别数据需实施不同的安全保护措施,但安全保护措施的实施同时会因数据使用场景、数据范围、使用对象等情况综合考虑而定。
数据级别 | 安全措施要点 |
1级 | 审计是否可公开 |
2级 | 去标识化处理 |
3级 | 个人信息遮蔽 数据数量和接收人员范围限制 |
4级 | 数据数量、数据环境、接收人员严格限制 |
5级 | 身份鉴别 访问控制 |
3.数据开放形式
- 数据分类分级的目的就是要实现在数据流动过程中对不同级别数据实施不同的安全措施,而数据只有在流动中才有其价值。
- 无论数据是在内部流动还是内外部之间流动,都会面临数据开放这一需求,根据开放范围和数据接受对象,有多种数据开放形式和开放要求。
- 通常对公众完全开放数据称为“数据开放”,数据在组织内部之间流动称为“数据共享”,但本指南中并未严格区分,统称为“数据开放”。
1)数据开放共享类型:
- 完全公开共享:完全可以向大众开放且可以下载的数据。
- 受控公开共享:在共享过程中需要满足脱敏、范围控制、权限要求等条件的数据
- 领地公开共享:仅限于在某个平台或系统上共享的数据,且一般只能在该平台上实现查询和分析,不可将结果下载或导出。
开放形式 | 说明 | 公开共享类型 | 安全措施要点 |
网站公开 | 统计概要类数据或经匿名处理后的数据,向大众开放,可自行下载分析 | 完全公开共享 | 数据安全委员会审批 |
文件共享 | Sftp接口设备、移动介质共享 | 受控公开共享 | 1)共享数据加密 2)共享数据大小、内容等信息审计 3)移动存储介质加密 |
API接入 | 请求响应数服务应用接口 | 受控公开共享 | 1)接入用户身份鉴别 2)数据加密传输 3)API调用情况日志审计 4)Web安全措施防止SQL注入等攻击措施 |
在线查询 | 数据系统提供功能页面上查询相关数据 | 完全公开共享(匿名查询) 受控公开共享(用户查询) | 1)可查询数据不涉及个人信息、重要数据等 2)用户身份鉴别 3)数据加密传输 4)查询状况审计 5)批量查询监控 6)Web安全措施防止SQL注入等攻击措施 |
数据分析平台 | 可实现数据挖掘、分析的平台,数据分析结果仅在该平台可查询,数据不可导出 | 领地公开共享 | 1)结果导出需要审批 2)平台访问权限管理 3)平台的数据操作日志记录 |
2)不同级别数据与数据公开共享要求对应分析
- 不同级别数据通常面临开放共享的需求,但不同级别数据需要选择合适的数据开放形式。指南中并未说明不同级别与数据开放共享对应关系,但在以往实践中往往需要这一对应关系。根据实践经验得出以下分析结果供参考。
数据级别 建议最低数据开放类型 1级 完全公开共享 2级 受控公开共享 3级 受控公开共享 4级 受控公开共享 5级 领地公开共享
三、数据安全管理要求和技术要求
1.数据安全建设实施流程
2.数据安全实施指南
- 通常数据安全实施是可分为三方面:管理、技术和运营
- 管理一般包括:组织架构搭建、制度规章编写
- 技术一般包括:安全策略优化、业务流程优化、安全产品部署
- 运营一般包括:合规审查、应急处置、安全意识与技能培训
1)组织保障体系
组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全工作办公室
组织名称 | 人员构成 | 工作职责 |
数据安全委员会 | 1)组织高层管理人员、各业务口负责人 2)组织最高负责人担任主任委员 3)可以依托现有伦理委员会、院务会,不必重新建立 | 1)协调数据安全工作所需的人力、物力等资源 2)审核安全策略、安全方案 3)审核数据安全规章制度 4)每月至少一次工作会议 |
数据安全工作办公室 | 1)专人负责数据安全日常工作 | 1)落实委员会的各项决定,并向其汇报工作 2)制定、更新安全策略和安全方案 3)建立和更新数据安全规章制度 4)梳理医疗信息系统和数据 5)组织人员的数据安全教育和培训 6)每年开展数据安全工作自查并及时调整改进 |
2)数据生命周期各阶段安全措施要点
- 指南中是按照各角色在不同场景下列出了不同安全措施要点,但在实际实施中很难如此详细地先区分角色场景再划分数据环节,因此总结形成下表对数据生命周期各个阶段的安全措施要点,可根据需要参考选择实施要点。
安全环节 | 安全措施要点 |
采集安全 | 1)采集数据知情同意 2)采集申请审批 |
传输安全 | 1)数据传输加密 2)数据传输审计 3)流量控制 4)传输前审查、评估和授权 5)对端安全 |
存储安全 | 1)存储介质安全 2)数据分类分级 3)数据加密存储 4)数据备份与恢复 5)去标识化存储 6)境内存储 |
处理安全 | 1)身份鉴别 2)访问控制 3)敏感数据控制 4)审计记录 |
共享安全 | 1)身份鉴别 2)敏感数据控制 3)审计记录 4)审批授权 5)去标识化处理 |
销毁安全 | 1)销毁过程记录 2)销毁前审核、评估和授权 |
3)应急处置
- 建立应急预案
- 制定灾难恢复计划
- 建立数据安全应急支撑队伍
- 应急事件响应、处置和总结
指南原文:
GBT 39725-2020 信息安全技术 健康医疗数据安全指南.pdf (访问密码: 1455)
解读(二)
https://blog.csdn.net/lavend117/article/details/128287216