T-GDWJ 013-2022 广东省健康医疗数据安全分类分级管理技术规范

47GDWJ T/GDWJ

013—2022广东省健康医疗数据安全分类分级管理技术规范Technical

specification

for

categorization

and

classificationof

health

data

security 广东省卫生经济学会  

发

布T/GDWJ

3.1

personal

health

information3.2

health

information3.3

personal

health

information

subject3.4

public

health

3.5

health

information

controller3.6

5.1

5.2

5.3

5.4

5.5

5.6

5.7

5.8

6.1

6.2

7.1

7.2

11

12

15

18 21T/GDWJ

本文件按照GB/T

T/GDWJ

络安全相主管门以及第方评估机等组开展健康疗数据的全监管理与评等工作时

2010

2017

2019

2020

2003

2020

2010

personal

health

informationa)b)c)d)e)1)2)3)是可穿戴设备集的信息并且为对户的健康状况4)或是通过可穿戴设备相连的APP或者系统进行传送的，并f) g) h)

health

informationT/GDWJ

XXXX

personal

health

information

subject3.4

public

health

data

health

information

controller

Control

Data

GCP：临床试验规范标准（Good

Clinical

HIS：医院信息系统（Hospital

Information

HIV：艾滋病病毒（Human

Immunodeficiency

ICD10：国际疾病分类（International

Classification

Of

Disease

IP：互联网协议（Internet

Protocol

Technology）LDS：受限制数据集（Limited

Data

Set

PC：个人电脑（Personal

PDCA：规划-实施-检查-改进（plan-do-check-action

PIN：个人识别号码（Personal

Identity

Key

Infrastructure）PUF：公用数据集（Public

Use

RIF：可识别数据集（Research

Identifiable

TLS：传输层安全（Transport

Serial

VPN：虚拟私人网络（Virtual

Private

a)b)c)T/GDWJ

d)e)f)g)h) i)j)

5.1

a) b)c)5.2

a) b)c) d)e)f)5.3

T/GDWJ

XXXXa) b)c)d)5.4

5.5

5.6

5.7

5.8

容至少包括所属部门、所在系统、

数据类型、安全等级、内容描述、数据量、保存位置、保存期限、

6.1

数据分类按照

国家安全和会公共利益的T/GDWJ

6.2

在数据分类基础上,根据健康医疗数据重要程度以及泄露后对国家安全、社会秩序、医疗机构经营

a)

b)

：国家安全、1)

2)

3)

对个人健康医疗信息主体利益的影响应考虑如下个人健康医疗信息一旦发生安全事件后，对个

对医疗健康机

对患者个人利T/GDWJ

XXXXT/GDWJ

XXXXd)

7.1

a) b)则上未经过脱处理的数据不可降使用，若确有c)级数据）应对数据报文进行加密，并采取措施（如数字签名、MAC等），以保证数据传输的机T/GDWJ

d)e)

35273中对7.2

数据分类数据大类T/GDWJ

XXXX

数据分级数据大类数据级别T/GDWJ

(1)人口学资料;(2)传染病发病和死亡及其分布;(3)病原体型别、毒力、耐药性变异情况;(4)人群免疫水平的测定;(5)动物宿主和媒介昆虫种群分布及病原体携带状(6)传播动力学及其影响因素的调查;(7)防治措施效果的评价;(8)疫情预测;(9)专题调查(如暴发调查、漏报调查等)等。(1)人口学资料;(2)非传染病发病和死亡及其分布;(3)人群生活方式和行为危险因素监测;(4)地理、环境和社会人文(包括经济)因素的监测;(5)饮食、营养因素的调查;(6)基因型及遗传背景因素的监测;(7)高危人群的确定;(8)预防和干预措施效果的评价。T/GDWJ

T/GDWJ

XXXXsalesforce

T/GDWJ

控类控域

T/GDWJ

XXXX

管管12管管b)应组织相关部门的有关安全技术专家对数据分级结果的合理性和正确性进行论

c)应定期对信息系统安全状况和数据安全保护情况进行评估，发现安全问题及时整T/GDWJ

T/GDWJ

13T/GDWJ

T/GDWJ

XXXX

T/GDWJ

15

b)应对异常或高风险数据操作行为进行自动化识别和T/GDWJ

T/GDWJ

XXXX16T/GDWJ

T/GDWJ

APP

g)应建立数据分类分级打标工具，实现对数据的分类分a1)应采用校验技术保证通信过程中数据的完整性、一致a2)应采用密码技术保证通信过程中数据的完整性、一致c1)应采用国家密码管理部门核准的密码技术保证敏感数c2)应采用国家密码管理部门核准的密码技术保证数据在1818T/GDWJ

XXXX

e1)应提供异地数据备份功能，利用通信网络将数据定时e2)应提供异地实时备份功能，利用通信网络将数据实时a)针对数据应用的访问，应进行应用认证和授权处理。b1)应能识别出敏感数据或个人敏感信息，并对其进行脱T/GDWJ

T/GDWJ

19d1)对于数据存储介质的销毁，应使用国家权威机构认证d2)对于数据存储介质的销毁，应选择具有国家认定资质T/GDWJ

T/GDWJ

XXXXT/GDWJ

[1]

/yzygj/s3594q/201809/c6c9dab0b00c4902a5e0561bbf0581f1.shtml,2018年7月17日.[2]

l.

2018年7月12日.[3]

国务院办公厅关于促进“互联网+医疗健康”发展的意见.

2018年04月28日.[4]

[5]

健康医疗可穿戴设备数据安全与隐私保护问题研究[D].

[6]

在健康数据助推健康产业发展环境下医疗数据安全开放应用框架研究[D].

[7]

国家中医药管理局办公室,

2017年2月15日.[8]

l.

2017年1月24日.[9]

2016年11月7日.

2016年10月25日.

国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见.

2016年06月24日.[12]GB/T

22081—2016

[13]ISO

27799:2016

Health

informatics

--

Information

management

in

health

ISO/IEC

27002.

2014年8月21日.

l.

[18]U.S.

Department

of

Health

Security

Guidance

[19]NIST

SP

800-66

Rev.

1.

An

Resource

for

the

Health

Portability

and

Accountability

Act

(HIPAA)

Security

[20]Office

of

the

National

Coordinator

for

Health

Information

Technology

toPrivacy

and

Security

of

Electronic

Health

Information，df.[21]General

Data

Protection

21T/GDWJ

XXXX[22]Article

29

Working

letter

that

res