DB32-T 5257-2025 健康医疗数据安全管理规范

江苏省地方标准DB32/T5257—2025健康医疗数据安全管理规范Specificationforsecuritymanagementofhealthdata2025-10-30发布2025-11-30实施江苏省市场监督管理局发布Ⅰ前言 Ⅲ 2规范性引用文件 3术语和定义 4缩略语 5总体要求 6数据安全管理基础工作 7数据分类分级 8数据分级保护 附录A（资料性）数据分级示例 附录B（资料性）业务场景 参考文献 Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省卫生健康委员会提出并组织实施。本文件由江苏省卫生健康标准化技术委员会归口。本文件起草单位：江苏省卫生健康信息中心（江苏省中医药信息中心）、无锡市卫生健康统计信息中心、苏州市卫生健康信息中心、江苏省中医院、镇江市第一人民医院、苏州大学附属儿童医院、江苏瑞新信息技术股份有限公司、北京天融信网络安全技术有限公司、杭州美创科技股份有限公司。DB32/T5257—20251健康医疗数据安全管理规范本文件规定了健康医疗数据的安全管理基础工作、分类分级和分级保护的要求。本文件适用于指导健康医疗数据控制者规范开展健康医疗数据安全管理，并为监督部门、评估机构等开展数据安全监督检查和评估提供技术依据。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。WS/T787国家卫生信息资源分类与编码管理规范3术语和定义下列术语和定义适用于本文件。个人健康医疗数据personalhealthdata单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。注：个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务、公共卫生服务和支付的医疗保健服务费用等。健康医疗数据healthdata个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。示例：经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。重要数据keydata特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。示例：涉及100万人及以上个人信息或10万人及以上敏感个人信息；全国性的业务数据，如涉及10万人的群体健康生理状况数据；涉及1万人的族群生物特征数据、医疗资源数据；涉及10万人的诊疗数据、医疗救援保障数据、特定药品实验数据等。注：仅影响组织自身或公民个体的数据，一般不作为重要数据。2DB32/T5257—2025核心数据coredata对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。示例：1000万人及以上个人信息或100万人及以上敏感个人信息；覆盖某一重要特定群体全部个体的数据，特定时期特定区域的群体数据；涉及1000万人及以上，经过计算加工生成的，对数据描述对象有较深刻画程度，且影响国家安全的衍生数据。注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。一般数据generaldata核心数据、重要数据之外的其他数据。完全公开共享completelypublicsharing数据一旦发布，很难召回，一般通过互联网直接公开发布。注：在卫生健康行业，指通过互联网直接公开发布，公开共享给所有医疗卫生体系机构或其他机构、公众。受控公开共享controlledpublicsharing通过数据使用协议对数据的使用进行约束。注：在卫生健康行业，指取得医疗卫生相关机构或卫生健康主管部门授权许可，通过数据使用协议对数据使用进行约束，共享给相关医疗卫生体系机构或其他机构。领地公开共享enclavepublicsharing在物理或虚拟的领地范围内共享，数据不能流出到领地范围外。注：在卫生健康行业，指取得医疗卫生相关机构或卫生健康主管部门授权许可，在物理或虚拟领地范围内共享给相关医疗卫生体系机构或其他机构，数据不能流出领地范围外。健康医疗数据控制者healthdatacontroller能够决定健康医疗数据处理目的、方式及范围等的组织或个人。示例：提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等。4缩略语下列缩略语适用于本文件。APP：应用程序（Application）ECGIS：电生理信息管理系统（ElectrophysiologicalInformationManagementSystem）EMR：电子病历（ElectronicMedicalRecord）DB32/T5257—20253HIS：医院信息系统（HospitalInformationSystem）IDC：互联网数据中心（InternetDataCenter）PACS：影像归档和通信系统（PictureArchivingandCommunicationSystem）RIS：放射科信息管理系统（RadiologyInformationSystem）5总体要求健康医疗数据控制者应采取合理和适当的管理与技术保障措施以满足以下要求：a）健康医疗数据的保密性、完整性和可用性；b）健康医疗数据采集、使用和披露过程的合法性和合规性，保护个人信息安全、公众利益和国家安全；c）健康医疗数据在符合上述安全要求的前提下满足业务发展需求。6数据安全管理基础工作6.1组织架构健康医疗数据控制者应建立数据安全管理团队，包括决策层、管理层、执行层和监督层，各层级主要任务如下。a）决策层：全面负责健康医疗数据安全工作，制定数据分类分级和安全保护的总体规划、策略、方针、目标、原则等；统筹、决策数据安全重大事项，审核发布数据安全管理制度、规范、标准和流程。b）管理层：按照决策层议定的工作目标和要求，开展数据分类分级保护工作，落实各项数据安全保护措施，组织开展各类数据安全事件的防范和处置；制订修订数据分类分级保护的相关制度、规范、标准、流程，建立健全数据分类分级管理责任制和考核评价机制，制定数据使用审批流程以及去标识化策略和流程，组织开展风险评估、合规评估、应急演练和教育培训。c）执行层：按照管理层制定的制度、规范、标准、流程开展数据分类分级保护具体工作，负责数据全生命周期的保护和管理，配合管理层对网络和数据安全事件进行处置。d）监督层：配合网络安全监管部门或卫生健康主管部门进行数据安全审计和检查；定期组织开展数据安全审计，形成审计报告；对数据安全相关的制度、规范、标准、流程落实情况进行检查，对发现的问题进行督促整改。6.2制度建设6.2.1应依据数据安全法规标准、网络安全监管部门和卫生健康主管部门的相关要求，结合机构自身风险管控策略，制定本机构数据安全的总体目标、原则和策略。6.2.2应制订数据安全管理制度及实施细则，包括但不限于人员管理、资产管理、安全审计、公开共享、安6.2.3应结合网络安全工作责任制落实，建立数据安全管理体系和评价考核机制。6.3人员管理6.3.1应建立包括决策、管理、执行和监督四个层级的数据安全管理组织，明确各层级岗位人员和职责。6.3.2应明确数据安全管理责任部门和责任人，指导协调各相关部门开展数据安全工作。6.3.3应设立数据管理员、审计员、安全员等岗位，不可兼任，明确相应职责。DB32/T5257—202546.3.4应制定数据安全管理人员考核、选拔、上岗、调岗、离岗等相关规定，并明确数据安全重要岗位轮岗、权限分离、多人共管、离岗审计等安全管理要求。6.3.5应制定员工、外部人员或第三方人员管理规定，对接触个人信息、重要数据、核心数据的人员进行审批和登记，进行背景审查（如有必要签署保密协议。6.3.6员工、外部人员或第三方人员离岗时，应立即收回相关人员的账号和权限，并进行离岗安全审计。6.4资产管理6.4.1应制定数据资产分类分级方法、流程，以及分类分级变更审批流程。6.4.2应指定专人负责数据资产管理工作，完善数据基本信息，形成真实、完整、详细的数据资产清单。6.4.3当数据发生新增、修改、删除等变动时，应及时同步更新数据资产清单。6.4.4应将数据资产分类分级材料上报卫生健康主管部门备案。6.4.5应将数据资产公开共享材料上报卫生健康主管部门备案。6.4.6应定期评审数据的类别和级别，根据变更审批流程执行变更。6.4.7应划分一般数据、重要数据、核心数据范围，明确数据脱敏、去标识化的策略、场景和流程。6.5安全审计6.5.2应定期开展数据安全审计，审计内容包括但不限于内部权限控制、数据流动跟踪、数据安全事件、数据安全防护措施有效性等，形成数据安全审计报告，及时整改发现的问题。6.6公开共享6.6.1数据公开共享的目的、内容、期限、程度、方式等应经评估审批。6.6.2数据共享应明确使用方的安全责任、安全措施等，并签署相应的协议。6.7安全评估6.7.1应定期组织开展数据安全风险评估、合规评估。6.7.2应在提供、委托处理、共同处理个人信息、重要数据前进行风险评估。6.7.3应在信息系统或数据级别发生重大变更后，及时对数据安全保护情况进行评估。6.8应急管理6.8.1应制定数据安全事件应急预案，定义数据安全事件级别，明确数据安全事件的处置流程、人员分工，包括但不限于事件分级、组织体系、监测预警、应急处置、调查评估、日常预防和保障措施等内容。6.8.2在数据安全事件发生后，应按应急预案进行处置；事件处置完成后及时按规定向有关部门报告事件情况，内容至少包括：事件描述、原因和影响分析，处置方式、过程和结果，经验总结和改进措施等。6.8.3应组建数据安全应急支撑队伍、专家团队，保障数据安全事件得到及时有效处置。6.8.4应定期对应急预案进行修订，每年至少组织1次应急演练。6.9合作管理6.9.1应对合作方的资质背景、业务合法性、数据安全保护能力等进行审查和评估，确保其业务符合法律法规并具备数据安全防护能力。6.9.2应与合作方以合同、协议方式明确其承担的数据安全保护责任和义务，明确数据使用目的、权限、范围、用途、安全保密要求以及追责措施。DB32/T5257—202556.9.3应建立合作方退出机制，确保合作方在退出后对获取的数据及相关衍生数据进行及时、有效销毁，避免数据被非法获取、非法利用等。6.9.4应通过技术和管理手段，定期对合作方的数据安全保护落实情况进行确认，一旦发现违反双方约定应立即终止合作，避免因合作方的接入危害数据安全。6.9.5应定期对合作过程进行数据安全风险评估，避免数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等。6.10检查考核6.10.1应将数据安全相关制度、策略、流程的落实情况纳入本机构年度考核范围，对落实、整改不力的进行处理。6.10.2应定期进行数据安全检查，形成检查报告；检查内容包括但不限于安全管理制度落实情况、安全策略执行情况、数据安全防护状况等。6.10.3应积极接受并主动配合网络安全监管部门、卫生健康主管部门对本机构数据安全落实情况的检查和审计，及时整改发现的问题。6.11出境管理6.11.1应制定数据跨境传输业务处理流程和数据跨境传输审批制度，明确数据出境安全策略、管理制度和管控措施。6.11.2应具备数据出境安全监测能力，加强数据出境安全风险防范和处置，及时告警并阻断违规传输行为。6.12安全培训6.12.1应定期组织本机构全员培训，内容应包含但不限于信息安全法律法规宣传、管理制度宣贯、安全意识培养等课程。6.12.2应定期组织本机构数据安全管理团队成员培训，内容应包含但不限于数据分类分级、数据安全风险评估、数据安全技术防护等课程。7数据分类分级7.1数据分类健康医疗数据在实际分类中，按照WS/T787进行分类。7.2数据分级7.2.1分级原则健康医疗数据分级在遵循国家和行业领域数据分级原则的基础上，还宜遵循以下原则：a）时效性原则：数据的分级具有一定的时效性，在不同的应用场景下，数据的级别也会发生变化；b）自主性原则：根据卫生健康行业数据安全管理需要，例如业务需要、对风险的接受程度等，按照数据分级方法自主确定数据层级，但不应将高安全级别数据定级为低安全级别；c）就高从严原则：不同级别的数据被同时处理、应用且无法精细化管控时，应按照其中级别最高的要求来实施保护；d）关联叠加原则：对非敏感数据关联后可能产生敏感数据的场景，关联后的数据级别应高于原数据级别。DB32/T5257—202567.2.2数据影响分析7.2.2.1影响对象健康医疗数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用后，受到危害影响的对象主要包括国家安全、社会公共利益、健康医疗数据控制者权益、个人健康医疗数据主体权益四个对a）对国家安全的影响：对国家的政治安全、军事安全、社会安全、科技安全、络安全、空间安全等造成影响和危害；b）对社会公共利益的影响：影响社会公众使用公共服务、公共设施、公共资源或危害公共健康安全等；c）对健康医疗数据控制者权益的影响：对健康医疗数据控制者的生产运营、声誉形象、公信力、知识产权、财产权等权益造成影响和危害；d）对个人健康医疗数据主体权益的影响：影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。7.2.2.2影响程度健康医疗数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用后，对不同对象的影响程度从高到低分为严重危害、一般危害、轻微危害和无危害。表1给出了针对各个影响对象的影响程度描述参考。表1影响程度参考表影响对象影响程度参考说明影响程度国家安全成严重威胁严重危害一般危害轻微危害无影响无危害社会公共利益导致多个省市部分地区的社会公共资源供应瘫痪，大范围社会成员无法使用公共设施、获取公共资源、接受公共服务。直接危害公共健康和安全，或导致重大突发公共卫生事件严重危害导致一个或多个地市部分地区的社会公共资源供应中断，一定范围社会成员无法使用公共设施、获取公共资源、接受公共服务。对公共健康和安全产生一定危害，或导致突发公共卫生事件一般危害影响小范围社会成员使用公共设施、获取公共资源、接受公共服务等轻微危害无影响无危害健康医疗数据控制者权益导致全部或大部分业务无法开展，造成严重经济损失；对健康医疗数据控制者利益和声誉构成严重威胁，对用户信任度造成严重影响严重危害导致部分业务一段时间内无法开展，造成一定程度的经济损失；对健康医疗数据控制者利益和声誉构成一定程度威胁，对用户信任度造成一定程度影响一般危害导致个别业务短时间无法开展，造成轻微损失，不影响主要或关键业务稳定开展轻微危害无影响无危害DB32/T5257—20257表1影响程度参考表（续）影响对象影响程度参考说明影响程度个人健康医疗数据主体权益导致个人遭受到重大的、不可消除的、可能无法克服的影响，个人的人格尊严受到严重侵害或者人身、财产安全受到严重危害，如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等严重危害导致个人人格尊严或人身、财产安全遭受到较大影响和危害，克服难度高，消除影响代价大，如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、被歧视、被解雇、被法院传唤、健康状况恶化等一般危害导致个人遭受到轻微影响和危害，如付出额外成本、无法使用应提供的服务、造成误解、产生害怕紧张等情绪、导致较轻的心理或生理疾病等轻微危害无影响无危害7.2.3分级方法在数据分类的基础上，健康医疗数据应根据影响对象与影响程度两个要素进行分级。数据分级的方a）确定分级对象：确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等；注1：数据项通常表现为数据库表某一列字段等。数据集是由多个数据记录组成的集合，如数据库表、数据库一行或多行记录集合、数据文件等。注2：跨行业领域数据通常是某个行业领域收集或产生的数据流转到另一个行业领域，以及两个或两个以上行业领域的数据融合加工产生的数据。b）数据影响分析：分析数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，可能c）综合确定级别：根据数据被篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用后造成的影响，确定数据安全等级（分级示例参见附录A）。确定分级对象数据安全性被破坏对健康医疗数据控制者权益造成的影响数据安全性被破坏对个人健康医疗数据主体权益造成的影响数据安全性被破坏对健康医疗数据控制者权益造成的影响数据安全性被破坏对个人健康医疗数据主体权益造成的影响综合评定数据安全性被破坏后对各方的影响确定数据安全等级图1数据分级方法DB32/T5257—202587.2.4确定安全等级根据健康医疗数据安全性遭到破坏后对国家安全、社会公共利益、健康医疗数据控制者权益、个人健康医疗数据主体权益造成危害程度，健康医疗数据的安全等级分为四级（见表2具体如下：a）满足以下任一条件的数据，识别为四级数据或核心数据：1）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对国家安全造成严重危害或一般危害；2）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对社会公共利益造成严重危害。b）满足以下任一条件的数据，识别为三级数据或重要数据：1）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对国家安全造成轻微危害；2）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对社会公共利益造成一般危害或轻微危害；3）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对健康医疗数据控制者权益造成严重危害或一般危害；4）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对个人健康医疗数据主体权益造成严重危害或一般危害。c）一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，不会对国家安全、社会公共利益造成危害，会对健康医疗数据控制者权益、个人健康医疗数据主体权益造成轻微危害的数据，识别为二级数据。d）一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，不会对国家安全、社会公益、健康医疗数据控制者权益、个人健康医疗数据主体权益造成危害的数据，识别为一级数据。表2数据安全定级安全级别影响对象和影响程度国家安全社会公共利益健康医疗数据控制者权益个人健康医疗数据主体权益四级严重危害/一般危害严重危害——三级轻微危害一般危害/轻微危害严重危害/一般危害严重危害/一般危害二级无危害无危害轻微危害轻微危害一级无危害无危害无危害无危害7.3数据分类分级流程健康医疗数据控制者宜参考以下步骤开展数据分类分级工作：a）数据资产梳理：对本机构的所有数据资产进行全面梳理，包括以物理或电子形式记录的数据库表、数据项、数据文件等。数据资产梳理应注意以下事项：1）数据梳理应包括数据内容描述、数据量、保存位置、数据来源、数据处理情况、数据对外共享情况、数据防护措施等基本信息；2）应对重要业务流程进行分析，绘制业务流程图，明确各业务节点数据资产的访问对象、访问3）应对所有数据资源进行逻辑汇聚，合并后统一列表，形成数据资产列表；DB32/T5257—202594）应定期或动态选择时间重新进行梳理，确保新增、减少或改变的数据资产得到更新。b）实施数据分类：按照WS/T787对数据进行分类，确定数据分类结果；c）实施数据分级：按照数据分级方法（7.2.3在数据分类的基础上对数据进行分级和标识，形成初步的数据分级结果；d）评估和审核：对数据分级结果进行评估和审核；e）持续优化：根据业务应用的发展、安全风险以及监督管理要求等情况的变化，对数据分类分级方法、数据分类分级清单和标识等进行持续调整和动态更新；f）形成统一数据资产清单：内容应包括所属部门、所在系统、数据类型、安全等级、内容描述、数据理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施情况等。8数据分级保护8.1安全保护通用要求8.1.1平台安全8.1.1.1自建信息系统健康医疗数据控制者自建信息系统，应满足以下要求：a）一级数据：承载健康医疗数据的信息系统和网络设施应不低于等级保护一级要求；b）二级数据：承载健康医疗数据的信息系统和网络设施应不低于等级保护二级要求；c）三级、四级数据：承载健康医疗数据的信息系统和网络设施应不低于等级保护三级要求。8.1.1.2云平台采用云平台方式建设部署健康医疗信息系统，云上应用系统和云平台都应按照等级保护要求单独进行定级、备案、整改和测评，且满足以下要求：a）一级数据：承载健康医疗数据的云平台、云上应用系统应不低于等级保护一级要求；b）二级数据：承载健康医疗数据的云平台、云上应用系统应不低于等级保护二级要求；c）三级、四级数据：承载健康医疗数据的云平台、云上应用系统应不低于等级保护三级要求。8.1.2数据资产管理8.1.2.1一级数据一级数据资产管理，应满足以下要求：a）制定数据安全管理制度，明确数据处理的方针、原则和目标；b）明确数据安全管理部门及人员岗位职责，签订保密协议；c）通过技术工具执行数据资产更新和维护，建立便于查询的数据资产清单，并能及时更新数据资产相关信息。8.1.2.2二级数据在满足一级管控要求基础上，还应满足以下要求：a）基于主要数据安全风险建立覆盖数据处理活动的数据安全管理制度体系；b）制定数据安全策略和相关审批、操作规范和流程；DB32/T5257—2025c）定期开展全员数据安全意识培训和专项数据安全技术培训；d）制定数据安全应急预案并定期开展数据安全应急演练。在满足二级管控要求基础上，还应满足以下要求：a）定期开展数据安全风险评估和个人信息影响评估，及时发现和处理潜在的数据安全风险；b）定期对数据管理、数据处理和数据安全技术能力进行检查考核；c）对管理和处理重要数据、核心数据的人员进行审批和登记，定期进行安全审计、背景审查（如有8.1.3身份认证一级、二级数据身份认证，应满足以下要求：a）采用“口令认证”方式，对用户进行身份鉴别；b）建立统一的身份认证机制，对系统用户实现统一身份管理。8.1.3.2三级数据在满足一级、二级管控要求基础上，采用双因素或多因素认证技术，对用户进行身份鉴别。8.1.3.3四级数据在满足三级管控要求基础上，采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份认证。8.1.4访问控制8.1.4.1一级数据一级数据访问控制，应满足以下要求：a）建立基于角色的访问控制；b）建立统一的权限管理机制，实现系统用户的统一授权。在满足一级管控要求基础上，还应满足以下要求：a）对账号的开通、分配、使用、注销严格管理，按照业务需要赋予操作主体最小操作权限和最小数据集；b）建立基于属性的细粒度访问控制；c）细化数据资源的访问控制策略，如：访问主体具体到用户、应用程序、IP地址，客体具体到字段级等；d）定期对数据资源访问、操作权限及人员权限分配情况进行审计，防止非授权、越权访问和操作。8.1.4.3四级数据在满足二、三级管控要求基础上，建立零信任安全机制，实现所有用户的持续验证和动态授权。DB32/T5257—20258.1.5监控和审计一级、二级数据监控和审计，应满足以下要求：包括但不限于执行时间、操作地址、操作账号、操作内容、操作对象、授权情况等。定期对日志进行审计，确保数据正当使用；b）采取备份、权限控制等措施对日志进行保护，避免被非法删除、修改或破坏；c）采取技术措施对操作异常行为进行识别分析；d）日志保存期限不少于6个月。在满足一级、二级管控要求基础上，还应满足以下要求：发现、告警异常行为；b）采取流量监测、数据水印、区块链等追踪溯源措施，实现对数据的异常流量实时监测、溯源分析和追踪；c）采取异常或高风险数据操作自动识别、实时预警、自动阻断等措施。8.1.6接口安全8.1.6.1一级数据一级数据接口安全，应满足以下要求：a）对接口调用方进行身份鉴别；b）对接口调用数据进行合法性监测。在满足一级管控要求基础上，还应满足以下要求：a）数据接口具有异常处理能力，可对不安全输入参数进行限制和过滤；b）数据接口设定访问权限，限定访问数据范围，记录接口调用操作日志，定期进行安全审计；设计。8.1.7终端安全8.1.7.1一级数据终端应部署防病毒安全软件并定期更新升级。8.1.7.2二级数据在满足一级管控要求基础上，终端还应采取端口控制、接入鉴权等安全措施。在满足二级管控要求基础上，还应满足以下要求：DB32/T5257—2025防护；b）移动终端采取安全沙箱等增强安全措施，加强移动终端安全防护。8.2数据生命周期管控要求8.2.1采集管控8.2.1.1一级数据一级数据采集管控，应满足以下要求：a）明确数据采集源、采集范围、采集方式、采集周期和频率，规范采集流程和方法，留存授权记录，确保数据采集的合法性、必要性、正当性；b）按照最小必要原则采集数据，不得采集非必需以外数据；c）坚持“一数一源”原则，对于同一项数据有多个来源的情况，进行多源比对和校正；d）依据最小化原则实现采集账号认证及权限分配；e）对数据采集的来源、时间、类型、数量、频度、流向等信息进行日志记录，对数据流量实施限流控制；f）对采集设备进行安全管理，如对采集设备IP地址、端口访问进行限制；线下采集数据的存储介质要经过安全扫描、病毒查杀，确认安全之后再进行使用。8.2.1.2二级数据在满足一级数据采集管控要求基础上，还应满足以下要求：a）利用网站或App、公众号、小程序等信息系统采集个人信息时，要明显清晰地出示《用户协议》和《隐私政策》等协议文件，明确采集个人信息的目的、类型、安全保护措施等内容，并提供撤销个人信息授权的功能；b）在数据收集前，整理所涉及的软硬件工具、设备、系统、接口等并形成清单，经安全扫描、病毒查杀后供数据采集使用。8.2.1.3三级数据在满足二级数据采集管控要求基础上，数据采集过程应进行安全审计，审核数据来源、时间、类型、数量、频度、流向等信息，发现数据收集异常行为并及时告警。8.2.1.4四级数据在满足三级数据采集管控要求基础上，应部署流量监测设备，对数据收集行为进行实时监控，发现异常时能够及时终止数据收集。8.2.2传输管控8.2.2.1一级数据一级数据传输管控，应满足以下要求：a）数据传输过程中采用校验技术；b）对数据线下交互进行过程管控，防止数据被破坏、篡改。DB32/T5257—20258.2.2.2二级数据在满足一级数据传输管控要求基础上，还应满足以下要求：a）数据传输过程中采取安全传输协议；b）加强数据线下交互的过程管控，建立审批机制及操作流程，采取加密、脱敏、物理封装等防护手段。8.2.2.3三级数据在满足二级数据传输管控要求基础上，还应满足以下要求：a）采取数据加密、数据签名等措施，加密算法应符合国家密码管理相关要求；b）配备数据传输异常检测等安全手段，对陌生IP地址、数据库连接异常等情况进行监测并实时告警。8.2.2.4四级数据在满足三级数据传输管控要求基础上，还应满足以下要求：a）部署数据传输监测设备，及时告警并阻断违规传输；b）采用数据水印、区块链等技术，确保数据传输可溯源追踪。8.2.3存储管控8.2.3.1一级数据一级数据存储管控，应满足以下要求：a）建立本地数据备份与恢复机制，适时进行数据备份；b）建立开放可伸缩的存储架构，满足数据量持续增长的需要。8.2.3.2二级数据在满足一级数据存储管控要求基础上，还应满足以下要求：a）对数据存储核心设备进行硬件冗余，确保应急情况下可使用备份设备，保证系统高可用性；b）对不同安全等级的数据进行隔离存储，并设置严格的访问控制规则；c）重要业务系统具备数据实时备份和恢复机制。8.2.3.3三级数据在满足二级数据存储管控要求基础上，应采用国家密码管理部门核准的密码技术保证数据存储过程中的保密性。8.2.3.4四级数据在满足三级数据存储管控要求基础上，应建立异地数据备份与恢复机制。8.2.4使用管控8.2.4.1一级数据一级数据使用管控，应满足以下要求：a）对数据操作行为进行日志记录、审计与分析；DB32/T5257—2025b）对于系统间和后台数据的转移、导出行为，应通过管理和技术手段予以严格控制。8.2.4.2二级数据在满足一级数据使用管控要求基础上，还应满足以下要求：a）部署数据库审计系统，实时记录数据库活动，对数据库操作进行细粒度审计；b）部署堡垒机对数据运维、加工、使用进行集中管控和审计；c）将数据抽离生产环境用于开发、测试、分析、教学、培训等场景时，对数据进行去标识化处理；d）对数据下载、导出等敏感操作进行审批；e）采取数据库准入、动态脱敏等技术手段，防止数据泄露和越权访问。注：科研、运维场景数据使用管控措施参考附录B。8.2.4.3三级数据在满足二级数据使用管控要求基础上，还应满足以下要求：a）部署数据库防火墙，对数据库操作异常行为进行告警、阻断；b）针对个人信息、重要数据的访问、使用和展示，应结合业务需要进行脱敏处理；c）采用技术手段对数据使用、加工等过程进行监控，及时终止数据异常使用行为。8.2.4.4四级数据在满足三级数据使用管控要求基础上，还应满足以下要求：a）采取多人操作管理方式，确保单人无法拥有数据的完整操作权；b）采用持续验证和动态授权，如零信任技术等。8.2.5交换管控一级、二级数据交换管控，应满足以下要求：a）对共享数据的使用申请进行审批和授权；协议；c）建立数据共享的唯一通道，定义数据共享的字段、传输方式、服务接口，并对数据共享过程进行日志记录和审计。8.2.5.2三级数据在满足一、二级数据交换管控要求基础上，还应满足以下要求：a）自动识别个人信息、重要数据，并对其进行去标识化后再共享；确实需要个人信息共享时，应获得主体的授权同意，经审核批准后予以共享；b）采取技术措施对数据异常共享行为进行自动识别、实时预警和阻断。8.2.5.3四级数据在满足三级数据交换管控要求基础上，应采取可用不可见的方式共享数据。DB32/T5257—20258.2.6销毁管控8.2.6.1一级数据一级数据销毁管控，应建立数据销毁操作流程。8.2.6.2二级数据在满足一级数据销毁管控要求基础上，还应满足以下要求：a）建立数据销毁授权、审批机制，指定销毁责任人，并对销毁过程进行记录；b）采用数据覆写等不可逆方式销毁数据及其副本内容，确保不可还原。在满足二级数据销毁管控要求基础上，还应满足以下要求：a）设置销毁监督角色，监督销毁操作过程；b）对存储在本地的数据，应使用国家权威机构认证的销毁工具，采用不可恢复的技术手段销毁数据和存储介质；数据；d）云数据删除后，应采取多次覆写数据恢复测试、密钥销毁验证、销毁流程审计等手段对云数据销毁进行验证。DB32/T5257—2025（资料性）数据分级示例A.1根据数据重要程度分级示例健康医疗数据根据重要程度，分为核心数据、重要数据、一般数据。根据数据重要程度分级示例见表A.1根据数据重要程度分级示例安全级别数据定级要素重要程度影响描述示例数据公开共享影响对象影响程度四级国家安全严重危害/一般危害核心数据对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据，一旦被非法使用或共享，可能直接危害国家安全，给公共利益造成严重危害万人及以上敏感个人信息覆盖某一重要特定群体全部个体的数据，特定时期特定区域的群体数据加工生成的，对数据描述对象有较深刻画程度，且影响国家安全的衍生数据不公开共享公共利益严重危害三级国家安全轻微危害重要数据指特定领域、特定群体、特定区域达到一定精度和规模的数据，一旦被泄漏、篡改、损毁，可能对国家安全带来轻微影响，对公共利益带来一定危害或轻微危害10万人及以上敏感个人信息全国性的业务数据，如涉及10万人的群体健康生理状况数据；涉及据、医疗救援保障数据、特定药品实验数据等受限公开共享/领地公开共享公共利益一般危害/轻微危害根据数据敏感程度进行定级（影响健康医疗数据控制者/个人健康医疗数据主体权益）一般数据对健康医疗数据控制者、个人健康医疗数据主体权益造成影响和危害，但不会危害和影响国家安全、经济运行、社会稳定和公共利益一般个人信息或个人敏感信息，涉及部分省市人群的群体生理状况数据、诊疗数据等，健康医疗数据控制者的运营数据、收支财务数据、人力资源数据、设备运行数据等视情而定A.2根据数据敏感程度分级示例根据健康医疗数据遭到破坏后对健康医疗数据控制者权益、个人健康医疗数据主体权益可能造成的影响程度，将数据分为敏感数据、低敏感数据、不敏感数据。根据数据敏感程度分级示例见表A.2。DB32/T5257—2025表A.2根据数据敏感程度分级示例安全级别定级要素敏感程度数据描述示例数据公开共享影响对象影响程度一级健康医疗数据控制者权益无危害不敏感数据公众需要了解的信息需要向公众公开的信息，如剩余床位信息、剩余可就诊号源信息、医院位置信息、医院门诊科室分布信息、专家基本信息（不含个人敏感信息）等完全公开共享个人健康医疗数据主体权益无危害二级健康医疗数据控制者益轻微危害低敏感数据机构运行、生产相关的数据个人基本资料机构运营数据，如门诊人次、药品消耗等运营数据受限公开共享机构收支财务数据、设备运行数据等，机构人力资源数据（不含个人敏感信息）脱敏后的健康医疗数据，如不包含个人信息的病历数据，检验检查数据个人健康医疗数据主体权益轻微危害个人基本资料，如个人证件号码、庭关系、住址、个人电话号码、电子邮件地址等三级健康医疗数据控制者权益一般危害/严重危害敏感数据关的数据机构诊疗数据、医疗资源数据、医疗救援保障数据、特定药品实验数据、特定传染病数据等受限公开共享/领地公开共享个人健康医疗数据主体权益一般危害/严重危害一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害的个人敏感信息个人因生病医治等产生的相关记录，录、药物食物过敏信息、生育信息、病史、传染病史等个人生物识别信息，如指纹、声个人基因测序信息，如孕前基因检测数据、产前基因检测数据、胚胎染色体检测数据、癌症基因检测结果、基因测序数据、分子靶向药物治疗数据、代谢组多组学分析数据等个人家庭成员基因测试信息，如遗传性肿瘤基因检测数据等DB32/T5257—2025A.3HIS系统数据分级示例HIS系统是医院信息系统的核心组成部分，涵盖医院日常运营的各个方面，还包括对医院临床教学、科研、社会保健、医疗保险等任务的支持。通过HIS系统，医院对医疗活动各阶段产生的数据进行收集、使用、存储、加工和处理等操作。HIS系统数据分级示例见表A.3。表A.3HIS系统数据分级示例涉及的业务流程终端业务操作关联业务系统涉及数据类型及级别预约手机/电脑患者预约门诊微信公众号系统和小程序、互联网医院系统个人身份信息：二级/三级挂号挂号电脑/挂号机系统挂号、挂号缴费HIS个人身份信息：二级/三级医疗支付数据：三级分诊电脑分诊HIS、分诊叫号系统个人身份信息：二级/三级叫号电脑叫号分诊叫号系统个人身份信息：二级门诊诊疗医生工作站填写病历，开立医嘱（检验、等等）检查系统个人身份信息：二级/三级医疗应用数据：三级缴费收费电脑/缴费机根据医生的诊断结果核算完成缴费、出院结算HIS个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级电脑根据医生检验、检查医嘱，完成患者的检验、检查病理系统、集成平台个人身份信息：二级/三级医疗应用数据：三级取药药房电脑根据医生的处方单，完成患者的药品发放HIS个人身份信息：二级医疗应用数据：三级入院住院处入院安排、缴纳押金HIS个人身份信息：二级/三级医疗应用数据：三级医疗支付数据：三级住院诊疗住院医生工作站、护士工作站住院诊疗、护理病理系统、集成平台个人身份信息：二级/三级医疗应用数据：三级手术手术麻醉工作站手术安排、术程记录手术麻醉系统个人身份信息：二级/三级医疗应用数据：三级出院住院医生工作站、护士工作站出院通知、缴费结算HIS个人身份信息：二级/三级医疗应用数据：三级医疗支付数据：三级A.4集成平台数据分级示例集成平台是医疗信息系统互联互通的信息共享平台，实现院内系统间的数据共享与交换，支持跨机构医疗信息共享和业务协同。集成平台数据分级示例见表A.4。DB32/T5257—2025表A.4集成平台数据分级示例业务流程名称终端业务操作涉及科室关联业务系统可能涉及数据类型及级别数据收集数据采集前置机数据汇集信息科护理个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级数据查询电脑患者就诊信息查看、报告调阅、病历文书调阅、数据报表业务科室护理个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级数据分析服务器指标统计分析信息科护理个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级数据共享服务器数据上报、数据交换信息科护理个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级A.5第三方数据对接数据分级示例健康医疗数据控制者向政府部门、商业保险公司、银行等第三方机构提供相应数据，应确保数据对接的安全合规。第三方数据对接数据分级示例见表A.5。表A.5第三方数据对接数据分级示例应用场景可能涉及数据类型及级别商业保险公司获取参保人员就医记录一般个人信息：二级一般健康状况：三级门诊数据：三级医技数据：三级医保交易：三级政府数据上报敏感个人信息：三级一般个人信息：二级环境卫生数据：一级/二级传染病疫情数据：三级/四级疾病监测数据：三级/四级疾病预防数据：三级出生死亡数据：三级银行支付结算个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级DB32/T5257—2025A.6全民健康信息平台数据分级示例全民健康信息平台整合辖区内居民的医疗服务、健康档案、全员人口、妇幼保健、健康体检及公共卫生服务管理等数据，构建以居民健康全程记录为核心的区域健康医疗大数据中心，面向管理部门、医务人员、居民、科研人员及其他第三方机构提供多元化数据服务，实现健康医疗数据跨机构、跨部门的共享应用。全民健康信息平台数据分级示例见表A.6。表A.6全民健康信息平台数据分级示例业务流程名称角色终端业务操作涉及机构关联业务系统可能涉及数据类型及级别数据汇集全民健康信息平台数据采集前置机数据汇集医疗卫生机构、各级区域平台案管理系统、体检系统、公共卫生系统、计划免个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级/四级公共卫生数据：三级/四级数据整合全民健康信息平台平台核心库数据整合信息中心案管理系统、体检系统、公共卫生系统、计划免个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级/四级公共卫生数据：三级/四级卫生统计数据：二级人力资源数据：二级/三级数据编目全民健康信息平台平台核心库对数据资源进行编分级分类信息中心、业务处案管理系统、体检系统、公共卫生系统、计划免源、卫生统计等个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级/四级公共卫生数据：三级/四级卫生统计数据：二级人力资源数据：二级/三级数据查询数据操作员电脑业务数据查询信息中心、业务处全民健康信息平台个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级/四级公共卫生数据：三级/四级卫生统计数据：二级人力资源数据：二级/三级数据统计数据操作员电脑数据统计、信息中心、业务处全民健康信息平台个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级/四级公共卫生数据：三级/四级卫生统计数据：二级人力资源数据：二级/三级DB32/T5257—2025表A.6全民健康信息平台数据分级示例（续）业务流程名称角色终端业务操作涉及机构关联业务系统可能涉及数据类型及级别数据共享数据操作员电脑数据发布、共享信息中心、业务处机构、其他政府部门及第三方合作单全民健康信息平台个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级/四级公共卫生数据：三级/四级卫生统计数据：二级人力资源数据：二级/三级健康档案调阅等移动终端查看居民全生命周期健康医疗数据生机构全民健康信息信小程序等个人身份信息：二级/三级医疗支付数据：三级医疗应用数据：三级公共卫生数据：三级重复检查检验提醒医生电脑判断患者是否存在重复检查检验医疗卫生机构HIS、全民健康信息平台医疗应用数据：二级/三级数据修正数据操作批员对历史数据进行修信息中心全民健康信息平台所有数据DB32/T5257—2025（资料性）业务场景B.1科研平台业务场景B.1.1科研平台概述科研平台整合多源健康医疗数据，提供智能分析工具，运用大数据与人工智能技术，开展多维度关联分析与深度挖掘，支撑疾病预测、疗效评估等研究，加速科研成果转化。B.1.2科研平台数据分级示例科研平台数据分级示例见表B.1。表B.1科研平台数据分级示例序号通用场景可能涉及数据类型及级别1临床科研、课题、医学论文获取临床数据卫生资源与全员人口数据：敏感个人信息（三级/四级）、个人健康状况（三级/四级）数据（三级）、传染病疫情数据（三级/四级）、疾病预防数据（三级）卫生资源与全员人口数据：出生死亡数据（三级）2临床教学获取临床数据3临床药物试验（CRO）4其他医学研究B.1.3科研平台数据安全管理机制B.1.3.1数据准备数据管理者应编制数据资源目录，并提供数据描述。B.1.3.2数据申请a）申请者提交数据资源申请，申请信息包括数据信息、申请条件与范围、数据使用要求与责任等；b）数据管理者应对数据申请者的身份进行限制。以科研目的申请数据资源的，应限定申请者为研究人员、在其研究领域有丰富经验和专业知识等；c）数据管理者应对申请渠道进行限制。申请者应以单位名义进行申请，并提供单位审核意见；d）数据管理者应规范数据使用目的，明确数据仅可用于科研分析。申请者应有课题立项，且通过伦理审查（如有必要申请的数据应与研究主题紧密相关，满足最少必要原则；e）数据管理者应对申请人的历史申请记录进行核查，防止数据分批分期泄漏。B.1.3.3数据审批a）数据管理者应成立专业数据申请审批机构，审批人员宜专业，构成合理。如建立审批专家库，按专业随机抽取；DB32/T5257—2025b）制定数据审