DB32∕T 5257-2025 健康医疗数据安全管理规范

ICS35240

CCSC07

!7,



DB32/T5257—2025

健康医疗数据安全管理规范

Specificationforsecuritymanagementofhealthdata

2025⁃10⁃30发布2025⁃11⁃30实施

江苏省市场监督管理局发布

中国标准出版社出版

DB32/T5257—2025

目次

前言……………………………Ⅲ

1范围…………………………1

2规范性引用文件……………1

3术语和定义…………………1

4缩略语………………………2

5总体要求……………………3

6数据安全管理基础工作……………………3

7数据分类分级………………5

8数据分级保护………………9

附录A（资料性）数据分级示例……………16

附录B（资料性）业务场景…………………22

参考文献………………………25

Ⅰ

DB32/T5257—2025

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由江苏省卫生健康委员会提出并组织实施。

本文件由江苏省卫生健康标准化技术委员会归口。

本文件起草单位：江苏省卫生健康信息中心（江苏省中医药信息中心）、无锡市卫生健康统计信息

中心、苏州市卫生健康信息中心、江苏省中医院、镇江市第一人民医院、苏州大学附属儿童医院、江苏瑞新

信息技术股份有限公司、北京天融信网络安全技术有限公司、杭州美创科技股份有限公司。

本文件主要起草人：张国明、唐凯、陆家发、朱沥沥、韦小强、管正涛、刘云、鞠鑫、解明、杨雪蓉、袁元、

诸俊、刘健、王忠民、刘方斌、尹君、郑永春、张俊杰、赵亚、姚永刚、张国、叶骏、李洪伟、杨岁立。

Ⅲ

DB32/T5257—2025

健康医疗数据安全管理规范

1范围

本文件规定了健康医疗数据的安全管理基础工作、分类分级和分级保护的要求。

本文件适用于指导健康医疗数据控制者规范开展健康医疗数据安全管理，并为监督部门、评估机构

等开展数据安全监督检查和评估提供技术依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

WS/T787国家卫生信息资源分类与编码管理规范

3术语和定义

下列术语和定义适用于本文件。

3.1

个人健康医疗数据personalhealthdata

单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子

数据。

注：个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务、公共卫生服务和支

付的医疗保健服务费用等。

［来源：GB/T39725—2020，3.1］

3.2

健康医疗数据healthdata

个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。

示例：经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。

［来源：GB/T39725—2020，3.2］

3.3

重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国

家安全、经济运行、社会稳定、公共健康和安全的数据。

示例：涉及100万人及以上个人信息或10万人及以上敏感个人信息；

全国性的业务数据，如涉及10万人的群体健康生理状况数据；涉及1万人的族群生物特征数据、医疗资源数

据；涉及10万人的诊疗数据、医疗救援保障数据、特定药品实验数据等。

注：仅影响组织自身或公民个体的数据，一般不作为重要数据。

［来源：GB/T43697—2024，3.2］

1

DB32/T5257—2025

3.4

核心数据coredata

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共

享，可能直接影响政治安全的重要数据。

示例：1000万人及以上个人信息或100万人及以上敏感个人信息；

覆盖某一重要特定群体全部个体的数据，特定时期特定区域的群体数据；

涉及1000万人及以上，经过计算加工生成的，对数据描述对象有较深刻画程度，且影响国家安全的衍生数据。

注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有

关部门评估确定的其他数据。

［来源：GB/T43697—2024，3.3］

3.5

一般数据generaldata

核心数据、重要数据之外的其他数据。

［来源：GB/T43697—2024，3.4］

3.6

完全公开共享completelypublicsharing

数据一旦发布，很难召回，一般通过互联网直接公开发布。

注：在卫生健康行业，指通过互联网直接公开发布，公开共享给所有医疗卫生体系机构或其他机构、公众。

［来源：GB/T37964—2019，3.12］

3.7

受控公开共享controlledpublicsharing

通过数据使用协议对数据的使用进行约束。

注：在卫生健康行业，指取得医疗卫生相关机构或卫生健康主管部门授权许可，通过数据使用协议对数据使用进行约

束，共享给相关医疗卫生体系机构或其他机构。

［来源：GB/T37964—2019，3.13］

3.8

领地公开共享enclavepublicsharing

在物理或虚拟的领地范围内共享，数据不能流出到领地范围外。

注：在卫生健康行业，指取得医疗卫生相关机构或卫生健康主管部门授权许可，在物理或虚拟领地范围内共享给相关

医疗卫生体系机构或其他机构，数据不能流出领地范围外。

［来源：GB/T37964—2019，3.14］

3.9

健康医疗数据控制者healthdatacontroller

能够决定健康医疗数据处理目的、方式及范围等的组织或个人。

示例：提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等。

［来源：GB/T39725—2020，3.5］

4缩略语

下列缩略语适用于本文件。

APP：应用程序（Application）

ECGIS：电生理信息管理系统（ElectrophysiologicalInformationManagementSystem）

EMR：电子病历（ElectronicMedicalRecord）

2

DB32/T5257—2025

HIS：医院信息系统（HospitalInformationSystem）

IDC：互联网数据中心（InternetDataCenter）

LIS：实验室（检验）信息系统（LaboratoryInformationSystem）

PACS：影像归档和通信系统（PictureArchivingandCommunicationSystem）

RIS：放射科信息管理系统（RadiologyInformationSystem）

5总体要求

健康医疗数据控制者应采取合理和适当的管理与技术保障措施以满足以下要求：

a）健康医疗数据的保密性、完整性和可用性；

b）健康医疗数据采集、使用和披露过程的合法性和合规性，保护个人信息安全、公众利益和国家

安全；

c）健康医疗数据在符合上述安全要求的前提下满足业务发展需求。

6数据安全管理基础工作

6.1组织架构

健康医疗数据控制者应建立数据安全管理团队，包括决策层、管理层、执行层和监督层，各层级主要

任务如下。

a）决策层：全面负责健康医疗数据安全工作，制定数据分类分级和安全保护的总体规划、策略、方

针、目标、原则等；统筹、决策数据安全重大事项，审核发布数据安全管理制度、规范、标准和

流程。

b）管理层：按照决策层议定的工作目标和要求，开展数据分类分级保护工作，落实各项数据安全保

护措施，组织开展各类数据安全事件的防范和处置；制订修订数据分类分级保护的相关制度、规

范、标准、流程，建立健全数据分类分级管理责任制和考核评价机制，制定数据使用审批流程以

及去标识化策略和流程，组织开展风险评估、合规评估、应急演练和教育培训。

c）执行层：按照管理层制定的制度、规范、标准、流程开展数据分类分级保护具体工作，负责数据全

生命周期的保护和管理，配合管理层对网络和数据安全事件进行处置。

d）监督层：配合网络安全监管部门或卫生健康主管部门进行数据安全审计和检查；定期组织开展

数据安全审计，形成审计报告；对数据安全相关的制度、规范、标准、流程落实情况进行检查，对

发现的问题进行督促整改。

6.2制度建设

6.2.1应依据数据安全法规标准、网络安全监管部门和卫生健康主管部门的相关要求，结合机构自身风

险管控策略，制定本机构数据安全的总体目标、原则和策略。

6.2.2应制订数据安全管理制度及实施细则，包括但不限于人员管理、资产管理、安全审计、公开共享、安

全评估、应急管理、合作管理、检查考核、出境管理、安全培训等，并定期修订更新。

6.2.3应结合网络安全工作责任制落实，建立数据安全管理体系和评价考核机制。

6.3人员管理

6.3.1应建立包括决策、管理、执行和监督四个层级的数据安全管理组织，明确各层级岗位人员和职责。

6.3.2应明确数据安全管理责任部门和责任人，指导协调各相关部门开展数据安全工作。

6.3.3应设立数据管理员、审计员、安全员等岗位，不可兼任，明确相应职责。

3

DB32/T5257—2025

6.3.4应制定数据安全管理人员考核、选拔、上岗、调岗、离岗等相关规定，并明确数据安全重要岗位轮

岗、权限分离、多人共管、离岗审计等安全管理要求。

6.3.5应制定员工、外部人员或第三方人员管理规定，对接触个人信息、重要数据、核心数据的人员进行

审批和登记，进行背景审查（如有必要），签署保密协议。

6.3.6员工、外部人员或第三方人员离岗时，应立即收回相关人员的账号和权限，并进行离岗安全审计。

6.4资产管理

6.4.1应制定数据资产分类分级方法、流程，以及分类分级变更审批流程。

6.4.2应指定专人负责数据资产管理工作，完善数据基本信息，形成真实、完整、详细的数据资产清单。

6.4.3当数据发生新增、修改、删除等变动时，应及时同步更新数据资产清单。

6.4.4应将数据资产分类分级材料上报卫生健康主管部门备案。

6.4.5应将数据资产公开共享材料上报卫生健康主管部门备案。

6.4.6应定期评审数据的类别和级别，根据变更审批流程执行变更。

6.4.7应划分一般数据、重要数据、核心数据范围，明确数据脱敏、去标识化的策略、场景和流程。

6.5安全审计

6.5.1应对数据收集、传输、存储、使用、加工、提供、公开、销毁等数据处理进行日志记录，记录信息包括

但不限于执行时间、操作地点、操作人、操作账号、处理方式、处理结果、授权情况、登录信息等。

6.5.2应定期开展数据安全审计，审计内容包括但不限于内部权限控制、数据流动跟踪、数据安全事件、

数据安全防护措施有效性等，形成数据安全审计报告，及时整改发现的问题。

6.6公开共享

6.6.1数据公开共享的目的、内容、期限、程度、方式等应经评估审批。

6.6.2数据共享应明确使用方的安全责任、安全措施等，并签署相应的协议。

6.7安全评估

6.7.1应定期组织开展数据安全风险评估、合规评估。

6.7.2应在提供、委托处理、共同处理个人信息、重要数据前进行风险评估。

6.7.3应在信息系统或数据级别发生重大变更后，及时对数据安全保护情况进行评估。

6.8应急管理

6.8.1应制定数据安全事件应急预案，定义数据安全事件级别，明确数据安全事件的处置流程、人员分

工，包括但不限于事件分级、组织体系、监测预警、应急处置、调查评估、日常预防和保障措施等内容。

6.8.2在数据安全事件发生后，应按应急预案进行处置；事件处置完成后及时按规定向有关部门报告事

件情况，内容至少包括：事件描述、原因和影响分析，处置方式、过程和结果，经验总结和改进措施等。

6.8.3应组建数据安全应急支撑队伍、专家团队，保障数据安全事件得到及时有效处置。

6.8.4应定期对应急预案进行修订，每年至少组织1次应急演练。

6.9合作管理

6.9.1应对合作方的资质背景、业务合法性、数据安全保护能力等进行审查和评估，确保其业务符合法律

法规并具备数据安全防护能力。

6.9.2应与合作方以合同、协议方式明确其承担的数据安全保护责任和义务，明确数据使用目的、权限、

范围、用途、安全保密要求以及追责措施。

4

DB32/T5257—2025

6.9.3应建立合作方退出机制，确保合作方在退出后对获取的数据及相关衍生数据进行及时、有效销毁，

避免数据被非法获取、非法利用等。

6.9.4应通过技术和管理手段，定期对合作方的数据安全保护落实情况进行确认，一旦发现违反双方约

定应立即终止合作，避免因合作方的接入危害数据安全。

6.9.5应定期对合作过程进行数据安全风险评估，避免数据遭到篡改、破坏、泄露、丢失、转移或者被非法

获取、非法利用等。

6.10检查考核

6.10.1应将数据安全相关制度、策略、流程的落实情况纳入本机构年度考核范围，对落实、整改不力的进

行处理。

6.10.2应定期进行数据安全检查，形成检查报告；检查内容包括但不限于安全管理制度落实情况、安全

策略执行情况、数据安全防护状况等。

6.10.3应积极接受并主动配合网络安全监管部门、卫生健康主管部门对本机构数据安全落实情况的检

查和审计，及时整改发现的问题。

6.11出境管理

6.11.1应制定数据跨境传输业务处理流程和数据跨境传输审批制度，明确数据出境安全策略、管理制度

和管控措施。

6.11.2应具备数据出境安全监测能力，加强数据出境安全风险防范和处置，及时告警并阻断违规传输行为。

6.12安全培训

6.12.1应定期组织本机构全员培训，内容应包含但不限于信息安全法律法规宣传、管理制度宣贯、安全

意识培养等课程。

6.12.2应定期组织本机构数据安全管理团队成员培训，内容应包含但不限于数据分类分级、数据安全风

险评估、数据安全技术防护等课程。

7数据分类分级

7.1数据分类

健康医疗数据在实际分类中，按照WS/T787进行分类。

7.2数据分级

7.2.1分级原则

健康医疗数据分级在遵循国家和行业领域数据分级原则的基础上，还宜遵循以下原则：

a）时效性原则：数据的分级具有一定的时效性，在不同的应用场景下，数据的级别也会发生变化；

b）自主性原则：根据卫生健康行业数据安全管理需要，例如业务需要、对风险的接受程度等，按照

数据分级方法自主确定数据层级，但不应将高安全级别数据定级为低安全级别；

c）就高从严原则：不同级别的数据被同时处理、应用且无法精细化管控时，应按照其中级别最高的

要求来实施保护；

d）关联叠加原则：对非敏感数据关联后可能产生敏感数据的场景，关联后的数据级别应高于原数

据级别。

5

DB32/T5257—2025

7.2.2数据影响分析

7.2.2.1影响对象

健康医疗数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用后，受到危害影响的

对象主要包括国家安全、社会公共利益、健康医疗数据控制者权益、个人健康医疗数据主体权益四个对

象，具体如下：

a）对国家安全的影响：对国家的政治安全、军事安全、社会安全、科技安全、生物安全、生态安全、网

络安全、空间安全等造成影响和危害；

b）对社会公共利益的影响：影响社会公众使用公共服务、公共设施、公共资源或危害公共健康安

全等；

c）对健康医疗数据控制者权益的影响：对健康医疗数据控制者的生产运营、声誉形象、公信力、知

识产权、财产权等权益造成影响和危害；

d）对个人健康医疗数据主体权益的影响：影响自然人的人身权、财产权、隐私权、个人信息权益等

个人权益。

7.2.2.2影响程度

健康医疗数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用后，对不同对象的影

响程度从高到低分为严重危害、一般危害、轻微危害和无危害。表1给出了针对各个影响对象的影响程

度描述参考。

表1影响程度参考表

影响对象影响程度参考说明影响程度

直接影响国家政治安全，或对国土、军事、社会、科技、生物、生态、网络等安全造

严重危害

成严重威胁

国家安全对国土、军事、社会、科技、生物、生态、网络等安全造成一定威胁一般危害

对国土、军事、社会、科技、生物、生态、网络等安全造成轻微威胁和影响轻微危害

无影响无危害

导致多个省市部分地区的社会公共资源供应瘫痪，大范围社会成员无法使用公

共设施、获取公共资源、接受公共服务。直接危害公共健康和安全，或导致重大严重危害

突发公共卫生事件

社会公共导致一个或多个地市部分地区的社会公共资源供应中断，一定范围社会成员无

利益法使用公共设施、获取公共资源、接受公共服务。对公共健康和安全产生一定危一般危害

害，或导致突发公共卫生事件

影响小范围社会成员使用公共设施、获取公共资源、接受公共服务等轻微危害

无影响无危害

导致全部或大部分业务无法开展，造成严重经济损失；对健康医疗数据控制者利

严重危害

益和声誉构成严重威胁，对用户信任度造成严重影响

健康医疗导致部分业务一段时间内无法开展，造成一定程度的经济损失；对健康医疗数据

一般危害

数据控制者权益控制者利益和声誉构成一定程度威胁，对用户信任度造成一定程度影响

导致个别业务短时间无法开展，造成轻微损失，不影响主要或关键业务稳定开展轻微危害

无影响无危害

6

DB32/T5257—2025

表1影响程度参考表（续）

影响对象影响程度参考说明影响程度

导致个人遭受到重大的、不可消除的、可能无法克服的影响，个人的人格尊严受

到严重侵害或者人身、财产安全受到严重危害，如遭受无法承担的债务、失去工严重危害

作能力、导致长期的心理或生理疾病、导致死亡等

导致个人人格尊严或人身、财产安全遭受到较大影响和危害，克服难度高，消除

个人健康医疗数据

影响代价大，如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉一般危害

主体权益

受损、被歧视、被解雇、被法院传唤、健康状况恶化等

导致个人遭受到轻微影响和危害，如付出额外成本、无法使用应提供的服务、造

轻微危害

成误解、产生害怕紧张等情绪、导致较轻的心理或生理疾病等

无影响无危害

7.2.3分级方法

在数据分类的基础上，健康医疗数据应根据影响对象与影响程度两个要素进行分级。数据分级的方

法如下（见图1）：

a）确定分级对象：确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等；

注1：数据项通常表现为数据库表某一列字段等。数据集是由多个数据记录组成的集合，如数据库表、数据库一行或

多行记录集合、数据文件等。

注2：跨行业领域数据通常是某个行业领域收集或产生的数据流转到另一个行业领域，以及两个或两个以上行业领

域的数据融合加工产生的数据。

b）数据影响分析：分析数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，可能

影响的对象（见7.2.2.1）和影响程度（见7.2.2.2）；

c）综合确定级别：根据数据被篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用后造成的影

响，确定数据安全等级（分级示例参见附录A）。

-

3A



=-





=-



*

=-



.

+E+



5+E+

*+E+

4@

=-

+

-03

图1数据分级方法

7

DB32/T5257—2025

7.2.4确定安全等级

根据健康医疗数据安全性遭到破坏后对国家安全、社会公共利益、健康医疗数据控制者权益、个人健

康医疗数据主体权益造成危害程度，健康医疗数据的安全等级分为四级（见表2），具体如下：

a）满足以下任一条件的数据，识别为四级数据或核心数据：

1）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对国家安全造

成严重危害或一般危害；

2）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对社会公共利

益造成严重危害。

b）满足以下任一条件的数据，识别为三级数据或重要数据：

1）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对国家安全造

成轻微危害；

2）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对社会公共利

益造成一般危害或轻微危害；

3）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对健康医疗数

据控制者权益造成严重危害或一般危害；

4）数据一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，直接对个人健康医

疗数据主体权益造成严重危害或一般危害。

c）一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，不会对国家安全、社会公共利

益造成危害，会对健康医疗数据控制者权益、个人健康医疗数据主体权益造成轻微危害的数据，

识别为二级数据。

d）一旦遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用，不会对国家安全、社会公共利

益、健康医疗数据控制者权益、个人健康医疗数据主体权益造成危害的数据，识别为一级数据。

表2数据安全定级

影响对象和影响程度

安全级别

国家安全社会公共利益健康医疗数据控制者权益个人健康医疗数据主体权益

四级严重危害/一般危害严重危害——

三级轻微危害一般危害/轻微危害严重危害/一般危害严重危害/一般危害

二级无危害无危害轻微危害轻微危害

一级无危害无危害无危害无危害

7.3数据分类分级流程

健康医疗数据控制者宜参考以下步骤开展数据分类分级工作：

a）数据资产梳理：对本机构的所有数据资产进行全面梳理，包括以物理或电子形式记录的数据库

表、数据项、数据文件等。数据资产梳理应注意以下事项：

1）数据梳理应包括数据内容描述、数据量、保存位置、数据来源、数据处理情况、数据对外共享

情况、数据防护措施等基本信息；

2）应对重要业务流程进行分析，绘制业务流程图，明确各业务节点数据资产的访问对象、访问

权限、处理单元、存储单元、传输单元等；

3）应对所有数据资源进行逻辑汇聚，合并后统一列表，形成数据资产列表；

8

DB32/T5257—2025

4）应定期或动态选择时间重新进行梳理，确保新增、减少或改变的数据资产得到更新。

b）实施数据分类：按照WS/T787对数据进行分类，确定数据分类结果；

c）实施数据分级：按照数据分级方法（7.2.3），在数据分类的基础上对数据进行分级和标识，形成初

步的数据分级结果；

d）评估和审核：对数据分级结果进行评估和审核；

e）持续优化：根据业务应用的发展、安全风险以及监督管理要求等情况的变化，对数据分类分级方

法、数据分类分级清单和标识等进行持续调整和动态更新；

f）形成统一数据资产清单：内容应包括所属部门、所在系统、数据类型、安全等级、内容描述、数据

量、保存位置、保存期限、备份情况（备份地点、备份方式）、数据处理情况（数据处理目的、数据处

理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环

节安全措施情况等。

8数据分级保护

8.1安全保护通用要求

8.1.1平台安全

8.1.1.1自建信息系统

健康医疗数据控制者自建信息系统，应满足以下要求：

a）一级数据：承载健康医疗数据的信息系统和网络设施应不低于等级保护一级要求；

b）二级数据：承载健康医疗数据的信息系统和网络设施应不低于等级保护二级要求；

c）三级、四级数据：承载健康医疗数据的信息系统和网络设施应不低于等级保护三级要求。

8.1.1.2云平台

采用云平台方式建设部署健康医疗信息系统，云上应用系统和云平台都应按照等级保护要求单独进

行定级、备案、整改和测评，且满足以下要求：

a）一级数据：承载健康医疗数据的云平台、云上应用系统应不低于等级保护一级要求；

b）二级数据：承载健康医疗数据的云平台、云上应用系统应不低于等级保护二级要求；

c）三级、四级数据：承载健康医疗数据的云平台、云上应用系统应不低于等级保护三级要求。

8.1.2数据资产管理

8.1.2.1一级数据

一级数据资产管理，应满足以下要求：

a）制定数据安全管理制度，明确数据处理的方针、原则和目标；

b）明确数据安全管理部门及人员岗位职责，签订保密协议；

c）通过技术工具执行数据资产更新和维护，建立便于查询的数据资产清单，并能及时更新数据资

产相关信息。

8.1.2.2二级数据

在满足一级管控要求基础上，还应满足以下要求：

a）基于主要数据安全风险建立覆盖数据处理活动的数据安全管理制度体系；

b）制定数据安全策略和相关审批、操作规范和流程；

9

DB32/T5257—2025

c）定期开展全员数据安全意识培训和专项数据安全技术培训；

d）制定数据安全应急预案并定期开展数据安全应急演练。

8.1.2.3三级、四级数据

在满足二级管控要求基础上，还应满足以下要求：

a）定期开展数据安全风险评估和个人信息影响评估，及时发现和处理潜在的数据安全风险；

b）定期对数据管理、数据处理和数据安全技术能力进行检查考核；

c）对管理和处理重要数据、核心数据的人员进行审批和登记，定期进行安全审计、背景审查（如有

必要）。

8.1.3身份认证

8.1.3.1一级、二级数据

一级、二级数据身份认证，应满足以下要求：

a）采用“口令认证”方式，对用户进行身份鉴别；

b）建立统一的身份认证机制，对系统用户实现统一身份管理。

8.1.3.2三级数据

在满足一级、二级管控要求基础上，采用双因素或多因素认证技术，对用户进行身份鉴别。

8.1.3.3四级数据

在满足三级管控要求基础上，采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用

户进行身份认证。

8.1.4访问控制

8.1.4.1一级数据

一级数据访问控制，应满足以下要求：

a）建立基于角色的访问控制；

b）建立统一的权限管理机制，实现系统用户的统一授权。

8.1.4.2二级、三级数据

在满足一级管控要求基础上，还应满足以下要求：

a）对账号的开通、分配、使用、注销严格管理，按照业务需要赋予操作主体最小操作权限和最小数

据集；

b）建立基于属性的细粒度访问控制；

c）细化数据资源的访问控制策略，如：访问主体具体到用户、应用程序、IP地址，客体具体到字段

级等；

d）定期对数据资源访问、操作权限及人员权限分配情况进行审计，防止非授权、越权访问和操作。

8.1.4.3四级数据

在满足二、三级管控要求基础上，建立零信任安全机制，实现所有用户的持续验证和动态授权。

10

DB32/T5257—2025

8.1.5监控和审计

8.1.5.1一级、二级数据

一级、二级数据监控和审计，应满足以下要求：

a）对数据收集、传输、存储、使用、加工、提供、公开、销毁等环节操作行为进行日志记录，记录内容

包括但不限于执行时间、操作地址、操作账号、操作内容、操作对象、授权情况等。定期对日志进

行审计，确保数据正当使用；

b）采取备份、权限控制等措施对日志进行保护，避免被非法删除、修改或破坏；

c）采取技术措施对操作异常行为进行识别分析；

d）日志保存期限不少于6个月。

8.1.5.2三级、四级数据

在满足一级、二级管控要求基础上，还应满足以下要求：

a）采取技术措施，对数据收集、传输、存储、使用、加工、提供、公开、销毁等环节进行实时监测，及时

发现、告警异常行为；

b）采取流量监测、数据水印、区块链等追踪溯源措施，实现对数据的异常流量实时监测、溯源分析

和追踪；

c）采取异常或高风险数据操作自动识别、实时预警、自动阻断等措施。

8.1.6接口安全

8.1.6.1一级数据

一级数据接口安全，应满足以下要求：

a）对接口调用方进行身份鉴别；

b）对接口调用数据进行合法性监测。

8.1.6.2二级、三级、四级数据

在满足一级管控要求基础上，还应满足以下要求：

a）数据接口具有异常处理能力，可对不安全输入参数进行限制和过滤；

b）数据接口设定访问权限，限定访问数据范围，记录接口调用操作日志，定期进行安全审计；

c）数据接口具备防安全漏洞设计，如防伪装攻击、防篡改攻击、防重放攻击、防数据泄露等安全

设计。

8.1.7终端安全

8.1.7.1一级数据

终端应部署防病毒安全软件并定期更新升级。

8.1.7.2二级数据

在满足一级管控要求基础上，终端还应采取端口控制、接入鉴权等安全措施。

8.1.7.3三级、四级数据

在满足二级管控要求基础上，还应满足以下要求：

11

DB32/T5257—2025

a）部署终端数据防泄露系统，采取敏感数据识别、非法行为阻断、安全审计等措施进行监控和

防护；

b）移动终端采取安全沙箱等增强安全措施，加强移动终端安全防护。

8.2数据生命周期管控要求

8.2.1采集管控

8.2.1.1一级数据

一级数据采集管控，应满足以下要求：

a）明确数据采集源、采集范围、采集方式、采集周期和频率，规范采集流程和方法，留存授权记录，

确保数据采集的合法性、必要性、正当性；

b）按照最小必要原则采集数据，不得采集非必需以外数据；

c）坚持“一数一源”原则，对于同一项数据有多个来源的情况，进行多源比对和校正；

d）依据最小化原则实现采集账号认证及权限分配；

e）对数据采集的来源、时间、类型、数量、频度、流向等信息进行日志记录，对数据流量实施限流

控制；

f）对采集设备进行安全管理，如对采集设备IP地址、端口访问进行限制；线下采集数据的存储介质

要经过安全扫描、病毒查杀，确认安全之后再进行使用。

8.2.1.2二级数据

在满足一级数据采集管控要求基础上，还应满足以下要求：

a）利用网站或App、公众号、小程序等信息系统采集个人信息时，要明显清晰地出示《用户协议》和

《隐私政策》等协议文件，明确采集个人信息的目的、类型、安全保护措施等内容，并提供撤销个

人信息授权的功能；

b）在数据收集前，整理所涉及的软硬件工具、设备、系统、接口等并形成清单，经安全扫描、病毒查

杀后供数据采集使用。

8.2.1.3三级数据

在满足二级数据采集管控要求基础上，数据采集过程应进行安全审计，审核数据来源、时间、类型、数

量、频度、流向等信息，发现数据收集异常行为并及时告警。

8.2.1.4四级数据

在满足三级数据采集管控要求基础上，应部署流量监测设备，对数据收集行为进行实时监控，发现异

常时能够及时终止数据收集。

8.2.2传输管控

8.2.2.1一级数据

一级数据传输管控，应满足以下要求：

a）数据传输过程中采用校验技术；

b）对数据线下交互进行过程管控，防止数据被破坏、篡改。

12

DB32/T5257—2025

8.2.2.2二级数据

在满足一级数据传输管控要求基础上，还应满足以下要求：

a）数据传输过程中采取安全传输协议；

b）加强数据线下交互的过程管控，建立审批机制及操作流程，采取加密、脱敏、物理封装等防护

手段。

8.2.2.3三级数据

在满足二级数据传输管控要求基础上，还应满足以下要求：

a）采取数据加密、数据签名等措施，加密算法应符合国家密码管理相关要求；

b）配备数据传输异常检测等安全手段，对陌生IP地址、数据库连接异常等情况进行监测并实时

告警。

8.2.2.4四级数据

在满足三级数据传输管控要求基础上，还应满足以下要求：

a）部署数据传输监测设备，及时告警并阻断违规传输；

b）采用数据水印、区块链等技术，确保数据传输可溯源追踪。

8.2.3存储管控

8.2.3.1一级数据

一级数据存储管控，应满足以下要求：

a）建立本地数据备份与恢复机制，适时进行数据备份；

b）建立开放可伸缩的存储架构，满足数据量持续增长的需要。

8.2.3.2二级数据

在满足一级数据存储管控要求基础上，还应满足以下要求：

a）对数据存储核心设备进行硬件冗余，确保应急情况下可使用备份设备，保证系统高可用性；

b）对不同安全等级的数据进行隔离存储，并设置严格的访问控制规则；

c）重要业务系统具备数据实时备份和恢复机制。

8.2.3.3三级数据

在满足二级数据存储管控要求基础上，应采用国家密码管理部门核准的密码技术保证数据存储过程

中的保密性。

8.2.3.4四级数据

在满足三级数据存储管控要求基础上，应建立异地数据备份与恢复机制。

8.2.4使用管控

8.2.4.1一级数据

一级数据使用管控，应满足以下要求：

a）对数据操作行为进行日志记录、审计与分析；

13

DB32/T5257—2025

b）对于系统间和后台数据的转移、导出行为，应通过管理和技术手段予以严格控制。

8.2.4.2二级数据

在满足一级数据使用管控要求基础上，还应满足以下要求：

a）部署数据库审计系统，实时记录数据库活动，对数据库操作进行细粒度审计；

b）部署堡垒机对数据运维、加工、使用进行集中管控和审计；

c）将数据抽离生产环境用于开发、测试、分析、教学、培训等场景时，对数据进行去标识化处理；

d）对数据下载、导出等敏感操作进行审批；

e）采取数据库准入、动态脱敏等技术手段，防止数据泄露和越权访问。

注：科研、运维场景数据使用管控措施参考附录B。

8.2.4.3三级数据

在满足二级数据使用管控要求基础上，还应满足以下要求：

a）部署数据库防火墙，对数据库操作异常行为进行告警、阻断；

b）针对个人信息、重要数据的访问、使用和展示，应结合业务需要进行脱敏处理；

c）采用技术手段对数据使用、加工等过程进行监控，及时终止数据异常使用行为。

8.2.4.4四级数据

在满足三级数据使用管控要求基础上，还应满足以下要求：

a）采取多人操作管理方式，确保单人无法拥有数据的完整操作权；

b）采用持续验证和动态授权，如零信任技术等。

8.2.5交换管控

8.2.5.1一级、二级数据

一级、二级数据交换管控，应满足以下要求：

a）对共享数据的使用申请进行审批和授权；

b）明确数据共享的范围、类别、条件、期限等，留存数据提供记录，并签订关于数据共享的书面

协议；

c）建立数据共享的唯一通道，定义数据共享的字段、传输方式、服务接口，并对数据共享过程进行

日志记录和审计。

8.2.5.2三级数据

在满足一、二级数据交换管控要求基础上，还应满足以下要求：

a）自动识别个人信息、重要数据，并对其进行去标识化后再共享；确实需要个人信息共享时，应获

得主体的授权同意，经审核批准后予以共享；

b）采取技术措施对数据异常共享行为进行自动识别、实时预警和阻断。

8.2.5.3四级数据

在满足三级数据交换管控要求基础上，应采取可用不可见的方式共享数据。

14

DB32/T5257—2025

8.2.6销毁管控

8.2.6.1一级数据

一级数据销毁管控，应建立数据销毁操作流程。

8.2.6.2二级数据

在满足一级数据销毁管控要求基础上，还应满足以下要求：

a）建立数据销毁授权、审批机制，指定销毁责任人，并对销毁过程进行记录；

b）采用数据覆写等不可逆方式销毁数据及其副本内容，确保不可还原。

8.2.6.3三级、四级数据

在满足二级数据销毁管控要求基础上，还应满足以下要求：

a）设置销毁监督角色，监督销毁操作过程；

b）对存储在本地的数据，应使用国家权威机构认证的销毁工具，采用不可恢复的技术手段销毁数

据和存储介质；

c）对存储在云平台上的数据，应先对数据进行加密后销毁密钥，再利用云上数据销毁工具销毁

数据；

d）云数据删除后，应采取多次覆写数据恢复测试、密钥销毁验证、销毁流程审计等手段对云数据销

毁进行验证。

15

DB32/T5257—2025

附录A

（资料性）

数据分级示例

A.1根据数据重要程度分级示例

健康医疗数据根据重要程度，分为核心数据、重要数据、一般数据。根据数据重要程度分级示例见

表A.1。

表A.1根据数据重要程度分级示例

安全数据定级要素重要公开

影响描述示例数据

级别影响对象影响程度程度共享

1000万人及以上个人信息或100

严重危害/万人及以上敏感个人信息

国家安全对领域、群体、区域具有较高

一般危害覆盖某一重要特定群体全部个体

覆盖度或达到较高精度、较大

的数据，特定时期特定区域的群体

核心规模、一定深度的重要数据，不公开

四级数据

数据一旦被非法使用或共享，可能共享

涉及1000万人及以上，经过计算

直接危害国家安全，给公共利

公共利益严重危害加工生成的，对数据描述对象有较

益造成严重危害

深刻画程度，且影响国家安全的衍

生数据

涉及100万人及以上个人信息或

国家安全轻微危害

指特定领域、特定群体、特定10万人及以上敏感个人信息

区域达到一定精度和规模的全国性的业务数据，如涉及10万人受限公开

重要数据，一旦被泄漏、篡改、损的群体健康生理状况数据；涉及共享/领

三级

1

一般危害/数据毁，可能对国家安全带来轻微万人的族群生物特征数据、医疗地公开

公共利益10

轻微危害影响，对公共利益带来一定危资源数据；涉及万人的诊疗数共享

害或轻微危害据、医疗救援保障数据、特定药品

实验数据等

对健康医疗数据控制者、个人一般个人信息或个人敏感信息，涉及

根据数据敏感程度进行定级健康医疗数据主体权益造成部分省市人群的群体生理状况数据、

一般视情

（影响健康医疗数据控制者/个影响和危害，但不会危害和影诊疗数据等，健康医疗数据控制者的

数据而定

人健康医疗数据主体权益）响国家安全、经济运行、社会运营数据、收支财务数据、人力资源

稳定和公共利益数据、设备运行数据等

A.2根据数据敏感程度分级示例

根据健康医疗数据遭到破坏后对健康医疗数据控制者权益、个人健康医疗数据主体权益可能造成的

影响程度，将数据分为敏感数据、低敏感数据、不敏感数据。根据数据敏感程度分级示例见表A.2。

16

DB32/T5257—2025

表A.2根据数据敏感程度分级示例

安全定级要素敏感公开

数据描述示例数据

级别影响对象影响程度程度共享

健