广东省健康医疗数据安全分类分级管理技术规范.docx

广东省健康医疗数据安全分类分级管理技术规范

1范围

本技术规范规定了广东省健康医疗数据安全分类分级的基本原则、分类方法、分级方法、数据标识与管理以及记录与维护等内容。适用于广东省内各级各类医疗卫生机构、健康医疗信息系统运营者等涉及健康医疗数据处理的单位对健康医疗数据进行安全分类分级管理。

2规范性引用文件

引用了与数据安全、信息技术相关的国家标准如GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、GB/T35273-2020《信息安全技术个人信息安全规范》等一系列文件，为健康医疗数据安全管理提供技术支撑和标准依据。

3术语和定义

-健康医疗数据：指医疗卫生机构在医疗服务、疾病防控、健康管理等过程中产生和收集的各类数据，包括患者基本信息、诊断信息、检查检验结果、治疗信息等。

-数据分类：根据数据的性质、来源、用途等特征，将健康医疗数据划分成不同的类别。

-数据分级：依据数据遭到篡改、破坏、泄露或非法获取、非法利用后，对个人、社会、国家等造成的危害程度，对健康医疗数据进行的等级划分。

4基本原则

-合法性：分类分级活动应符合国家和地方相关法律法规以及卫生健康行业的规定。

-科学性：采用科学合理的方法和标准进行数据分类分级，确保分类分级结果准确、可靠。

-实用性：分类分级方法应便于实际操作和应用，能够满足不同场景下的健康医疗数据安全管理需求。

-动态性：随着健康医疗业务的发展和外部威胁环境的变化，数据的分类分级应进行适时调整。

5健康医疗数据分类

5.1按数据来源分类

-医疗机构内部产生的数据

-门诊数据：包含患者挂号信息、门诊病历、门诊检查检验申请及结果等。门诊挂号信息包括患者姓名、性别、年龄、联系方式、挂号科室、挂号时间等，是医疗机构与患者建立初始联系的重要数据。门诊病历记录了医生对患者病情的询问、诊断及初步处理意见。

-住院数据：有住院病历、病程记录、手术记录、护理记录、住院检查检验结果等。住院病历是对患者住院期间所有医疗信息的全面记录，涵盖患者基本情况、现病史、既往史、个人史等多方面内容。

-外部数据源引入的数据

-公共卫生数据：如传染病报告数据、环境监测数据等。传染病报告数据对于疾病的防控和预警具有重要意义，详细记录了传染病患者的发病时间、症状、传播途径等信息。

-医保数据：包括医保报销记录、费用结算信息等。医保报销记录可反映患者的医疗消费情况和医保政策的执行情况。

5.2按数据内容分类

-个人基本信息：如姓名、性别、出生日期、身份证号码、联系方式、家庭住址等，这些信息是识别患者个体身份的关键数据，具有较强的隐私性。

-医疗健康信息

-诊断治疗信息：疾病诊断结果、治疗方案、用药信息等。疾病诊断结果明确了患者所患疾病，治疗方案和用药信息则关系到患者的治疗效果和安全。

-检查检验信息：如影像检查报告（X光、CT、MRI等）、实验室检查结果（血常规、生化指标等）。这些信息是医生了解患者身体状况和判断病情的重要依据。

-医疗财务信息：医疗费用明细、医保报销金额、自费金额等，反映了患者在医疗过程中的经济支出情况。

6健康医疗数据分级

6.1分级依据

依据数据遭到篡改、破坏、泄露或非法获取、非法利用后，对个人权益、社会秩序、国家安全等造成的危害程度，分为一级、二级、三级、四级，级别越高，受侵害后危害越严重。

6.2各级数据描述

-一级数据：受到破坏、泄露或非法利用后，会对个人生命安全造成严重威胁，或对国家安全、重大公共利益造成特别严重危害的健康医疗数据。例如涉及国家重要公共卫生应急信息、绝密级医疗科研数据等。

-二级数据：遭到破坏、泄露或非法利用后，可能会对个人身心健康造成严重损害，或对社会秩序、公共利益造成严重危害的健康医疗数据。如包含敏感疾病（艾滋病、严重精神障碍等）诊断信息和详细病历的患者数据。

-三级数据：受破坏、泄露或非法利用后，可能会对个人隐私、声誉等造成较大影响，或对局部社会秩序、特定群体利益造成一定危害的健康医疗数据。一般疾病的病历信息、普通检查检验结果等都属于此类。

-四级数据：遭到破坏、泄露或非法利用后，对个人、社会的危害程度相对较小的数据。例如医院的一般统计报表数据、非敏感的公共健康科普信息等。

7数据标识与管理

7.1数据标识规则

为不同类别的健康医疗数据分配特定的标识符。标识符应具有唯一性、稳定性和可扩展性，由分类代码和分级代码组成。分类代码按照前面所述的分类方法进行编码，分级代码依据数据分级结果进行赋值。例如，某医院的门诊检查检验结果数据，分类代码可设为“YJ-MZJC”，若其属于三级数据，分级代码