GB/T 39725-2020信息安全技術健康醫(yī)療數據安全指南

ICS35040

L80.

中華人民共和國國家標準

GB/T39725—2020

信息安全技術

健康醫(yī)療數據安全指南

Informationsecuritytechnology—Guideforhealthdatasecurity

2020-12-14發(fā)布2021-07-01實施

國家市場監(jiān)督管理總局發(fā)布

國家標準化管理委員會

GB/T39725—2020

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

安全目標

5…………………3

分類體系

6…………………3

數據類別范圍

6.1………………………3

數據分級劃分

6.2………………………4

相關角色分類

6.3………………………4

流通使用場景

6.4………………………5

數據開放形式

6.5………………………6

使用披露原則

7……………6

安全措施要點

8……………7

分級安全措施要點

8.1…………………7

場景安全措施要點

8.2…………………8

開放安全措施要點

8.3…………………10

安全管理指南

9……………10

概述

9.1…………………10

組織

9.2…………………11

過程

9.3…………………11

應急處置

9.4……………12

安全技術指南

10…………………………13

通用安全技術

10.1……………………13

去標識化

10.2…………………………13

典型場景數據安全

11……………………15

醫(yī)生調閱數據安全

11.1………………15

患者查詢數據安全

11.2………………17

臨床研究數據安全

11.3………………17

二次利用數據安全

11.4………………23

健康傳感數據安全

11.5………………24

移動應用數據安全

11.6………………25

Ⅰ

GB/T39725—2020

商業(yè)保險對接安全

11.7………………27

醫(yī)療器械數據安全

11.8………………30

附錄資料性附錄個人健康醫(yī)療數據范圍

A()…………33

附錄資料性附錄衛(wèi)生信息相關標準

B()………………34

附錄資料性附錄數據使用管理辦法示例

C()…………43

附錄資料性附錄數據申請審批示例

D()………………47

附錄資料性附錄數據處理使用協(xié)議模板

E()…………50

附錄資料性附錄健康醫(yī)療數據安全檢查表

F()………55

附錄資料性附錄衛(wèi)生信息數據元去標識化示例

G()…………………60

參考文獻

……………………62

Ⅱ

GB/T39725—2020

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位清華大學北京清華長庚醫(yī)院中國網絡安全審查技術與認證中心中電數據服務

:、、、

有限公司中國電子技術標準化研究院上海市兒童醫(yī)院深圳市騰訊計算機系統(tǒng)有限公司山東國數愛

、、、、

健康大數據有限公司東軟集團股份有限公司零氪科技北京有限公司阿里巴巴北京軟件服務有

、、()、()

限公司泰康保險集團股份有限公司中國平安保險集團股份有限公司北京郵電大學四川大學中

、、()、、、

國信息安全測評中心北京天融信網絡安全技術有限公司上海市方達律師事務所中國軟件評測中心

、、、、

中南大學啟明星辰信息技術集團股份有限公司中國中醫(yī)科學院湖南科創(chuàng)信息技術股份有限公司奇

、、、、

安信科技集團股份有限公司陜西省信息化工程研究院北京數字認證股份有限公司中電長城網際系

、、、

統(tǒng)應用有限公司頤信科技有限公司浙江螞蟻小微金融服務集團股份有限公司北京協(xié)和醫(yī)院

、、、。

本標準主要起草人金濤劉海一王建民董家鴻左曉棟張劍劉賢剛屈勁于廣軍趙冉冉

:、、、、、、、、、、

袁耀文傅興良楊浩來子祺蘇凌云葉曉俊陶蓉于驚濤馬詩詩王樅殷晉付嶸王龑張毅

、、、、、、、、、、、、、、

姚建偉陳先來謝安明文天才肖國榮周亞超郭穎張勇宋玲娓閔京華洪延青程瑜琦王昕

、、、、、、、、、、、、、

孟曉陽羅妍

、。

Ⅲ

GB/T39725—2020

引言

健康醫(yī)療數據包括個人健康醫(yī)療數據以及由個人健康醫(yī)療數據加工處理之后得到的健康醫(yī)療相關

數據隨著健康醫(yī)療數據應用互聯網醫(yī)療健康和智慧醫(yī)療的蓬勃發(fā)展各種新業(yè)務新應用不斷

。、“+”,、

出現健康醫(yī)療數據在全生命周期各階段均面臨著越來越多的安全挑戰(zhàn)安全問題頻發(fā)由于健康醫(yī)療

,,。

數據安全事關患者生命安全個人信息安全社會公共利益和國家安全為了更好地保護健康醫(yī)療數據

、、,

安全規(guī)范和推動健康醫(yī)療數據的融合共享開放應用促進健康醫(yī)療事業(yè)發(fā)展特制定健康醫(yī)療數據安

,、,,

全指南

。

Ⅳ

GB/T39725—2020

信息安全技術

健康醫(yī)療數據安全指南

1范圍

本標準給出了健康醫(yī)療數據控制者在保護健康醫(yī)療數據時可采取的安全措施

。

本標準適用于指導健康醫(yī)療數據控制者對健康醫(yī)療數據進行安全保護也可供健康醫(yī)療網絡安全

,、

相關主管部門以及第三方評估機構等組織開展健康醫(yī)療數據的安全監(jiān)督管理與評估等工作時參考

。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不標注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術安全技術信息安全管理體系要求

GB/T22080—2016

信息技術安全技術信息安全控制實踐指南

GB/T22081—2016

信息安全技術網絡安全等級保護基本要求

GB/T22239—2019

信息安全技術術語

GB/T25069

信息安全技術云計算服務安全能力要求

GB/T31168

信息安全技術個人信息安全規(guī)范

GB/T35273

信息安全技術大數據服務安全能力要求

GB/T35274—2017

信息安全技術個人信息去標識化指南

GB/T37964—2019

整合醫(yī)療設備的網絡風險管理的應用

ISO