2020年年底,信安标委第28号国家标准公告,正式发布了《信息安全技术健康医疗数据安全指南》(gb/t 39725-2020,以下简称“安全指南”),自2021年7月1日期实施。
该指南的目的主要是根据健康医疗数据进行分级管理,对不同级别的数据实施不同的安全措施,从而实现相应的数据安全防护。
天融信作为参编单位,依据指南内容,从适用范围、功能描述、体系建设、场景描述进行解读,具体如下:
01 指南适用范围
指南并不局限于某个行业,更多的是针对健康医疗控制者的指南。其中不仅包含具备健康医疗数据的医院、卫健委等部门,也可为适用健康医疗数据的第三方提供相应的指导意见,如互联网 医疗、医疗业务提供商等。
02 明确定义健康医疗数据的分类分级
指南中定义了健康医疗数据的分类,包含个人属性数据、健康状态数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据。在原有个人信息规范中的基础上,增加了一些与医疗相关的属性数据。具体分类如下:
在分类的基础上,还根据数据重要程度、风险级别和对个人健康医疗数据主体可能造成的损害及影响分为5个级别,每一级采用的判别标准如下:
03 清晰界定角色分类及流通场景
本次指南中,根据数据的特征及使用方式界定了相关角色,包括数据主体、数据控制者、数据处理者、数据使用者几种角色。同时,还阐述了每种角色的释义以及责任,这点对于推动数据安全建设具备一定的基础意义。对于几种角色如何进行流通,指南中也给出了6类场景,主要分为:主体-控制者、控制者-主体、控制者内部、控制者-处理者、控制者间、控制者-使用者。场景描述是以控制者角色为核心进行流通,指南中基本上涵盖了大部分医疗健康数据使用的场景,给予了相关从业者参考建议。
04 依据分类及场景提供建议安全措施要点
依据于上文给出的分类及场景,提供相应的数据安全措施,包括通过管理手段约束,或者通过技术手段如标识化、访问控制、遮蔽、身份鉴别、加密、脱敏、审计等,对医疗健康数据进行安全保护。并提出数据共享开放原则需遵循“最小必要原则”,区别于原有数据使用的粗犷模式。考虑医疗健康数据开放的特殊性,本次指南还针对网站公开、文件共享、api共享、在线查询、数据分析平台等数据共享形式也提供了相应安全措施指引,更贴近实际用户在使用医疗健康数据的使用场景。
05 提出建设完善的数据安全管理体系
在这次的指南中,也明确指出,宜建立完善的组织保障体系确保健康医疗数据安全的管理工作,并对整个体系的过程进行了描述,从规划、实施、检查、改进等多个过程形成可循环、可优化、可执行的体系过程。又针对相应的应急处置提出了建议的方向。
06 涵盖最全的典型场景描述
区别于以往的指南,本次指南针对医疗健康数据,细化了典型场景的描述,包括医生调阅、患者查询、临床研究、二次利用、健康传感、移动应用等典型场景,针对每个典型场景都从业务数据使用的流程进行了完整的描述,以数据生命周期的视角对当前应用应加强的安全措施提供了相应的意见及建议,给与后续建设者一个参考依据。
该指南的发布,对于医疗健康数据的安全建设具备非常重要的意义,一直以来,医疗健康数据的数据安全建设成为众多单位关注的重点,但是如何做、怎么做成为当前的难题,本次指南从数据分级分类、流通安全管控、数据安全体系建设、典型应用描述等,让相关单位有参考依据,加快医疗健康数据的数据安全建设。
近些年来,数据安全越来越重要,天融信作为安全行业的龙头企业,也努力为国内数据安全领域贡献力量。目前,天融信已参加国家数据安全方面标准10余项,行业数据安全方面标准50余项。天融信全程参与本次指南编撰过程,将多年积累的数据安全经验融入到指南中,提升医疗健康数据的安全性,为医疗健康数据的相关从业单位提供建设依据,助力医疗卫生行业数据安全。
- 关键词标签:
- 天融信 信息安全技术健康医疗数据安全指南