DB32/T 5257-2025 健康医疗数据安全管理规范.pdf

ICS 35 240CCSC07

江苏省地方 标准

DB32/T5257-2025

健康医疗数据安全管理规范

Specification for security management of health data

江苏省市场监督管理局 发布 出版

目次

1范围2规范性引用文件3术语和定义5总体要求6数据安全管理基础工作7数据分类分级8数据分级保护附录A（资料性） 附录B（资料性） 数据分级示例 业务场景 16参考文献 25

前言

起草. 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

请注意本文的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.

本文件由江苏省卫生健康委员会提出并组织实施.

本文件由江苏省卫生健康标准化技术委员会归口.

本文件起草单位：江苏省卫生健康信息中心（江苏省中医药信息中心）无锡市卫生健康统计信息中心、苏州市卫生健康信息中心、江苏省中医院、镇江市第一人民医院、苏州大学附属儿童医院、江苏瑞新信息技术股份有限公司、北京天融信网络安全技术有限公司、杭州美创科技股份有限公司.

诸俊、刘健、王忠民、刘方斌、尹君、郑永春、张俊杰、赵亚、姚永刚、张国、叶骏、李洪伟、杨岁立. 本文件主要起草人：张国明、唐凯、陆家发、朱沥沥、韦小强、管正涛、刘云、鑫、解明、杨雪蓉、袁元、

健康医疗数据安全管理规范

1范围

本文件规定了健康医疗数据的安全管理基础工作、分类分级和分级保护的要求.

等开展数据安全监督检查和评估提供技术依据. 本文件适用于指导健康医疗数据控制者规范开展健康医疗数据安全管理，并为监督部门、评估机构

2规范性引用文件

下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括的修改单）适用于本文件.

WS/T787国家卫生信息资源分类与编码管理规范

3术语和定义

下列术语和定义适用于本文件.

3.1

个人健康医疗数据personal health data

单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据.

注：个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务、公共卫生服务和支付的医疗保健服务费用等.

[米 :GB/T 397252020 3.1]

3.2

健康医疗数据health data

个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据.示例：经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等.

[来源;GB/T 397252020 3.2]

3.3

重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或纂改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据.

示例：涉及100万人及以上个人信息或10万人及以上敏感个人信息；

全国性的业务数据，如涉及10万人的群体健康生理状况数据：涉及1万人的族群生物特征数据，医疗资源数据：涉及10万人的诊疗数据，医疗教援保障数据、特定药品实验数据等.

注：仅影响组织自身或公民个体的数据，一般不作为重要数据.

[来源 ;GB/T 436972024 3.2]

DB32/T 5257-2025

3.4

核心数据core data

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据.

示例：1000万人及以上个人信息或100万人及以上敏感个人信息：

夏盖某一重要特定群体全部个体的数据.特定时期特定区域的群体数据；

核心数据、重要数据之外的其他数据. [来源;GB/T 43697-2024 3.4]

3.6完全公开共享pletely public sharing注：在卫生键康行业，指通过互联网直接公开发布，公开共享给医疗卫生体系机构或其他机构、公众. 数据一旦发布，很难召回，一般通过互联网直接公开发布.[来源;GB/T 379642019 3.12]

3.7受控公开共享controlled public sharing 通过数据使用协议对数据的使用进行约束.注：在卫生健康行业，指取得医疗卫生相关机构或卫生健康主管部门授权许可，通过数据使用协议对数据使用进行约束，共享给相关医疗卫生体系机构或其他机构.[来源;GB/T 379642019 3.13]

89 领地公开共享enclave public sharing在物理或虚拟的领地范围内共享，数据不能流出到领地范围外.注：在卫生健康行业，指取得医疗卫生相关机构或卫生健康主管部门授权许可，在物理或虚拟领地范围内共享给相关[来源;GB/T 37964-2019 3.14] 医疗卫生体系机构或其他机构，数据不能流出领地范围外：

3.9

示例：提供健康医疗服务的组织，医保机构，政府机构、健康医疗科学研究机构、个体诊所等. 能够决定健康医疗数据处理目的、方式及范围等的组织或个人.[来源;GB/T 39725-2020 3.5]

4缩略语

下列缩略语适用于本文件.ECGIS;电生理信息管理系统(Electrophysiological Information Management System） APP:应用程序(Application)EMR;电子病历(Electronic Medical Record)