《信息安全技術—健康醫療數據安全指南》(GB/T 39725-2020)是2021年7月1日實施的一項中華人民共和國國家標準,歸口於全國信息安全標準化技術委員會。
國家標準《信息安全技術—健康醫療數據安全指南》(GB/T 39725-2020)給出了健康醫療數據控制者在保護健康醫療數據時可採取的安全措施。該標準適用於指導健康醫療數據控制者對健康醫療數據進行安全保護,也可供健康醫療、網路安全相關主管部門以及第三方評估機構等組織開展健康醫療數據的安全監督管理與評估等工作時參考。
基本介紹
- 中文名:信息安全技術—健康醫療數據安全指南
- 外文名:Information security technology—Guide for health data security
- 標準號:GB/T 39725-2020
- 發布日期:2020-12-14
- 實施日期:2021-07-01
- 中國標準分類號:L80
- 國際標準分類號:35.040
- 歸口單位:全國信息安全標準化技術委員會
- 執行單位:全國信息安全標準化技術委員會
- 主管部門:中華人民共和國國家標準化管理委員會
- 性質:推薦性國家標準
- 狀態:現行
制定過程,制定背景,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
制定背景
健康中國作為國家戰略,其中的信息安全問題尤為重要,對患者隱私和患者醫療安全有很大的影響;隨著國家健康醫療信息化的發展,尤其隨著互聯互通和健康醫療大數據的高速發展,急需健康醫療信息安全相關標準保駕護航。
編制進程
- 起草階段
2016年8月27、28日,在清華大學召開了健康醫療大數據安全標準研討會,針對健康醫療大數據安全標準化需求進行了研討。
2018年1月23日,正式成立健康醫療信息安全指南標準編制組並在清華大學召開第1次編制組會議,確定了標準化需求和任務分工。
2018年2月6日,在清華大學召開了第2次編制組會議,針對第一版草案進行討論,並確定了改進方案和任務分工。
2018年2月22日,提交健康醫療信息安全指南國家標準制定項目立項申請。
2018年3月7日,在清華大學召開第3次編制組會議,針對第二版草案進行討論,並確定了改進方案和任務分工。
2018年3月15日,在清華大學召開了健康醫療行業專家會議,就第三版草案徵集行業專家意見。
2018年3月20日,在清華大學召開第4次編制組會議,針對第三版草案和專家意見進行討論,形成改進方案和任務分工。
2018年4月14日,在信安標委武漢會議周大數據安全標準特別工作組會議上,介紹第四版草案情況並獲得工作組表決同意編制《健康醫療信息安全指南》。
2018年7月12日,《健康醫療信息安全指南》國標立項任務正式下達。
2018年9月14日,在清華大學召開第5次標準編制組工作會議,對標準草案進行討論,形成改進工作計畫。
2018年9月30日,形成《信息安全技術—健康醫療數據安全指南》新版草案,並在工作組範圍內徵集意見。
2018年10月12日,在清華大學召開第6次標準編制組工作會議,對標準草案進行討論,決定增加附錄,針對具體場景給出具體指導。
2018年10月17日,在清華大學召開第7次標準編制組工作會議,對標準草案進行討論改進,形成新版外發廣泛徵集醫療信息界意見。
2018年10月19日,在清華大學標準草案專家意見徵集會。
2018年10月21日,在清華大學召開第8次編制組會議,針對專家意見進行修訂完善。
2018年10月24日,在信安標委青島會議周大數據安全標準特別工作組全會上介紹了標準編制工作,並經過工作組表決,同意修改完善後轉為徵求意見稿。
2018年10月31日,在清華大學召開第9次編制組會議,針對工作組全會意見進行修訂完善。
2018年11月7日,在清華大學召開第10次編制組會議,進一步修訂完善。
2018年11月15日,在清華大學召開第11次編制組會議,進一步修訂完善。
2018年11月20日,在清華大學召開領域專家會,邀請健康醫療信息化領域知名專家和衛健委相關負責人進行意見徵集。
2018年11月21日,在清華大學召開第12次編制組會議,針對領域專家意見修訂完善。
2018年11月28日,在清華大學召開第13次編制組會議,進一步修訂完善。
2018年12月2日,在清華大學召開第14次編制組會議,進一步修訂完善。
2018年12月7日至8日,編制組在上海徵集相關單位意見,包括平安、飛利浦、上海市兒童醫院、西門子、強生、羅氏等,根據意見進一步修訂完善。
2018年12月26日,在清華大學召開第15次編制組會議,進一步修訂完善,形成徵求意見稿。
- 標準計畫
2019年10月24日,國家標準計畫《信息安全技術—健康醫療數據安全指南》(20193254-T-469)下達,項目周期24個月,由TC260(全國信息安全標準化技術委員會)提出並歸口上報及執行,主管部門為中華人民共和國國家標準化管理委員會。
- 發布實施
2020年12月24日,國家標準《信息安全技術—健康醫療數據安全指南》(GB/T 39725-2020)由中華人民共和國國家市場監督管理總局、中華人民共和國國家標準化管理委員會發布。
2021年7月1日,國家標準《信息安全技術—健康醫療數據安全指南》(GB/T 39725-2020)實施。
制定依據
國家標準《信息安全技術—健康醫療數據安全指南》(GB/T 39725-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:清華大學、北京清華長庚醫院、中國網路安全審查技術與認證中心、中電數據服務有限公司、中國電子技術標準化研究院、上海市兒童醫院、深圳市騰訊計算機系統有限公司、山東國數愛健康大數據有限公司、東軟集團股份有限公司、零氪科技(北京)有限公司、阿里巴巴(北京)軟體服務有限公司、泰康保險集團股份有限公司、中國平安保險(集團)股份有限公司、北京郵電大學、四川大學、中國信息安全測評中心、北京天融信網路安全技術有限公司、上海市方達律師事務所、中國軟體評測中心、中南大學、啟明星辰信息技術集團股份有限公司、中國中醫科學院、湖南科創信息技術股份有限公司、奇安信科技集團股份有限公司、陝西省信息化工程研究院、北京數字認證股份有限公司、中電長城網際系統套用有限公司、頤信科技有限公司、浙江螞蟻小微金融服務集團股份有限公司、北京協和醫院。
主要起草人:金濤、劉海一、王建民、董家鴻、左曉棟、張劍、劉賢剛、屈勁、於廣軍、趙冉冉、袁耀文、傅興良、楊浩、來子祺、蘇凌雲、葉曉俊、陶蓉、於驚濤、馬詩詩、王樅、殷晉、付嶸、王龑、張毅、姚建偉、陳先來、謝安明、文天才、肖國榮、周亞超、郭穎、張勇、宋玲娓、閔京華、洪延青、程瑜琦、王昕、孟曉陽、羅妍。
標準目次
前言 | Ⅲ |
|---|---|
引言 | Ⅳ |
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4縮略語 | 2 |
5安全目標 | 3 |
6分類體系 | 3 |
7使用披露原則 | 6 |
8安全措施要點 | 7 |
9安全管理指南 | 10 |
10安全技術指南 | 13 |
11典型場景數據安全 | 15 |
附錄A(資料性附錄)個人健康醫療數據範圍 | 33 |
附錄B(資料性附錄)衛生信息相關標準 | 34 |
附錄C(資料性附錄)數據使用管理辦法示例 | 43 |
附錄D(資料性附錄)數據申請審批示例 | 47 |
附錄E(資料性附錄)數據處理使用協定模板 | 50 |
附錄F(資料性附錄)健康醫療數據安全檢查表 | 55 |
附錄G(資料性附錄)衛生信息數據元去標識化示例 | 60 |
參考文獻 | 62 |
參考資料:
內容範圍
國家標準《信息安全技術—健康醫療數據安全指南》(GB/T 39725-2020)給出了健康醫療數據控制者在保護健康醫療數據時可採取的安全措施。該標準適用於指導健康醫療數據控制者對健康醫療數據進行安全保護,也可供健康醫療、網路安全相關主管部門以及第三方評估機構等組織開展健康醫療數據的安全監督管理與評估等工作時參考。
引用檔案
GB/T 22080-2016 信息技術—安全技術—信息安全管理體系—要求 GB/T 22081-2016 信息技術—安全技術—信息安全控制實踐指南 GB/T 22239-2019 信息安全技術—網路安全等級保護基本要求 GB/T 25069 信息安全技術—術語 GB/T 31168 信息安全技術—雲計算服務安全能力要求 | GB/T 35273 信息安全技術—個人信息安全規範 GB/T 35274-2017 信息安全技術—大數據服務安全能力要求 GB/T 37964-2019 信息安全技術—個人信息去標識化指南 ISO 80001 整合醫療設備的網路風險管理的套用(Application of risk management for IT-networks Incorporating medical device) |
參考資料:
意義價值
國家標準《信息安全技術—健康醫療數據安全指南》(GB/T 39725-2020)有利於更好的保護健康醫療信息安全,規範和推動健康醫療數據的融合共享、開放套用,促進健康醫療事業發展。
