ICS35.020 CCSL09 2024-12-25发布 2024-12-31实施 苏州市市场监督管理局发布医疗机构数据分类分级规范 Specificationfordataclassificationandgradingofmedicalinstitution苏州市地方标准 DB3205/T1167-2024DB3205DB3205/T1167—2024 I目次 前言..................................................................................II 1范围................................................................................1 2规范性引用文件......................................................................1 3术语和定义..........................................................................1 4数据分类分级原则....................................................................2 5数据分类规则........................................................................2 5.1分类框架......................................................................2 5.2分类方法......................................................................3 6数据分级规则........................................................................3 6.1分级框架......................................................................3 6.2分级方法......................................................................3 6.3分级要素......................................................................4 7数据分类分级管理....................................................................5 7.1职责分工......................................................................5 7.2工作要求......................................................................6 附录A（资料性）医疗机构数据分类参考表................................................7 附录B（资料性）医疗机构数据分类分级职责划分参考表....................................9 附录C（资料性）数据目录上报模板.....................................................10 附录D（资料性）数据安全级别变化规则示例表...........................................11 参考文献..............................................................................12DB3205/T1167—2024 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由苏州市卫生健康委员会提出、归口并组织实施。 本文件起草单位：苏州市卫生健康信息中心、中国联合网络通信有限公司苏州市分公司、苏州市卫 生健康委员会、中共苏州市委网络安全和信息化委员会办公室、苏州市公安局、苏州市质量和标准化院、 北京神州绿盟科技有限公司、中国信息通信研究院、苏州市姑苏区政务信息中心、昆山市卫生计生信息 中心、常熟市卫生信息中心、苏州市吴江区卫生计生统计信息中心、苏州市吴中区卫生健康发展中心、 苏州市姑苏区民政和卫生健康局、苏州工业园区卫生健康委员会、苏州大学附属第一医院、苏州大学附 属第二医院、苏州大学附属儿童医院、苏州市立医院、苏州市中医医院、苏州市第五人民医院、苏州市 第九人民医院、苏州大学附属第四医院、苏州市疾病预防控制中心、苏州明基医院、常熟市第二人民医 院。 本文件主要起草人：鞠鑫、陆治平、汤峥、朱杰、徐爱彬、张俊杰、陆晓明、刘旭哲、周文渊、王 宝燕、李嘉、周号云、金建芳、钱瑾、赵亚、姚永刚、顾嘉奇、汤景云、沈婷、赵芯蕊、胡莉莉、贝乾、 金健、仲晓伟、李斌、朱建光、王澜、颜庆、顾纪君、徐先泉、张华荣、程思民、刘亚军、汪春亮、朱 晨、诸俊、闵寒、费雪刚、柳维生、唐广场、王怡、沈翀、黄利军、沈颖杰、丁翀、方卫青、高喆、叶 栋、潘爱女、谢晓烽、李泉、丁松松、赵斌、邵军琦、王萍、施岭、马林平。DB3205/T1167—2024 1医疗机构数据分类分级规范 1范围 本文件规定了医疗机构开展数据分类分级的原则、规则和管理等。 本文件适用于指导医疗机构开展数据分类分级工作，也适用于监管部门开展数据分类分级的落地考 核和检查。医疗机构包括公立医院、民营医院、社区卫生服务中心（站）、校医院、乡镇卫生院、诊所 （医务室）、村卫生室、疾病预防控制中心、妇幼保健机构、专科疾病防治院（所、站）、卫生监督所 （中心）。 本文件不适用于涉及国家秘密的数据。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2022信息安全技术术语 GB/T43697—2024数据安全技术数据分类分级规则 3术语和定义 GB/T25069—2022界定的以及下列术语和定义适用于本文件。 3.1 数据data 任何以电子或者其他方式对信息的记录。 3.2 数据分类dataclassification 根据数据的属性或特征，按照一定的原则和方法进行区分和归类。 3.3 数据分级datagrading 根据数据的敏感程度和被破坏后对受害者的影响程度，按照一定的原则和方法进行定级，为数据全 生命周期过程中组织数据的开放、共享安全策略制定提供支撑。 3.4 重要数据keydata 特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危 害国家安全、经济运行、社会稳定、公共健康和安全的数据。 注：仅影响组织自身或公民个体的数据一般不作为重要数据。 3.5 核心数据coredataDB3205/T1167—2024 2对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或 共享，可能直接影响政治安全的重要数据。 注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国 家有关部门评估确定的其他数据。 3.6 一般数据generaldata 核心数据、重要数据之外的其他数据。 4数据分类分级原则 医疗机构数据分类分级原则遵循GB/T43697—2024且考虑与行业分类分级规则的一致性。 a）根据GB/T43697—2024，医疗机构数据分类分级遵循科学实用、边界清晰、就高从严、点面 结合、动态更新五个基本原则。 b）行业一致性原则：医疗机构开展数据分类分级时，与行业主管部门相关规定和要求、其他数据 分类分级框架保持必要的一致性。 5数据分类 5.1分类框架 医疗机构数据分类按照先业务属性分类，再按照数据属性分类的思路进行分类。 a）按照业务属性，将数据分为个人信息、机构运营数据、医疗应用数据、医疗支付数据、公共卫 生数据、医学教育研究数据、其他数据七个一级类别。 b）在业务属性分类的基础上，按照医疗机构的数据属性，对数据进行细化分类。二级类别包括但 不限于： 1）个人属性信息是指医疗机构中所有人员的基本信息和活动情况的数据集合，包括个人基本 信息、个人身份信息、个人通讯信息、个人财产信息、个人生物识别信息、个人就医信息、 个人健康生理信息、其他个人信息八个子类； 2）机构运营数据是指支撑医疗机构日常运行管理和服务的数据集合，包括机构基础数据、机 构医疗资源数据两个子类； 3）医疗应用数据是指机构在开展医疗活动中产生和收集的数据集合，包括基础就诊信息、病 历信息、检查检验报告、用药信息、病程记录信息、手术记录信息、其他医疗就诊数据七 个子类； 4）医疗支付数据是指医疗机构开展医疗活动中产生的财务数据的集合，包括交易信息、保险 信息两个子类； 5）公共卫生数据是