1、 ICS 33.040.40 CCS L78 1310 廊坊市地方标准 DB 1310/T 3382024 数字乡村 县域医疗机构网络数据 安全管理规范 2024-06-28 发布 2024-07-28 实施 廊坊市市场监督管理局 发 布 DB 1310/T 3382024 I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由中共廊坊市委网络安全和信息化委员会办公室提出。本文件起草单位:廊坊市人民医院、中共廊坊市广阳区委网络安全和信息化委员会办公室、中共廊坊市安次区委网络安全和信息化委员会办公室、廊坊市市场监督管理局、中国软件与技
2、术服务有限公司、河北东方学院、中国移动通信集团河北有限公司廊坊分公司、中国电信集团有限公司廊坊分公司、中国联合网络通信有限公司廊坊分公司、中国广电河北网络股份有限公司廊坊市分公司、润泽科技发展有限公司、河北兰科网络工程集团有限公司。本文件主要起草人:刘顺海、王栩、刘朔、高继伟、穆学武、苏玉军、马群、郭睿、赵志滨、刘欣羽、刘安然、提文英、张健飞、焦跃振、张海付、张建平、李时、李晓英。DB 1310/T 3382024 1 数字乡村 县域医疗机构网络数据 安全管理规范 1 范围 本文件规定了县域医疗机构网络数据安全管理的安全管理要求、数据处理活动要求、安全运营要求和应急管理要求。本文件适用于廊坊市
3、各县(市、区)、廊坊开发区域内医院、中医院、妇幼保健院等二级(及以下)医疗机构的网络数据安全日常管理工作。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069 信息安全技术 术语 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 43697 数据安全技术 数据分类分级规则 3 术语和定义 GB/T 25069、GB/T 35273、GB/T 37988
4、和GB/T 43697界定的以及下列术语和定义适用于本文件。数据 任何以电子或者其他方式对信息的记录。网络数据 网络空间中产生、存储、传输和处理的数据。核心数据 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据,主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。一般数据 核心数据、重要数据之外的其他数据。个人信息 DB 1310/T 3382024 2 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后 的信息。网络数据
5、处理者 在数据处理活动中自主决定处理目的、处理方式的组织、个人。数据活动 组织、机构针对数据开展的一组特定任务的集合,数据活动主要包括收集、存储、使用、加工、传输、提供、公开等。数据提供 数据提供是指机构在数据管理过程中,向其他机构或个人提供所需的数据支持和服务。监测预警 对数据安全状态进行实时监测,并对可能发生的威胁进行预警的过程。数据安全 通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。4 总体要求 统筹规划、统一策略、分级建设,构建一体化网络数据安全保障体系,将数据安全能力贯穿于医疗机构数据管理的各领域和全过程,实现数据可知、风险可视、安全可控、问
6、题可追。5 安全管理要求 制度管理 5.1.1 应建立健全数据安全保护制度体系,明确机构对数据的态度、保护数据的责任以及处理数据的安全措施,确保数据的合规性、隐私性、完整性和可用性。5.1.2 应至少包含数据安全管理、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全培训 5 个部分。5.1.3 应定期对数据安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的制度进行修订。人员管理 5.2.1 应设立数据安全管理部门,明确数据安全责任人,落实数据安全保护责任,保障数据安全工作正常开展。5.2.2 应建立完善的数据安全培训体系,提高员工的数据安全意识和技能水平,增强机构的数据安全保障能力。5.2.3 应定期开展数据安全审计工作。5.2.4 人员离任后,应及时回收相应的管理权限,并确保完成工作交接。DB 1310/T 3382024 3 合作方管理 5.3.1 应建立对合作方的遴选、管理、监督、评价机制。5.3.2 应与合作方签订合作协议,协议中明确规定双方在网络数据安全和日常行为等方面的责任和义务,确保合作过程中不发生任何违反法律法规或损害对方利益的行为,同时加
安全达人 