信息安全技术 健康医疗数据安全指南

安全措施

是

否

使用披露

非医疗目的使用数据，是否获得主体同意？

非医疗目的使用，获取主体授权，是否明确了用途、使用的方式、到期日期、法定权利、以及控制者采取的保护措施等具体信息？

非医疗目的使用数据是否限定在与个人授权的用途具有直接或合理关联的范围内？

超出授权范围使用数据，是否再次征得主体同意？

未经个人主体授权的受限制数据是否仅限于科学研究、医学/健康教育、公共卫生或医疗保健操作目的？

未经个人主体授权的受限制数据使用是否经过了相关委员会审批？

未经个人主体授权的受限制数据使用是否严格限制在有权使用人员范围？

进行市场营销活动的数据使用是否获得了个人主体授权？

市场营销活动的数据使用是否书面告知个人主体相关权利例如撤销授权？

是否将市场目的的数据使用授权独立，未作为主体获得任何公共服务、医疗服务或者捆绑于其他的服务条款之中？

是否应主体要求披露其相关信息？

是否提供了允许主体或其授权代表访问其数据的方式？

是否提供了允许主体复查并获得其数据副本的方式？

是否为主体提供请求更正或补充信息的方法？

是否提供了允许主体回溯查询其数据使用披露情况的方式？

是否支持主体最少回溯6年查询其数据使用披露情况？

和个人主体关于数据访问使用另有约定的，是否按照约定执行？除非法律法规要求以及医疗紧急情况。

未经个人授权使用治疗笔记用于内部培训或学术研讨，是否进行了必要的去标识化处理？

引入处理者代为或帮助处理数据是否确认其具备相应数据安全能力？

引入处理者代为或帮助处理数据是否通过协议对数据处理相关工作进行了约定，包括明确了安全责任？

数据处理结束是否确认处理者未留存数据？

向政府授权的第三方控制者传送数据前，是否获得加盖政府公章的相关文件？

数据使用申请审批中是否确认了数据使用的合法性、正当性和必要性？

数据使用申请审批中是否确认了相应数据安全能力？

数据交付第三方使用是否通过协议约定了目的、安全责任和安全要求？

数据使用结束后是否确认数据已彻底销毁？

数据聚合结果的发布是否经过数据安全委员会审批？

境外传送数据是否经过了数据安全委员会评审或者得到个人主体授权？

境外传送数据是否确保其不属于重要数据或涉密数据？

境外传送数据是否限定在250条以内？

境外传送数据是否仅限于个人主体授权或者学术研讨？

境外传送数据必要时是否提请相关部门审批？

不能识别个人的健康医疗数据使用是否符合重要数据管理相关要求？

是否确定数据没有存储在境外的服务器上？

是否确定没有租赁、托管境外的服务器？

生物识别信息的存储是否经过了处理，例如只存储了摘要？

健康医疗数据的传输是否进行了加密处理？

使用介质进行健康医疗数据传输的，是否对介质使用进行了管控？

涉及人类遗传资源数据的，是否经过了相关部门审批？

涉密数据是否符合涉密信息系统分级保护的管理规定和技术标准？

安全技术

是否对健康医疗数据进行分类分级管理？

数据的分级和分类是否经过委员会审批或专家评审？

是否制定并实施了合理的策略和流程，将使用和披露限制在最低限度？

承载健康医疗数据的信息系统和网络设施以及云平台是否实施了必要的安全措施？

是否按照数据生命周期相关的数据活动提出了各阶段的安全保护要求？

是否对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有复杂度要求并定期更换？

是否具有登录失败处理功能，配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施？

当进行远程管理时，是否采取了必要措施，防止鉴别信息在网络传输过程中被窃听？

是否对登录的用户分配了账户和权限？

是否重命名或删除默认账户，修改默认账户的默认口令？

是否及时删除或停用多余的、过期的账户，避免共享账户的存在？

是否授予管理用户所需的最小权限，实现管理用户的权限分离？

是否启用安全审计功能，并覆盖到每个用户，对重要的用户行为和重要安全事件进行审计？

审计记录是否包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息？

是否对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等？

是否基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证，并在检测到其可信性受到破坏后进行报警？

是否遵循最小安装的原则，仅安装需要的组件和应用程序？

是否关闭了不需要的系统服务、默认共享和高危端口？

是否通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制？

是否提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求？

是否能发现可能存在的已知漏洞，并在经过充分测试评估后，及时修补漏洞？

是否安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库？

是否采用校验技术保证重要数据在传输过程中的完整性？

是否提供重要数据的本地数据备份与恢复功能？

是否提供异地数据备份功能，利用通信网络将重要数据定时批量传送至备用场地？

是否保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除？

是否仅采集和保存业务必需的用户个人信息？

是否禁止未授权访问和非法使用用户个人信息？

采购的云服务是否通过了云安全审查？

自建云是否按云安全审查标准进行了安全保护？

是否按照规划、开发、部署到运维的系统生命周期各阶段特点采取了必要的安全管控措施？

是否采用密码技术保证数据在传输和存储过程中的保密性？

密码技术使用是否符合国家密码管理相关要求？

数据出境是否进行了出境安全评估？

是否满足重要数据管理、关键信息基础设施安全管理等政策的相关通用要求？

去标识化

去标识化数据是否只应用于受控公开共享或领地公开共享？

领地公开共享的安全环境是否得到评估确认？

是否通过数据使用协议约定数据使用目的、期限等？

去标识化策略、流程和结果是否由数据安全委员会审批？

是否去除可以唯一识别到个人的信息或披露后会给患者造成重大影响的信息？

模糊化后仍有医学意义的数据是否进行了模糊化处理，例如泛化？

是否删除医护人员姓名以及其他身份标识信息？

数据集中所有属性值相同的人数是否最低在5人以上？

对需要追溯到患者的情况，是否由控制者内部建立患者代码索引？

去标识化过程中使用的各种参数配置，例如时间漂移范围、患者代码索引、各种个人代码生成规则等是否严格保密，仅限于控制者内部专人管理？

在需要进行重标识确定主体时，是否只能由控制者内部专人处理，处理过程严格保密？

去标识化数据使用者是否没有参与去标识化相关工作？

在受控公开共享模式下，数据接收者是否具备数据使用情况审计的能力，并接受控制者审计？

安全管理

是否建立健康医疗数据安全委员会并对健康医疗数据安全工作全面负责，讨论决定健康医疗数据安全重大事项？

委员会是否包含组织高层管理人员和各业务口负责人？

委员会是否涵盖信息安全、伦理、法律、统计、审计、保密等相关专业人员？

委员会负责人是否由组织最高负责人担任？

委员会是否每月至少开一次会？

数据安全相关规章制度是否由委员会负责审核？

数据使用及去标识化的策略流程是否由委员会进行确认审核？

是否指定专人负责健康医疗数据安全日常工作？

是否有明确的健康医疗数据安全工作范围界定？

是否有明确的健康医疗数据安全工作目标和计划？

是否建立了健康医疗数据安全策略？

是否建立了数据安全相关规章制度？

是否建立了数据使用审批流程？

相关机构、负责人、策略、制度、流程等是否通告全组织？

是否进行了必要的元数据管理？

是否进行了数据或系统供应链管理？

是否明确了去标识化的策略和流程？

是否建立了健康医疗数据安全风险评估方案？

是否梳理清楚健康医疗数据相关业务及涉及的系统和数据？

是否可以识别健康医疗数据安全风险并评估影响？

是否评审并通过风险处置方案？

是否配备了适当的资源，包括人力、物力、资金，支撑健康医疗数据安全工作开展？

是否开展必要的信息安全教育、培训和考核？

是否对开展的信息安全工作和投入信息安全工作的各项资源实施有效的管控？

是否针对信息安全事件有有效应对措施？

对选定的安全措施的实施过程是否有监管流程？

是否定期评审风险处置方案实施的有效性，包括评估实施相应安全措施后剩余风险的可接受程度等？

是否根据情况定期实施自查，或是请第三方检查机构进行检查？

自查每年是否至少全面覆盖1次？

是否将检查过程纳入监管？

是否会根据检查结果建立针对性的整改计划，并按计划实施？

是否制定应急预案，应急预案包括启动应急预案的条件、应急处理流程、系统恢复流程、事件报告流程、事后教育和培训等内容？

是否对网络安全应急预案定期进行评估修订？

是否每年至少组织1次应急演练？

是否有专门的网络安全应急支撑队伍及专家队伍，保障安全事件得到及时有效处置？

是否制定灾难恢复计划，确保健康医疗信息系统能及时从网络安全事件中恢复，并建立安全事件追溯机制？

如果发生网络安全事件，是否按应急预案进行处置？

如果发生网络安全事件，事件处置完成后是否及时按规定向主管监管部门书面报告事件情况，内容至少包括：事件描述、原因和影响分析、处置方式等信息？

是否就健康医疗数据使用情况进行审计，并适时调整改进安全措施？