DB32T 5257—2025 健康医疗数据安全管理规范.docxVIP

ICS35240

CCSC07

江苏省地方标准

DB32/T5257—2025

健康医疗数据安全管理规范

Specificationforsecuritymanagementofhealthdata

2025?10?30发布 2025?11?30实施

江苏省市场监督管理局 发布

中国标准出版社 出版

DB

DB32/T5257—2025

DB

DB32/T5257—2025

Ⅰ

Ⅰ

Ⅲ

Ⅲ

目 次

前言 Ⅲ

范围 1

规范性引用文件 1

术语和定义 1

缩略语 2

总体要求 3

数据安全管理基础工作 3

数据分类分级 5

数据分级保护 9

附录A（资料性）数据分级示例 16

附录B（资料性）业务场景 22

参考文献 25

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省卫生健康委员会提出并组织实施。

本文件由江苏省卫生健康标准化技术委员会归口。

本文件起草单位：江苏省卫生健康信息中心（江苏省中医药信息中心）、无锡市卫生健康统计信息中心、苏州市卫生健康信息中心、江苏省中医院、镇江市第一人民医院、苏州大学附属儿童医院、江苏瑞新信息技术股份有限公司、北京天融信网络安全技术有限公司、杭州美创科技股份有限公司。

本文件主要起草人：张国明、唐凯、陆家发、朱沥沥、韦小强、管正涛、刘云、鞠鑫、解明、杨雪蓉、袁元、诸俊、刘健、王忠民、刘方斌、尹君、郑永春、张俊杰、赵亚、姚永刚、张国、叶骏、李洪伟、杨岁立。

DB

DB32/T5257—2025

DB

DB32/T5257—2025

PAGE

PAGE16

PAGE

PAGE17

健康医疗数据安全管理规范

范围

本文件规定了健康医疗数据的安全管理基础工作、分类分级和分级保护的要求。

本文件适用于指导健康医疗数据控制者规范开展健康医疗数据安全管理，并为监督部门、评估机构等开展数据安全监督检查和评估提供技术依据。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

WS/T787 国家卫生信息资源分类与编码管理规范

术语和定义

下列术语和定义适用于本文件。

个人健康医疗数据 personalhealthdata

单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子

数据。

注：个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务、公共卫生服务和支付的医疗保健服务费用等。

［来源：GB/T39725—2020，3.1］

健康医疗数据 healthdata

个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。

示例：经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。

［来源：GB/T39725—2020，3.2］

重要数据 keydata

特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国

家安全、经济运行、社会稳定、公共健康和安全的数据。

示例：涉及100万人及以上个人信息或10万人及以上敏感个人信息；

全国性的业务数据，如涉及10万人的群体健康生理状况数据；涉及1万人的族群生物特征数据、医疗资源数据；涉及10万人的诊疗数据、医疗救援保障数据、特定药品实验数据等。

注：仅影响组织自身或公民个体的数据，一般不作为重要数据。

［来源：GB/T43697—2024，3.2］

核心数据 coredata

对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共

享，可能直接影响政治安全的重要数据。

示例：1000万人及以上个人信息或100万人及以上敏感个人信息；

覆盖某一重要特定群体全部个体的数据，特定时期特定区域的群体数据；

涉及1000万人及以上，经过计算加工生成的，对数据描述对象有较深刻画程度，且影响国家安全的衍生数据。

注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

［来源：GB/T43697—2024，3.3］

一般数据 generaldata

核心数据、重要数据之外的其他数据。

［来源：GB/T43697—2024，3.4］

完