医疗健康数据分类分级规范.pdfVIP

医疗健康数据分类分级规范

1范围

本规范给出了医疗健康领域的数据分类分级原则、数据分类框架、数据分类方法、数据分级框架、

数据分级方法、数据资产基本属性标注、数据分类分级实施流程和数据分类分级保护原则等方面的操作

指引。

本规范适用于各级医疗机构、卫生健康管理部门、相关信息技术服务机构等开展医疗健康数据分类

分级工作时参考使用。

2规范性引用文件

下列文件是本操作规范的重要参考依据。凡是注日期的引用文件，仅所注日期的版本适用于本操作

规范。凡是不注日期的引用文件，其必威体育精装版版本适用于本操作规范。

GB/T7027-2002信息分类和编码的基本原则与方法

GB/T10113-2003分类与编码通用术语

GB/T43697-2024信息安全技术数据分类分级规则

GB/T39725-2020信息安全技术健康医疗数据安全规范

GB/T35273-2020信息安全技术个人信息安全规范

GB/T38667-2020信息技术大数据数据分类规范

3术语和定义

下列术语和定义适用于本规范。

3.1

医疗健康数据Medicalandhealthdata

包括个人医疗健康数据以及由个人医疗健康数据加工处理之后得到的医疗健康相关数据。

3.2

个人医疗健康数据Personalmedicalandhealthdata

单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康和医疗健康

情况的相关数据。

3.3

数据分类层次Dataclassificationhierarchy

根据数据具有的某种共同属性或特征，并按照一定的原则和方法进行区分和分层归类，形成的分类

层次，以便于更精细地管理和使用数据

（根据需要）数据子子类等层次。

3.4

数据元Dataelement

1

指数据分类的最小单元，反映特定的业务应用属性。数据元不等同于数据库字段，可以是数据库字

段或同类字段集合，也可以是非结构化或半结构化数据单元。

3.5

衍生数据Deriveddata

指经过数据统计、关联、挖掘、融合等加工处理形成的数据。

3.6

数据影响对象ObjectofdataImpact

指数据一旦遭到泄露、篡改、破坏或非法获取、非法利用，在国家安全、经济运行、社会稳定、公

共利益、个人权益、组织权益等方面可能造成影响或破坏的对象。

3.7

数据影响程度Degreeofdataimpact

指数据一旦遭到泄露、篡改、破坏或非法获取、非法利用，在国家安全、经济运行、社会稳定、公

共利益、个人权益、组织权益等方面可能造成影响或破坏的程度，通常分为特别严重危害、严重危害、

一般危害、轻微危害、无危害等程度。同一数据在不同的分级要素条件下或对不同的影响对象，可能形

成不同的影响程度。

3.8

数据分级要素Datagradingelements

指在数据分级过程中，进行数据影响对象和影响程度分析时需要鉴别考虑的数据属性，通常包括领

域、群体、区域、重要性、安全风险等定性要素，以及精度、规模、覆盖度等定量要素，和刻画深度等

衍生数据要素。

3.9

数据资产Dataassets

指由组织或个人合法拥有或控制的，以电子或其他方式记录或保存的，能直接或间接带来经济效益、

社会效益或合法权益的数据资源。

3.10

数据资产特性Dataassetcharacteristics

指由数据分级要素和级别构成的数据性质，反映数据作为资产的特性。

3.11

数据资产单元Dataassetunit

指数据元（包括衍生数据）的特定集合，作为数据资产的基本单元和数据分类分级的基本单元，旨

在区分不同资产特性的数据元、兼并相同资产特性的数据元，建立数据资产和数据分类分级的规范性，

并避免不同组织、个人对同一数据的称呼不同或存储名称不同带来的复杂性和歧义，实现数据资产识别

与管理的便捷性。

4数据分类分级实施原则

2

a）合法合规性原则：数据分类和分级应符合国家法律法规和行业相关标准规范。

b）可执行性原则