根据敏感程度不同,将数据划分为四级。各单位可在本分级方法的基础上,根据自身情况进一步补充细化。
第一章
一、 分级原则
数据分级应依据以下原则:
各级界限明确原则:数据分级是按照数据敏感程度进行划分;
就高不就低原则:如果同一批数据中各属性或字段的分级不同,需要按照定级最高的属性或字段的级别一并实施安全管控,即“就高不就低”。
二、分级表
表 4‑1数据分级表
类别
定位
子类及范围
第4级
极敏感级
(A1-1)自然人身份标识、(A1-2)网络身份标识、(A1-3)用户基本资料、(A1-4)实体身份证明、(A1-5) 用户私密资料、(A2-1)密码及关联信息、(C1-1)用户支付记录、(B1-1)用户疾病史、(B1-2)诊断结果、(B1-3)用药信息、(B2-1)影像检测记录、(B2-2)生化检查记录、(B2-3)免疫、(B2-4)PCR检查、(B3-1)基因测序结果、(B3-3)诊疗路径记录、(C2-1)报销记录,(C2-2)报销赔付记录
第3级
敏感级
(B1-4)医生建议、(B3-2)医生用药选择、(C1-2)医疗机构、流通厂商医药支付记录、(D2-1)App医生诊疗数据、(C2-3)医药流通记录
第2极
较敏感级
(D1-1)可穿戴设备自采数据、(D1-2) 智能家居设备数据、(E2-1) 科研进展数据
第1级
低敏感级
可以公开
(E1-1)文本类医药研发数据、(E1-2) 图像类医药研发数据、(F1-1)医院基本属性数据、(F1-2) 医院诊室数据、(F2-1)医院人员数据、(F2-2)医院设备数据
三、 分级管控要求
应对各级数据建立适当的对外开放及内部管控措施,各级数据的基本管控要求如下。
1. 第4级数据基本管控要求
对第4级数据应实施严格的技术和管理措施,保护数据的机密性和完整性,确保数据访问控制安全,建立严格的数据安全管理规范以及数据实时监控机制。第4级数据严禁对外输出。
2. 第3级数据基本管控要求
对第3级数据应实施较严格的技术和管理措施,保护数据的机密性和完整性,确保数据访问控制安全,建立数据安全管理规范以及数据准实时监控机制。第3级数据在满足相关条件的前提下,可以对外开放。
3. 第2级数据基本管控要求
对第2级数据应实施必要的技术和管理措施,确保数据生命周期安全,建立数据安全管理规范。第2级数据在满足相关条件的前提下,可以对外开放。
4. 第1级数据基本管控要求
对第1级数据应实施基本的技术和管理措施,确保数据生命周期安全。第1级数据可以直接对外开放,但需要考虑对外开放的数据量及类别,避免由于类别较多或者数据量过大,导致能够用于关联分析。
免责申明:我们尊重原创,也注重分享。部分素材来源网络,版权原作者所有,如有侵犯您的权益,我们将第一时间删除。