12月26日,全国信息安全标准化技术委员会官方网站发布“关于国家标准《信息安全技术 健康医疗信息安全指南》征求意见稿征求意见的通知”。(点击阅读原文直达)
“健康医疗信息安全指南标准”的出台的大背景源于需求。健康医疗信息包括个人健康医疗信息以及由个人健康医疗信息加工处理之后得到的健康医疗相关信息。随着健康医疗大数据应用和“互联网+医疗健康”应用的蓬勃发展,各种新业务、新应用不断出现,健康医疗信息在全生命周期各阶段均面临着越来越多的安全挑战,安全问题频发。这样一份标准可以成为行业发展的重要依据和助推力。
作为自主定制标准,该标准由清华大学牵头,33家医疗机构、企业、科研机构共同参与编制,通过借鉴国外立法和标准的研究,尤其是美国的HIPPA法案和ISO 27799、NIST800-66等标准,结合国内应用实践和标准编制组的研究成果,提出与国际标准接轨、适合我国国情,并具有一定创新性的标准。
这份意见稿认为,健康医疗信息的源头和主要成分是个人健康医疗信息,因此该标准制定重点围绕个人健康医疗信息安全展开,提出了可采取的安全措施,重点针对常见的健康医疗应用场景,包括医院互联互通、远程医疗、汇聚中心、健康传感数据管理、移动应用、临床研究、商保对接、医疗器械远程维护等,分别提出了针对性的安全措施建议。其意义和价值有二:
第一,这一标准旨在为健康医疗信息控制者在保护健康医疗信息时可采取的管理和技术措施作出规范;
第二,可为健康医疗信息控制者进行健康医疗信息的安全保护以及监管部门、第三方测评机构等开展监督管理和评估等工作提供指导和依据。
据这份意见稿显示,这一标准主要描述了保护个人健康医疗信息的安全目标、使用或披露原则、实施方法、可使用的安全措施集包括去标识化指引、数据使用场景分析以及各典型场景下为保护个人健康医疗信息安全健康医疗信息控制者可使用的重点安全措施。此外,在附录A给出了业务伙伴管理安全指引。附录B给出了数据使用协议的参考模板。附录C给出了健康医疗信息安全检查表。
点击文末“阅读原文”或扫描下方二维码即可提交意见~
