随着“互联网+医疗健康”战略推进，医疗数据呈现高价值性，安全风险呈“复合型、传导性、高危害”特征，为解决行业评估标准不统一、重点不突出等问题，衔接国家标准与地方实践，支撑行业数据安全治理而编制。

总体概述

编制背景：医疗卫生行业进入数据驱动阶段，医疗数据高价值性带来复合型等安全风险，依据相关国家标准、行业标准及地方标准，结合行业特性形成适配医疗场景的评估体系。

编制意义：解决行业痛点，破除评估标准不统一等问题；衔接国家标准与地方实践，落地风险要素关系框架；支撑行业数据安全治理，防范跨机构数据共享泄漏风险。

适用范围：明确重点评估对象、参考执行对象、第三方评估机构及主管监管部门。

核心术语定义：界定了医疗卫生机构、人工智能+、去标识化、敏感信息、单独同意等核心术语的界定标准和示例。

行业特点

行业说明：卫生健康行业数据处理等具有显著特殊性，需结合政策文件、基础标准、行业标准及地方标准开展评估，介绍了《卫生健康数据分类分级要求》的核心要点。

业务特点：业务连续性高，评估需规避诊疗影响；业务场景多元化，涵盖临床诊疗等，每个场景风险点差异显著；技术应用情况中，“人工智能+医疗”和医疗物联网应用需新增技术适配维度；合规特殊性，需同时符合通用法规和行业规范。

数据特征：敏感程度高，包括诊疗数据、特殊敏感数据等；公共属性，部分数据直接影响公共健康；周期长且流转复杂，管控链条贯穿“采集－销毁”。

工作要求

工作目标：数据处理者目标包括明确数据及处理活动情况、保障数据“三性”等；主管监管部门目标包括掌握行业数据安全态势、促进整改闭环等。

工作原则：遵循保密性、客观公正性、科学性、差异化原则。

工作依据：包括法律、行政法规、行业法规、国家标准、地方标准及实践指南等，并列出具体依据清单。

工作流程

评估准备：明确评估范围，采用“全面摸排+重点评估”原则；组建评估团队，可自行评估或委托第三方，明确团队构成及职责；制定评估方案，包括评估概述等多方面内容。

信息调研：包括数据处理者基本情况、业务和信息系统情况、数据资产、数据处理活动及安全防护措施调研，均有对应的调研表。

风险识别：从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险源，结合是否涉及医疗卫生AI应用场景动态调整，使用人员访谈等多种方法。

综合分析：进行风险分析，梳理问题清单并纳入历史评估结果，进行风险归类；开展风险评价，从危害程度和发生可能性两个维度判定风险等级。

评估总结：编制评估报告，内容包括评估概述等；制定整改方案，对不同风险问题提出处置建议。

特别声明：智慧医疗网转载其他网站内容，出于传递更多信息而非盈利之目的，同时并不代表赞成其观点或证实其描述，内容仅供参考。版权归原作者所有，若有侵权，请联系我们删除。

凡来源注明智慧医疗网的内容为智慧医疗网原创，转载需获授权。