《办法》第十一条明确：法律法规要求使用商用密码保护的，必须严格执行；处理核心数据在重要数据保护基础上，优先使用商用密码进行安全防护，同步落实以下要求：

·优先使用安全可信的产品和服务。

·优先使用第三方评估机构开展风险评估。

·涉及核心数据安全事件处置、溯源的相关日志留存时间不少于三年。

·对相关关键岗位人员、涉核心数据信息系统建设和运维单位等，提交公安机关、国家安全机关进行国家安全背景审查。

此外，存储处理重要数据须落实三级及以上网络安全等级保护；处理核心数据若不涉及关键信息基础设施，应落实四级等保要求。数据级别变更后，应及时重新定级备案。

1. 三级数据分类

《办法》第五条规定：医疗卫生机构数据分为核心数据、重要数据、一般数据。不同类别、级别数据同时处理且难以分别保护时，按最高级别实施保护。

2. 重要数据目录管理

省级卫健部门组织开展分类分级，提出重要/核心数据目录建议并上报。医疗卫生机构需定期梳理数据，识别重要数据并报送属地卫健部门。

3. 级别变更与衍生数据

数据内容、规模、应用场景等发生变化，或经脱敏、汇聚融合产生衍生数据，均需重新评估数据级别。

4. 核心数据跨主体流动的特殊要求

核心数据跨不同法人主体提供、转移、共享时，应采取安全措施。若自当年度1月1日起可能累计达到上一年度该项核心数据静态总量的30%及以上，须经国家卫健委报有关部门组织风险评估。

5. 日志留存时间差异化

·重要数据处理活动日志（安全事件处置、溯源）：不少于1年；

·向他人提供、委托处理、共同处理重要数据的日志：不少于3年；

·核心数据安全事件处置、溯源相关日志：不少于3年。

第五章及全文中明确禁止行为，覆盖个人信息处理全生命周期。

主要负责人是第一责任人，实行“管业务必须管安全”。

违规可能导致警告、罚款、停止执业活动、治安处罚、侵权赔偿，甚至刑事责任。

特别声明：智慧医疗网转载其他网站内容，出于传递更多信息而非盈利之目的，内容仅供参考。版权归原作者所有，若有侵权，请联系我们删除。

凡来源注明智慧医疗网的内容为智慧医疗网原创，转载需获授权。