WS中华人民共和国卫生行业标准
WS/T 788—2021
2021-10-27 发布 2022-04-01 实施
中华人民共和国国家卫生健康委员会 发 布
目 次
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义 ......................................................................... 1
4 总则 ............................................................................... 2
5 总体框架 ........................................................................... 2
6 卫生信息资源管理职责 ............................................................... 3
7 卫生信息资源使用方式 ............................................................... 4
8 卫生信息资源的安全管理 ............................................................. 5
I
WS/T 788—2021
前 言
本标准由国家卫生健康标准委员会卫生健康信息标准专业委员会负责技术审查和技术咨询,由国家卫生健康委统计信息中心负责协调性和格式审查,由国家卫生健康委规划发展与信息化司负责业务管理、法规司负责统筹管理。
本标准起草单位:国家卫生健康委统计信息中心、上海市卫生健康信息中心、上海申康医院发展中心。
本标准主要起草人:胡建平、徐向东、谢桦、何萍、周光华、崔欣、张宇希、梁艺琼、滕琳。
II
WS/T 788—2021
国家卫生信息资源使用管理规范
1 范围
本标准定义了“全民健康保障信息化工程一期项目”卫生信息资源的管理职责、使用方式和安全管理要求。
本标准适用于“全民健康保障信息化工程一期项目”卫生信息资源使用与管理。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。
GB/T 21062.1 政务信息资源交换体系 第1部分 总体框架
GB/T 21062.4 政务信息资源交换体系 第4部分 技术管理要求
GB/T 31167 信息安全技术 云计算服务安全指南
GB/T 36073 数据管理能力成熟度评估模型
3 术语和定义
下列术语和定义适用于本标准。
3.1 卫生信息资源 health information resource
卫生系统部门或机构在履行职责或开展业务过程中采集、存储、传输、处理和产生的以数字化形式记录的各类信息的集合。卫生信息资源分标准类数据资源和业务类数据资源两大类。
3.1.1 标准类数据资源 standard data resources
具有基础性、通用性、标识性和共享性等特征的卫生信息资源,包括基础类、数据类、技术类、管理类等。
3.1.2 业务类数据资源 service data resources
由卫生业务系统和管理系统产生的信息资源,包括公共卫生、医疗服务、医疗保障、药品管理、计划生育、综合管理等方面的信息资源。
业务类数据资源根据数据处理形态分为三类。一是原始数据,直接产自医疗卫生机构的业务系统和管理系统,未经加工的数据(集);二是中间数据,经过脱敏脱密处理,根据主题形成的或依据用户需求定制的数据(集);三是结果数据,经过统计、分析、计算等加工处理后产生的可供直接应用的数据。
3.2 卫生信息资源用户 health information resource uses
遵守国家有关法律、法规和本规范的相关条款,按需提出卫生信息资源使用申请的公民、法人或者其他组织。卫生信息资源用户分为五类:卫生健康行政部门,卫生健康行政部门下属机构用户,其他政府行政管理部门和下属机构用户,高校和研究所等科研机构用户,其他用户。
3.3 服务类型 type of service
服务类型包括无偿服务和有偿服务,无偿服务指免费或只收取数据服务成本费,有偿服务指酌情收取数据服务费。
1
WS/T 788—2021
4 总则
4.1 目的
本标准目的是加快推动卫生信息资源管理与共享,提高卫生信息使用效率效果,提升卫生服务水平,充分发挥卫生信息资源共享在深化医改、创新服务和管理中的重要作用。 本标准是继全民健康信息平台以互联互通的方式对卫生信息数据采集、整合与治理形成可靠的信息资源之后,以开放、安全的资源管理框架形成对信息资源使用的全生命周期管理,促进卫生信息资源的合理共享与应用。
4.2 原则
—— 以共享为原则,不共享为例外。各医疗卫生机构和卫生健康行政部门形成的卫生信息资源原则上应予共享,涉及国家秘密和安全的,按相关法律法规执行。
—— 需求导向,按需使用。因业务需要或者履行职责需要使用共享信息的机构和个人提出明确的卫生信息共享需求和信息使用用途,卫生信息产生和提供机构和部门应及时响应。
—— 统一标准,统筹建设。按照国家卫生信息相关标准进行卫生信息资源的采集、存储、交换和共享工作,坚持“一数一源”、统筹建设卫生信息资源目录体系以及基于目录的共享交换体系。
—— 建立机制,保障安全。建立卫生信息资源共享管理机制和信息共享工作评价机制,各级卫生健康行政部门和信息资源共享平台管理单位应加强对数据资源管理与使用全过程的身份鉴别、授权管理、审计追踪和安全保障,确保共享信息安全。
5 总体框架
国家卫生信息资源使用管理规范遵从GB/T 21062.1、GB/T 21062.4、GB/T 36073、GB/T 31167等标准,主要包含:卫生信息资源管理职责划分,卫生信息资源使用方式以及卫生信息资源的安全管理与监督保障。总体架构如图1所示:
2
WS/T 788—2021
6 卫生信息资源管理职责
6.1 数据管理者
卫生信息资源的使用实行分级管理,由国家、省(市区)、市、县四级全民健康信息平台提供本级卫生信息资源的管理与使用服务。
各级卫生健康行政部门为卫生信息资源主管部门,履行如下职责:
-负责卫生信息资源管理的相关标准、规范、制度的制定和落实;
-负责卫生信息资源提供和使用过程中的审批和监督工作;
-负责监督和管理管理范围内卫生信息资源的保密工作。
各级各类医疗卫生机构信息管理部门(中心)为卫生信息资源使用管理的实施单位(部门),履行如下职责:
-负责卫生信息资源的采集、存储和处理;
-负责卫生信息资源共享、开放、利用等技术服务的提供;
-负责卫生信息资源安全使用环境的搭建及维护;
-负责用户申请授权的合规性审核;
-负责卫生信息资源的信息安全保障工作。
6.2 数据提供者
各级各类医疗卫生机构为数据提供者,应当按照“一数一源、最少够用”的原则采集卫生信息,所采集的信息应当符合业务应用和管理要求,保证卫生信息中标识的唯一性,数据的一致性,所采集的信息应当严格实行信息复核程序,避免重复采集、多头采集;应当严格执行相关标准,做到标准统一、术语规范、内容准确;在数据发生变更时,应当将所管理的卫生信息完整、安全地移交给主管部门或承接延续其职能的机构管理,不得造成卫生信息的损毁、丢失;应当按照法律法规的规定,遵循医学伦理原则,保证信息安全,保护个人隐私。
3
WS/T 788—2021
6.3 数据使用者
各类卫生信息资源用户为数据使用者,应依法依规使用卫生信息资源,加强信息资源使用的全过程管理。数据使用者对从共享平台获取的信息,只能按照明确的目的和用途使用,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。
6.4 数据使用规则
—— 各级卫生健康行政部门用户因履行职责需要使用中间数据、结果数据,由下属信息管理部门(中心)无偿提供。
—— 各级卫生健康行政部门下属事业单位用户因开展业务需要使用中间数据、结果数据,由卫生健康行政部门下属信息管理部门(中心)无偿提供。
—— 其他行政和事业单位、高校和科研院所用户因职责履行或科学研究所需要使用中间数据、结果数据,需向相关的卫生健康行政部门申请,审批通过后由卫生健康行政部门下属信息管理部门(中心)无偿提供。
—— 公安等特殊政府部门需要使用原始数据,需向相关的卫生健康行政部门申请,审批通过后由信息管理部门(中心)无偿提供。
—— 其他社会用户如需要使用结果数据或中间数据,需向相关卫生健康行政部门申请,审批通过后由信息管理部门(中心)有偿提供,具体标准由相关部门另行制定。
—— 在保证患者个人隐私的前提下,按照相关规定在履行居民和患者本人授权和卫生健康行政部门批准的合法合规程序后,信息管理部门(中心)可以为医疗保险、健康管理等机构提供相关原始数据。
—— 医疗卫生服务提供者为居民和患者个人提供医疗卫生服务时,按照相关规定在履行居民和患者本人授权和卫生健康行政部门批准的合法合规程序后,可使用原始数据。
—— 在保证居民和患者个人隐私的前提下,经卫生健康行政部门批准,信息管理部门(中心)可以对医疗卫生机构提供限于科研、医疗、健康管理用途的原始数据。
—— 居民和患者个人通过安全的身份认证后,方可使用本人原始数据。
7 卫生信息资源使用方式
卫生信息资源开放平台是卫生信息开放共享最重要的渠道,依托卫生信息资源的开放平台建立规范化数据应用环境,基于卫生信息资源目录实现对数据的发布,推动数据在安全架构下的合理共享与使用。
7.1 卫生信息资源目录
根据已发布的卫生信息标准及卫生信息资源,按照《政务信息资源目录编制指南(试行)》中关于政务信息资源目录的要求,明确卫生信息资源的分类、责任方、格式、属性、更新时限、共享类型、共享方式、使用要求等内容。 在行业卫生信息整合、跨行业卫生相关信息融合的基础上,逐步实现卫生信息互联共享,按照卫生信息资源的数据属性和应用领域进行信息分类,按照卫生信息资源的保密级别、使用权限进行信息分级,形成内容全面、信息完整、分类合理、分级明确的卫生信息资源库及信息资源目录。
7.1.1 卫生信息资源目录管理
国家卫生健康行政部门汇总形成国家卫生信息资源目录,并建立目录更新机制。国家卫生信息资源目录是实现国家卫生信息资源共享和业务协同的基础,是医疗卫生服务机构和卫生健康行政部门间信息资源共享的依据。 各级卫生健康行政部门维护本地区卫生信息资源目录,并在有关法律法规作出修订或业务需求或行政管理职能发生变化后及时更新本地区卫生信息资源目录,并负责对卫生信息资源目录更新工作的监督考核。
4
WS/T 788—2021
7.1.2 卫生信息资源目录开放
基于卫生信息资源目录建立卫生信息资源的开放平台,依据相关规范向卫生信息资源用户公开卫生信息资源,合法有序地推进卫生信息资源的共享开放,除法律、法规另有规定外,需遵循政府信息公开原则。 凡涉及国家秘密的数据资源,按照国家有关涉密数据管理规定执行。
7.2 数据使用的全生命周期管理
用户基于信息资源目录申请使用卫生信息资源,形成数据使用者经授权获取卫生信息数据的业务流程管理。卫生信息资源使用过程必须基于全生命周期管理规范,在卫生信息资源的整个生命周期内,记录数据从创建存储开始,包括数据的申请、审批、创建、利用、回收、销毁的全过程。
—— 数据申请:基于卫生信息资源目录为数据使用者提供在线的数据申请通道。
—— 数据审批:数据管理者基于数据授权使用原则对数据申请进行审批。
—— 数据创建:通过数据管理者审批的数据申请,由信息管理部门(中心)实现对数据开放任务的创建,完成申请范围数据的准备。
—— 数据利用:数据使用者可通过指定的方式获取已创建的数据。不同的数据提供方式需辅以不同的安全策略,使用单位或者个人应当按照授权要求,做好所涉及的卫生信息资源安全和隐私保护工作,使用单位或者个人不得超出授权范围利用卫生信息资源。数据的提供方式可根据数据属性、应用领域、保密级别等相关分级要求,采用合适的方式进行提供,包括但不限于: 在指定地点或设备上直接使用数据; 以数据接口对接形式交换数据; 以数据导出形式借助存储介质(如光盘等)提供数据。
—— 数据回收:数据使用者在完成数据使用以后,将可以手动/自动完成信息资源的授权回收,用户将失去对回收后数据的访问权限。
—— 数据销毁:数据在使用完成以后,用户将只能导出最终的结果数据,在数据计算中产生的中间数据将被销毁。
8 卫生信息资源的安全管理
8.1 卫生信息资源管理制度建设
8.1.1 卫生健康行政部门建立日常监督制度
卫生健康行政部门应当加强对本行政区域内各卫生信息资源管理工作的日常监督检查,对本行政区域内各卫生信息资源综合利用工作的指导监督,提高精细化卫生信息资源服务和管理能力。
8.1.2 卫生健康行政部门建立通报制度
相关机构和个人在卫生信息资源利用、卫生信息资源系统建设维护和技术支持等过程中,违反本办法规定造成不良后果的,应当对其予以通报;情节严重、违反国家法律法规的,依照国家有关法律法规追究其法律责任。
8.2 卫生信息资源安全管理与监督保障
卫生信息资源主管部门应按照各级网络与信息安全监管部门的要求,建立卫生信息资源安全保障体系,实施分级管理。卫生信息资源使用应当做好隐私保护工作,涉及敏感信息的原始个案数据提供服务需按照规范流程严格执行。用户对其所使用的卫生信息资源承担安全和保密责任。 信息管理部门(中心)需按照《中华人民共和国网络安全法》、国家网络安全等级保护制度等相关要求,建立健全卫生信息资源相关系统安全保障体系,建立网络安全管理制度、安全审查制度、日志审计制度、操作规程和技术规范等工作机制,保障卫生信息资源信息安全。
8.2.1 数据安全管理
5
WS/T 788—2021
对数据进行分级管理,通过数据分类识别、数据安全目录、数据脱敏、数据安全审计、数据访问权限分级等手段,防止数据被非法使用。卫生信息资源使用单位在使用个案数据时,按照相关规定在履行居民和患者本人授权和卫生健康行政部门批准的合法合规程序后,在个人知情的前提下使用。
-访问控制:信息数据涉及隐私和敏感性,因此数据存取需要进行访问控制,通过设定逻辑边界和安全访问策略实现数据过滤,避免信息泄露。
-数据保护:提供数据隔离存储、数据传输的非对称加密(内部或外部)、数据保存的加密、数据的异常泄露控制等功能来加强数据层地的安全策略。
-用户隔离:保证用户的数据、服务或存储资源不被其他用户访问。进行端到端保护,必须安全地隔离每个用户的权限。
-数据脱敏:使用结果数据或中间数据时,应对居民和患者个人隐私信息进行脱敏处理。
8.2.2 网络安全管理
对存储和处理的敏感数据进行透明加密,防止敏感数据泄露。
通过部署数据防火墙和审计对数据的访问操作进行实时监控,阻断违规访问,实现安全事件可追朔、可定责。
8.2.3 安全审查管理
卫生信息资源服务相关系统的信息技术产品和服务提供者应当遵守国家相关信息安全审查制度,不得中断或者以其他方式中断合理的技术支持与服务,并应当为卫生信息在不同系统间的迁移、交互、共享提供安全与便利条件。
8.2.4 日志审计管理
对卫生信息资源的必须具备完善的日志功能,为卫生信息资源管理部门提供数据使用的管理、日志、审计、控制和追朔功能。
6
▏转载出处:卫健委 国卫通【2021】10号
▏原文链接:
▏转载声明:如涉及作品内容、版权和其它问题,请在30日内与本网联系,我们将在第一时间删除内容!本站此栏目版权归原作者原出处所有,本站只提供参考并不构成任何应用建议。本站拥有对此声明的最终解释权
