WS T 788-2021 国家卫生信息资源使用管理规范.pdf

1、 ICS 11.020 CCS C 07 WS 中华人民共和国卫生行业标准 WS/T 788 2021 国家卫生信息资源使用管理规范 Management specification for use of health information resource 2021-10 -27 发布 2022 - 04 - 01 实施 中华人民共和国国家卫生健康委员会 发布 WS/T 788 2021 I 目次 1 范围 . . 1 2 规范性引 用文件 . . 1 3 术语和定 义 . . 1 4 总则 . . 2 5 总体框架 . . 2 6 卫生信息 资源管理职责 . . 3 7 卫生信息 资源使

2、用方式 . . 4 8 卫生信息 资源的安全管理 . . 5 WS/T 788 2021 II 前 言 本标准由国家卫生健康标准委员会卫生健康信息标准专业委员会负责技术审查和技术咨询， 由国家 卫生健康委统计信息中心负责协调性和格式审查， 由国家卫生健康委规划发展与信息化司负责业务管理、 法规司负责统筹管理。 本标准起草单位：国家卫生健康委统计信息中心、上海市卫生健康信息中心、上海申康医院发展中 心。 本标准主要起草人：胡建平、徐向东、谢桦、何萍、周光华、崔欣、张宇希、梁艺琼、滕琳。 WS/T 788 2021 1 国家卫生信息资源使用管理规范 1 范围 本标准定义了“全民健康保障信息化工程一

3、期项目”卫生信息资源的管理职责、使用方式和安全管 理要求。 本标准适用于“全民健康保障信息化工程一期项目”卫生信息资源使用与管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 标准。 GB/T 21062.1 政务信息资源交换体系 第1部分 总体框架 GB/T 21062.4 政务信息资源交换体系 第4部分 技术管理要求 GB/T 31167 信息安全技术 云计算服务安全指南 GB/T 36073 数据管理能力成熟度评估模型 3 术语

4、和定义 下列术语和定义适用于本标准。 3.1 卫生信息资源 health inform ation resource 卫生系统部门或机构在履行职责或开展业务过程中采集、存储、传输、处理和产生的以数字化形式 记录的各类信息的集合。卫生信息资源分标准类数据资源和业务类数据资源两大类。 3.1.1 标准类数据资源 standard da ta resources 具有基础性、通用性、标识性和共享性等特征的卫生信息资源，包括基础类、数据类、技术类、管 理类等。 3.1.2 业务类数据资源 service dat a resources 由卫生业务系统和管理系统产生的信息资源，包括公共卫生、医疗服务、医

5、疗保障、药品管理、计 划生育、综合管理等方面的信息资源。 业务类数据资源根据数据处理形态分为三类。一是原始数据，直接产自医疗卫生机构的业务系统和 管理系统，未经加工的数据（集）；二是中间数据，经过脱敏脱密处理，根据主题形成的或依据用户需 求定制的数据（集）；三是结果数据，经过统计、分析、计算等加工处理后产生的可供直接应用的数据。 3.2 卫生信息资源用户 health info rmation resource uses 遵守国家有关法律、法规和本规范的相关条款，按需提出卫生信息资源使用申请的公民、法人或者 其他组织。卫生信息资源用户分为五类：卫生健康行政部门，卫生健康行政部门下属机构用户，其

6、他政 府行政管理部门和下属机构用户，高校和研究所等科研机构用户，其他用户。 3.3 服务类型 type of service WS/T 788 2021 2 服务类型包括无偿服务和有偿服务，无偿服务指免费或只收取数据服务成本费，有偿服务指酌情收 取数据服务费。 4 总则 4.1 目的 本标准目的是加快推动卫生信息资源管理与共享， 提高卫生信息使用效率效果， 提升卫生服务水平， 充分发挥卫生信息资源共享在深化医改、创新服务和管理中的重要作用。 本标准是继全民健康信息平台以互联互通的方式对卫生信息数据采集、 整合与治理形成可靠的信息 资源之后，以开放、安全的资源管理框架形成对信息资源使用的全生命周

7、期管理，促进卫生信息资源的 合理共享与应用。 4.2 原则 以共享为原则，不共享为例外。各医疗卫生机构和卫生健康行政部门形成的卫生信息资源原 则上应予共享，涉及国家秘密和安全的，按相关法律法规执行。 需求导向，按需使用。因业务需要或者履行职责需要使用共享信息的机构和个人提出明确的 卫生信息共享需求和信息使用用途，卫生信息产生和提供机构和部门应及时响应。 统一标准，统筹建设。按照国家卫生信息相关标准进行卫生信息资源的采集、存储、交换和 共享工作，坚持“一数一源”、统筹建设卫生信息资源目录体系以及基于目录的共享交换体 系。 建立机制，保障安全。建立卫生信息资源共享管理机制和信息共享工作评价机制，各

8、级卫生 健康行政部门和信息资源共享平台管理单位应加强对数据资源管理与使用全过程的身份鉴别、 授权管理、审计追踪和安全保障，确保共享信息安全。 5 总体框架 国家卫生信息资源使用管理规范遵从GB/T 21062.1、GB/ T 21062.4、GB/T 3 6073、GB/T 31167 等标 准，主要包含：卫生信息资源管理职责划分，卫生信息资源使用方式以及卫生信息资源的安全管理与监 督保障。总体架构如图1所示： 6 卫生 6.1 数 卫 生 卫生信 息 各 级 各 级 如下职 责 6.2 数 各 级 采集的 信 息应当 严 信息资源管 理 据管理者 生 信息资源 的 息 资源的管 理 级 卫生

9、健康 行 负责卫生 信 负责卫生 信 负责监督 和 级 各类医疗 卫 责 ： 负责卫生 信 负责卫生 信 负责卫生 信 负责用户 申 负责卫生 信 据提供者 级 各类医疗 卫 信 息应当符 合 严 格实行信 息 图1 理 职责 的 使用实行 分 理 与使用服 务 行 政部门为 卫 信 息资源管 理 信 息资源提 供 和 管理管理 范 卫 生机构信 息 信 息资源的 采 信 息资源共 享 信 息资源安 全 申 请授权的 合 信 息资源的 信 卫 生机构为 数 合 业务应用 和 息 复核程序， 国家卫生 信 分 级管理，由 务 。 卫 生信息资 源 理 的相关标 准 供 和使用过 程 范 围内卫生

10、 信 息 管理部门（ 采 集、存储 和 享 、开放、 利 全 使用环境 的 合 规性审核； 信 息安全保 障 数 据提供者， 和 管理要求， 避免重复 采 信 息资源使 用 国家、省（ 市 源 主管部门， 准 、规范、 制 程 中的审批 和 信 息资源的 保 中心）为卫 生 和 处理； 利 用等技术 服 的 搭建及维 护 障 工作。 应当按照“ 一 保证卫生信 息 采 集、多头采 集 用 管理规范 总 市 区）、市、 履行如下职 制 度的制订和 和 监督工作； 保 密工作。 生 信息资源 使 服 务的提供； 护 ； 一 数一源、 最 息 中标识的 唯 集 ；应当严 格 总 体框架 县四级全 民

11、 责 ： 落 实； 使 用管理的 实 最 少够用” 的 唯 一性，数 据 格 执行相关 标 WS/T 民 健康信息 平 实 施单位（ 部 的 原则采集 卫 据 的一致性， 标 准，做到 标 788 2021 3 平 台提供本 级 部 门），履 行 卫 生信息， 所 所采集的 信 标 准统一、 术 级 行 所 信 术 WS/T 788 2021 4 语规范、内容准确；在数据发生变更时，应当将所管理的卫生信息完整、安全地移交给主管部门或承接 延续其职能的机构管理，不得造成卫生信息的损毁、丢失；应当按照法律法规的规定，遵循医学伦理原 则，保证信息安全，保护个人隐私。 6.3 数据使用者 各类卫生信息

12、资源用户为数据使用者，应依法依规使用卫生信息资源，加强信息资源使用的全过程 管理。数据使用者对从共享平台获取的信息，只能按照明确的目的和用途使用，不得直接或以改变数据 形式等方式提供给第三方，也不得用于或变相用于其他目的。 6.4 数据使用规则 各级卫生健康行政部门用户因履行职责需要使用中间数据、结果数据，由下属信息管理部门 （中心）无偿提供。 各级卫生健康行政部门下属事业单位用户因开展业务需要使用中间数据、结果数据，由卫生 健康行政部门下属信息管理部门（中心）无偿提供。 其他行政和事业单位、高校和科研院所用户因职责履行或科学研究所需要使用中间数据、结 果数据，需向相关的卫生健康行政部门申请，

13、审批通过后由卫生健康行政部门下属信息管理 部门（中心）无偿提供。 公安等特殊政府部门需要使用原始数据，需向相关的卫生健康行政部门申请，审批通过后由 信息管理部门（中心）无偿提供。 其他社会用户如需要使用结果数据或中间数据，需向相关卫生健康行政部门申请，审批通过 后由信息管理部门（中心）有偿提供，具体标准由相关部门另行制定。 在保证患者个人隐私的前提下，按照相关规定在履行居民和患者本人授权和卫生健康行政部 门批准的合法合规程序后，信息管理部门（中心）可以为医疗保险、健康管理等机构提供相 关原始数据。 医疗卫生服务提供者为居民和患者个人提供医疗卫生服务时，按照相关规定在履行居民和患 者本人授权和卫

14、生健康行政部门批准的合法合规程序后，可使用原始数据。 在保证居民和患者个人隐私的前提下，经卫生健康行政部门批准，信息管理部门（中心）可 以对医疗卫生机构提供限于科研、医疗、健康管理用途的原始数据。 居民和患者个人通过安全的身份认证后，方可使用本人原始数据。 7 卫生信息资源使用方式 卫生信息资源开放平台是卫生信息开放共享最重要的渠道， 依托卫生信息资源的开放平台建立规范 化数据应用环境， 基于卫生信息资源目录实现对数据的发布， 推动数据在安全架构下的合理共享与使用。 7.1 卫生信息资源目录 根据已发布的卫生信息标准及卫生信息资源，按照政务信息资源目录编制指南（试行）中关于 政务信息资源目录的

15、要求，明确卫生信息资源的分类、责任方、格式、属性、更新时限、共享类型、共 享方式、使用要求等内容。 在行业卫生信息整合、跨行业卫生相关信息融合的基础上，逐步实现卫生信息互联共享，按照卫生 信息资源的数据属性和应用领域进行信息分类， 按照卫生信息资源的保密级别、 使用权限进行信息分级， 形成内容全面、信息完整、分类合理、分级明确的卫生信息资源库及信息资源目录。 7.1.1 卫生信息资源目录管理 国家卫生健康行政部门汇总形成国家卫生信息资源目录，并建立目录更新机制。国家卫生信息资源 目录是实现国家卫生信息资源共享和业务协同的基础， 是医疗卫生服务机构和卫生健康行政部门间信息 资源共享的依据。 各级

16、卫生健康行政部门维护本地区卫生信息资源目录， 并在有关法律法规作出修订或业务需求或行 政管理职能发生变化后及时更新本地区卫生信息资源目录， 并负责对卫生信息资源目录更新工作的监督 考核。 WS/T 788 2021 5 7.1.2 卫生信息资源目录开放 基于卫生信息资源目录建立卫生信息资源的开放平台， 依据相关规范向卫生信息资源用户公开卫生 信息资源，合法有序地推进卫生信息资源的共享开放，除法律、法规另有规定外，需遵循政府信息公开 原则。 凡涉及国家秘密的数据资源，按照国家有关涉密数据管理规定执行。 7.2 数据使用的全生命周期管理 用户基于信息资源目录申请使用卫生信息资源， 形成数据使用者经

17、授权获取卫生信息数据的业务流 程管理。卫生信息资源使用过程必须基于全生命周期管理规范，在卫生信息资源的整个生命周期内，记 录数据从创建存储开始，包括数据的申请、审批、创建、利用、回收、销毁的全过程。 数据申请：基于卫生信息资源目录为数据使用者提供在线的数据申请通道。 数据审批：数据管理者基于数据授权使用原则对数据申请进行审批。 数据创建：通过数据管理者审批的数据申请，由信息管理部门（中心）实现对数据开放任务 的创建，完成申请范围数据的准备。 数据利用：数据使用者可通过指定的方式获取已创建的数据。不同的数据提供方式需辅以不 同的安全策略，使用单位或者个人应当按照授权要求，做好所涉及的卫生信息资源

18、安全和隐 私保护工作，使用单位或者个人不得超出授权范围利用卫生信息资源。数据的提供方式可根 据数据属性、应用领域、保密级别等相关分级要求，采用合适的方式进行提供，包括但不限 于： 在指定地点或设备上直接使用数据； 以数据接口对接形式交换数据； 以数据导出形式借助存储介质（如光盘等）提供数据。 数据回收：数据使用者在完成数据使用以后，将可以手动/自动完成信息资源的授权回收，用 户将失去对回收后数据的访问权限。 数据销毁：数据在使用完成以后，用户将只能导出最终的结果数据，在数据计算中产生的中 间数据将被销毁。 8 卫生信息资源的安全管理 8.1 卫生信息资源管理制度建设 8.1.1 卫生健康行政部

19、门建立日常监督制度。 卫生健康行政部门应当加强对本行政区域内各卫生信息资源管理工作的日常监督检查， 对本行政区 域内各卫生信息资源综合利用工作的指导监督，提高精细化卫生信息资源服务和管理能力。 8.1.2 卫生健康行政部门建立通报制度。 相关机构和个人在卫生信息资源利用、卫生信息资源系统建设维护和技术支持等过程中，违反本办 法规定造成不良后果的，应当对其予以通报；情节严重、违反国家法律法规的，依照国家有关法律法规 追究其法律责任。 8.2 卫生信息资源安全管理与监督保障 卫生信息资源主管部门应按照各级网络与信息安全监管部门的要求， 建立卫生信息资源安全保障体 系，实施分级管理。卫生信息资源使用

20、应当做好隐私保护工作，涉及敏感信息的原始个案数据提供服务 需按照规范流程严格执行。用户对其所使用的卫生信息资源承担安全和保密责任。 信息管理部门（中心）需按照中华人民共和国网络安全法、国家网络安全等级保护制度等相关 要求，建立健全卫生信息资源相关系统安全保障体系，建立网络安全管理制度、安全审查制度、日志审 计制度、操作规程和技术规范等工作机制，保障卫生信息资源信息安全。 8.2.1 数据安全管理 对 数 限分级 等 居民和 患 8.2.2 对 存 通 过 可定责。 8.2.3 卫 生 得中断 或 享提供 安 8.2.4 对 卫 审计、 控 数 据进行分 级 等 手段，防 止 患 者本人授 权

21、访问控制： 界和安全 访 数据保护： 数据的异 常 用户隔离： 全地隔离 每 数据脱敏： 网络安全管 理 存 储和处理 的 过 部署数据 防 安全审查管 理 生 信息资源 服 或 者以其他 方 安 全与便利 条 日志审计管 理 卫 生信息资 源 控 制和追溯 功 级 管理，通 过 止 数据被非 法 权 和卫生健 康 信息数据 涉 访 问策略实 现 提供数据 隔 常 泄露控制 等 保证用户 的 每 个用户的 权 使用结果 数 理 的 敏感数据 进 防 火墙和审 计 理 服 务相关系 统 方 式中断合 理 条 件。 理 源 的必须具 备 功 能。 过 数据分类识 法 使用。卫生 信 康 行政部门

22、批 涉 及隐私和 敏 现 数据过滤， 隔 离存储、 数 等 功能来加 强 的 数据、服 务 权 限。 数 据或中间 数 进 行透明加 密 计 对数据的 访 统 的信息技 术 理 的技术支 持 备 完善的日 志 识 别、数据安 全 信 息资源使 用 批 准的合法 合 敏 感性，因 此 避免信息 泄 数 据传输的 非 强 数据层地 的 务 或存储资 源 数 据时，应 对 密 ，防止敏 感 访 问操作进 行 术 产品和服 务 持 与服务，并 应 志 功能， 为卫 生 全 目录、数 据 用 单位在使 用 合 规程序后， 在 此 数据存取需 泄 露。 非 对称加密（ 的 安全策略。 源 不被其他用 对

23、居民和患者 感 数据泄露。 实时监控， 阻 提供者应当 遵 应 当为卫生 信 生 信息资源 管 据 脱敏、数 据 用 个案数据 时 在 个人知情 的 要 进行访问 控 内部或外部 ） 户 访问。进 行 个 人隐私信 息 阻 断违规访 问 遵 守国家有 关 信 息在不同 系 管 理部门提 供 WS/T 据 安全审计、 时 ，按照相 关 的 前提下使 用 控 制，通过 设 ）、数据保 存 行 端到端保 护 息 进行脱敏 处 问 ， 实现安全 事 关 信息安全 审 系 统间的迁 移 供 数据使用 的 788 2021 6 数据访问 权 关 规定在履 行 用 。 设 定逻辑边 存 的加密、 护 ，必须安 处 理。 事 件可追溯、 审 查制度， 不 移 、交互、 共 的 管理、 日志、 权 行 不 共