医疗行业数据安全风险评估实践指南（一）

1. 背景

风险评估（risk assessment）风险识别、风险分析和风险评价的整个过程。

—— GB/T 20984-2022《信息安全技术 信息安全风险评估方法》

风险评估是一个通意概念，风险不仅局限于某个行业或者领域，一切事物皆有风险，基于风险的系统工程理论是现代工程体系中的最佳实践。将风险纳入在整个组织的有机管理之下，能够为组织提供一种前置危机的良性活动，及早辨识组织所面临的风险，能够让组织用最低的成本应对在风险发生后所产生的直接或间接经济损失或无形资产损失。而风险管理活动的基础则是风险评估。风险评估根据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》所描述，是针对风险在组织内由信息系统所触发的风险的识别、分析和评价风险的完整过程，该过程为组织开展信息系统风险管理工作提供基础。通过风险评估确定风险的大小和重要性，为风险管理决策提供依据。

数据安全风险评估工作的开展是从2021年我国《数据安全法》发布之后正式提出。从狭义数据安全风险评估的概念我们可以理解为传统网络安全风险评估的一个组件或活动；从广义数据安全风险评估角度而言，数据安全风险评估是一项专门针对数据处理活动产生的风险所进行的评价过程。根据《信息安全技术 数据安全风险评估方法（征求意见稿）》的定义，我们将数据安全风险评估描述为“数据安全风险评估（data security risk assessment）对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。”从笔者的角度理解数据安全风险评估与传统信息安全风险评估的区别在于：

1.信息系统风险评估是针对组织整个网络资产建立评估活动，从传统的网络资产定义可参阅附录1GB/T 20984-2022《信息安全技术 信息安全风险评估方法》所示；数据安全风险评估应建立在数据处理活动过程 中所产生的数据安全风险；

2.传统信息安全风险评估是针对网络资产所面临的威胁与脆弱性产生的风险评价过程；数据安全风险评估应针对数据自身在流经各个数据载体时所产生的数据处理风险的评价，在此过程基础上，数据自身的脆弱性成为一种独特的风险识别过程，如：数据标准、数据质量、数据异构活动等；

3.由于传统的信息安全风险评估源自与CC（通用准则）体系，而CC从信息安全三元组出发，将机密性、完整性和可用性作为评价风险的主要因素，与业务松耦合，通常从系统入手开展评估工作；而数据安全风险评估与业务密切相关，数据的一举一动都可能造成业务的中断或异常，因此，数据安全风险评估工作更应该从业务入手

由于数据安全更偏向于业务，因此难以从通用数据安全角度讨论数据安全风险评估，笔者根据对某医院开展数据安全风险评估工作入手，讨论如何针对医疗行业开展数据安全评估，为医疗行业提供一种参考和实践。

1.1 国家要求及解读

1.1.1 数据安全法

《中华人民共和国数据安全法》自2021年9月1日起正式施行，是我国在数据安全领域的首部基础性法律。该法旨在规范数据处理活动，保障数据安全，促进数据的合理开发和利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益。在本法中，针对数据安全风险评估工作提出了三方面的要求：

1.从国家统一管理角度出发：

本法在第十八条中从国家统一管理的角度要求“国家促进数据安全检测评估、认证等服务的发展，支持数据安全检测评估、认证等专业机构依法开展服务活动。”数据安全风险评估关乎组织对数据安全工作的基础，数据安全风险评估工作的专业性、权威性、客观性关乎整个工作的成败；因此，建立国家级的数据安全风险评估成为必然。

目前国内数据安全风险评估授权认证主要包括：

中国信息安全测评中心针对个人的CISP-DSG认证和针对组织的《信息安全服务资质（数据安全类）》

中国网络安全审查认证和市场监管大数据中心的针对个人的CCRC-DSA认证和针对组织的数据安全管理认证；

针对行业认证要求中，工信部针对数据安全风险评估工作要求具备工信部认可的认证资质，主要为中国信通院《数据安全管理能力认证》以及数据安全风险评估服务认证

同时在本法中，国家对数据安全风险评估工作进一步提出要求“国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”在此基础上本法第第二十二条对未来数据安全风险评估工作做出进一步要求“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。……”

2.从数据处理者义务出发

从数据处理者角度出发，针对组织重要数据应依据本法第三十条要求，“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。”有关重要数据的风险评估在《网络数据安全管理条例》中给出了更具体的规定。

《网络数据安全管理条例》中对重要数据给出定义为“重要数据，是指特定领域、特定群体、特定区域或者达到一定精度和规模，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”医疗健康数据事关民生工程，诸如艾滋病患者信息、基因数据等医疗健康数据成为国家重要的数据资源，关乎国家安全及社会稳定问题。同时医疗领域还包含大量未成年人健康数据，且大多数三甲医院所包含的患者历史数据及增量数据超过百万条。因此，针对医疗行业数据安全风险评估工作成为数据安全保护的重中之重。

3.从数据跨境管理要求出发

数据跨境传输工作受到全球关注，数据资产可能产生的情报价值和无限的商业价值使得各国对数据跨境传输都格外关注。不管是欧盟的GDPR（通用数据保护条例 ），还是美国的隐私盾 都对数据跨境传输做出严格的约定。根据《数据安全法》的要求，产生数据跨境传输活动的风险评估由网信部门统一组织及开展，故本文不讨论有关数据跨境传输可能产生的风险评估工作，但如组织数据需要跨境时，应根据要求向网信部门申报并经过评估后方可开展相关跨境传输活动。

1.1.2 个人信息保护法

《个人信息保护法》在《数据安全法》的基础上进一步将涉及个人信息的保护工作制定专门的立法规范，从本质上而言，个人信息依旧属于“数据”的范畴之内，本法针对个人信息给出明确的定义“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”本法通过立法明确了保护个人信息权益、规范个人信息处理活动以及促进个人信息的合理利用。从医疗领域而言，针对个人信息的保护主要针对医患双方的信息建立保护的基本原则。

国家针对个人信息的风险评估在第六十二条中指出，由国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作，第四款明确提出推进个人信息保护社会化服务体系建设，支持有关机构开展个人信息保护评估、认证服务。医疗健康数据的属主主要为个人，依据本法第五十五条规定“有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录：（一）处理敏感个人信息；（二）利用个人信息进行自动化决策；（三）委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息；（四）向境外提供个人信息；（五）其他对个人权益有重大影响的个人信息处理活动。”同时在第五十六条中指出针对个人信息保护影响评估应当包括“（一）个人信息的处理目的、处理方式等是否合法、正当、必要；（二）对个人权益的影响及安全风险；（三）所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。”因此，在医疗行业建立数据安全风险评估工作时应充分考虑《个人信息保护法》的相关要求。

1.1.3 数据安全管理条例

根据我国立法通例，《数据安全法》具体执行和落实要依据相关法规和管理办法，2024年9月30日，国务院依据《数据安全法》发布了《网络数据安全管理条例》，并于2025年1月1日正式执行。条例针对数据安全风险评估工作提出如下要求：

1.在第三十条中规定，重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任，其中第二款中明确要求定期组织开展网络数据安全风险监测、风险评估、应急演练、 宣传教育培训等活动，及时处置网络数据安全风险和事件；同时在第三十三条中明确了评估应当每年度开展对其网络数据处理活动风险评估，并向省级以上有关主管部门报送风险评估报告，有关主管部门应当及时通报同级网信部门、公安机关。

2.针对重要数据的评估要求，在第三十一条中提出（1）评估实施主体为重要数据处理者，启动评估的条件是在提供、委托处理、共同处理重要数 据前，进行风险评估，但是属于履行法定职责或者法定义务的除外。（2）针对网络数据安全风险评估的重点评估包括但不限于（一）提供、委托处理、共同处理网络数据，以及网络数据接收方 处理网络数据的目的、方式、范围等是否合法、正当、必要；（二）提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险，以及对国家安全、公共利益或者个人、组织合法权益带来的风险；（三）网络数据接收方的诚信、守法等情况；（四）与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务；（五）采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险； （六）有关主管部门规定的其他评估内容。

3.针对评估报告内容，在第三十三条中做出进一步说明（一）网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等；（二）处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等，开展网络数据处理活动的情况，不包括网络数据内容本身；（三）网络数据安全管理制度及实施情况，加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性； （四）发现的网络数据安全风险，发生的网络数据安全事件及处置 情况； （五）提供、委托处理、共同处理重要数据的风险评估情况；（六）网络数据出境情况；（七）有关主管部门规定的其他报告内容。处理重要数据的大型网络平台服务提供者报送的风险评估报告，除包括前款规定的内容外，还应当充分说明关键业务和供应链网络数据安全等情况。

4.针对行政监管部门，条例在第四十八条中要求“各有关主管部门承担本行业、本领域网络数据安全监督管理职责，”国家卫健委及各省市卫健机构应依据本条例“明确本行业、本领域网络数据安全保护工作机构，统 筹制定并组织实施本行业、本领域网络数据安全事件应急预案，定期组 织开展本行业、本领域网络数据安全风险评估，对网络数据处理者履行 网络数据安全保护义务情况进行监督检查，指导督促网络数据处理者及 时对存在的风险隐患进行整改。”

1.2 行业要求及解读

1.2.1医疗卫生机构网络安全管理办法

2022年8月8日，国家卫健委依据《网络安全法》《数据安全法》发布了《医疗卫生机构网络安全管理办法》在办法的第二十一条中针对医疗卫生机构数据安全工作提出要求，要求中指出“各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范，涉及的管理制度每年至少修订一次，建议相关人员每年度签署保密协议。每年对本单位的数据进行数据安全风险评估，及时掌握数据安全状态。加强数据安全教育培训，组织安全意识教育和数据安全管理制度宣传培训。……”

本法明确提出（1）应开展数据安全风险评估；（2）每年一次；（3）通过风险评估及时掌握数据安全状态；本办法也将数据安全风险评估工作作为医疗卫生机构一项常态化工作进行推动和要求。

原文始发于微信公众号（老烦的草根安全观）：医疗行业数据安全风险评估实践指南（一）