欢迎访问学兔兔标准下载网,学习、交流 分享 !
返回首页 |
ICS 35.240.80 CCS C 07
CIATCM
中 国 中 医 药 信 息 学 会 团 体 标 准
T/CIATCM 123—2025
中医医院数据安全管理技术规范
Data security management and technical specifications for Traditional Chinese
Medicine hospitals
2025-12-26 发布 2026-01-26 实施
中国中医药信息学会 发 布
T/CIATCM 123—2025
目 次
前言 II
引言 III
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 4
5 总体框架 4
6 基本原则 4
6.1 数据安全管理应遵循的基本原则 4
6.2 数据安全技术应遵循的基本原则 5
7 通用管理技术规范 5
7.1 通用管理要求 5
7.2 通用技术要求 7
8 数据处理安全管理技术规范 8
8.1 数据收集 8
8.2 数据存储 10
8.3 数据使用 12
8.4 数据加工 12
8.5 数据传输 13
8.6 数据提供 14
8.7 数据公开 15
8.8 数据销毁 16
参考文献 17
I
T/CIATCM 123—2025
前 言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由国家中医药管理局提出。
本文件由中国中医药信息学会归口。
本文件起草单位:广东省中医院(广州中医药大学第二附属医院)、湖北中医药大学、江门市五邑中医院。
本文件主要起草人:曾宇平、刘洋、赵继业、廖欣欣、徐飞龙、王国、王茂、温伟杰、王斯琪、刘万成、伍思亮、高秋香、任子健、林怀远、钟涛、傅昊阳、 肖勇、田双桂、陈健超、冯俊杰、刘登山、蒋宏建。
II
T/CIATCM 123—2025
引 言
本文件在相关法律法规、标准规范以及行业要求的基础上,针对中医医院提出了具体的数据安全管理技术规范,确定了中医医院数据安全管理技术总体框架、基本原则、通用管理以及数据处理安全管理技术规范。
本文件用于指导中医医院制定数据安全管理策略、落实数据安全管理工作,提高中医医院数据安全管理与防护水平,确保中医医院数据安全。
III
T/CIATCM 123—2025
中医医院数据安全管理技术规范
1 范围
本文件规定了中医医院数据安全管理技术总体框架、基本原则、通用管理、数据处理等安全管理技术规范。
本文件适用于中医医院开展数据安全管理与技术应用工作,为开展中医医院数据安全测评等工作提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2022 信息安全技术 术语
GB/T 29765—2021 信息安全技术 数据备份与恢复产品技术要求与测试评价方法
GB/T 31167—2023 信息安全技术 云计算服务安全指南
GB/T 31168—2023 信息安全技术 云计算服务安全能力要求
GB/T 35273—2020 信息安全技术 个人信息安全规范
GB/T 35274—2023 信息安全技术 大数据服务安全能力要求
GB/T 36073—2018 数据管理能力成熟度评估模型
GB/T 37964—2019 信息安全技术 个人信息去标识化指南
GB/T 37973—2019 信息安全技术 大数据安全管理指南
GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型
GB/T 39725—2020 信息安全技术 健康医疗数据安全指南
GB/T 40645—2021 信息安全技术 互联网信息服务安全通用要求
GB/T 40660—2021 信息安全技术 生物特征识别信息保护基本要求
GB/T 41819—2022 信息安全技术 人脸识别数据安全要求
GB/T 42571—2023 信息安全技术 区块链信息服务安全规范
GB/T 43697—2024 数据安全技术 数据分类分级规则
GM/T 0109—2021 基于云计算的电子签名服务技术要求
T/CIATCM 058—2019 中医药信息标准编制通则
T/GDWJ 013—2022 广东省健康医疗数据安全分类分级管理技术规范
T/GZBD 9—2022 大数据安全管理规范
T/ISC—0011—2021 数据安全治理能力评估方法
3 术语和定义
GB/T 25069—2022、GB/T 35273—2020、GB/T 35274—2023、GB/T 37988—2019、GB/T 43697—2024界定的以及下列术语和定义适用于本文件。
3.1
中医医院数据 data of Traditional Chinese Medicine hospital
在中医医院业务经营活动中产生和收集的各类临床、教学、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。
注 1:中医医院数据包括但不限于患者个人健康医疗数据(包括个人基本信息、病历记录数据、身体部位或身体物质检查检验结果数据、穿戴设备采集数据、健康医疗服务相关数据等),遗传资源数据(包括人体基因组、基因等遗传物质的器官、组织、细胞等遗传信息资料),医疗设备和仪器数据,教学、科研、服务、运营管理数据等,以及由上述数据加工处理得到的相关数据。
1
T/CIATCM 123—2025
注 2:本文件提及的数据均指中医医院数据。
3.2
数据安全 data security
通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 [来源:GB/T 35274—2023,3.17]
3.3
数据处理 data handling
数据操作的系统执行,以实现特定目的的数据收集、存储、使用、加工、传输﹑提供、公开、销毁等活动。
注:数据操作如数据的数学运算或逻辑运算,数据的归并或分类,文本的操作、存储、检索,显示或打印,数据的挖掘分析,数据可视化等。
[来源:GB/T 35274—2023,3.2] 3.4
个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
[来源:GB/T 35273—2020,3.1] 3.5
个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
[来源:GB/T 35273—2020,3.2] 3.6
数据收集 data collection
根据特定的目的和要求,从一种或多种数据源选择和获取数据,并对数据进行清洗、标识、加载等数据操作,形成数据资产的数据处理活动。
注 1:中医医院数据收集活动是指中医医院在开展诊断、检查、治疗、护理等医疗活动以及科研、教育等业务活动时,对医院临床医疗、患者服务、医院经营管理和临床试验等数据进行获取收集的过程。
注 2:数据收集的范围包括中医医院内部数据与外部数据。
[来源:GB/T 35274—2023,3.2,有修改] 3.7
数据存储 data storage
将数据持久化保存在硬盘等存储介质中的数据处理活动。
[来源:GB/T 35274—2023,3.4] 3.8
数据使用 data usage
依据数据权限及收集和使用数据的目的和范围,以及确定的授权和访问控制策略,控制组织、人员或信息系统等主体对数据资产进行读取、检索、展示等操作的数据处理活动。
注:数据使用需对数据的种类、范围、处理方式及其目的等进行相应的控制。包括数据使用前条件控制和数据使用后义务履行。使用前条件是访问控制引擎在授权过程中,允许主体访问或使用客体数据前需核验的决策因素集。条件控制是用来检查存在的约束限制,数据权属及使用权限是否有效,哪些约束限制需更新等。使用后义务履行是主体在获得对客体的数据使用权限后要执行的要求。主体在获得权限执行数据使用操作后有执行获取这些权限的义务责任。
[来源:GB/T 35274—2023,3.5] 3.9
数据加工 data processing
通过数据脱敏、去标识化、数据分析等数据操作,生成新数据(集)的数据处理活动。
注:数据加工一般会涉及数据自身的改变,需要先读取数据,并经过变换、转换、纠错、编码、分析、挖掘、脱敏等数据操作生成新数据(集)。
[来源:GB/T 35274—2023,3.6]
3.10
2
T/CIATCM 123—2025
数据传输 data transmission
通过信息通信设备将数据从一个网络节点传送到一个或多个网络节点的数据处理活动。
注 1:网络节点可以是计算机、程序、终端设备、存储器、信息系统等。
注 2:中医医院数据传输模式可分为医院内部数据传输、医院与外部组织机构或个人的数据传输两种,相关应用场景包括电子病历、医疗记录、处方等信息在各科室的传输共享、医学影像数据从影像设备传输到医生工作站、监护设备将患者的生命体征信息传输到医生与护士工作站、检验检查数据传输共享、患者医疗费用和医保信息传输到医保机构进行医保费用结算等。
[来源:GB/T 35274—2023,3.7,有修改]
3.11
数据提供 data provision
向组织内其他责任主体或其他组织提供所控制的数据资产的数据处理活动。
注 1:组织内数据提供一般指跨安全域的数据交换、数据共享、数据转让等数据操作,跨组织的数据提供还可涉及数据的权益归属﹑数据跨境安全评估以及个人信息保护影响评估等数据操作。
注 2:中医医院数据提供场景包括电子病历数据共享、检验检查结果交换、医保结算数据交换、远程医疗会诊、科学研究数据交换、统计监测数据上报等。
[来源:GB/T 35274—2023,3.8,有修改]
3.12
数据公开 data disclosure
向其他组织、个人或指定范围公开所控制的数据资产的数据处理活动,使其可合规地获取所公开的数据。
[来源:GB/T 35274—2023,3.9]
3.13
数据销毁 data destruction
抹去或覆盖存储介质中的数据或销毁存储介质的数据处理活动。
注 1:数据销毁分为数据删除和介质销毁两种。数据删除是指在所涉及的信息系统及数据存储设备中抹去数据或者覆盖存储的数据,使其不可被检索、访问的状态;介质销毁则采用物理破坏、化学腐蚀等方法直接销毁存储数据的介质,以达到彻底删除数据的目的。
注 2:中医医院数据销毁是指在停止相关数据业务活动、数据保留期限到期、信息系统升级或更换、设备退役等场景下,对数据库、服务器、存储介质和终端中的数据进行销毁确保其无法复原的过程,例如:销毁过期或无效的医疗数据、医疗设备数据销毁、与第三方机构终止合作后共享数据销毁、医疗研究数据销毁、冗余数据销毁等。
[来源:GB/T 35274—2023,3.10,有修改]
3.14
核心数据 core data
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。
[来源:GB/T 43697—2024,3.3]
3.15
重要数据 key data
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
[来源:GB/T 43697—2024,3.2]
3.16
一般数据 general data
核心数据、重要数据之外的其他数据。
[来源:GB/T 43697—2024,3.4]
3.17
去标识化 de-identification
通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程。
注:去标识化建立在个体基础之上,保留了个体颗粒度,采用假名、加密、哈希函数等技术手段替代对个人信息的标识。
3
T/CIATCM 123—2025
[来源:GB/T 35273—2020,3.15]
3.18
数据脱敏 data masking
从原始环境向目标环境进行敏感数据交换时,通过一定的方法消除原始环境中数据的敏感性,并保留目标环境业务所需的数据特性或内容的数据处理过程。
3.19
电子签名 electronic signature
数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。
注:本文件中特指采用数字证书和数字签名技术实现的电子签名。
[来源:GM/T 0109—2021,3.1]
4 缩略语
APP:应用程序(Application)
CDP:持续数据保护(Continuous Data Protection)
HTTPS:超文本传输安全协议(Hypertext Transfer Protocol Secure)
IP:网际互连协议(Internet Protocol)
LAN:局域网(Local Area Network)
LAN-FREE:独立于局域网(Local Area Network-Free)
SDK:软件开发工具包(Software Development Kit)
5 总体框架
中医医院数据安全管理技术规范总体框架遵循数据安全管理与技术基本原则,从组织架构、人员管理、制度管理、数据分类分级、监控、审计与评估、安全事件应急等方面提出数据安全通用管理技术规范,从数据收集、存储、使用、加工、传输、提供、公开和销毁等数据处理各个环节提出数据处理安全管理技术规范,是中医医院开展数据安全管理工作的基本依据。
中医医院数据安全管理技术规范总体框架如图 1 所示。
6 基本原则
6.1 数据安全管理应遵循的基本原则
a) 合法正当原则:确保中医医院数据处理活动的合法性和正当性;
b) 目的明确原则:制定中医医院数据安全防护策略,明确数据安全防护目标和要求;
c) 全程可控原则:采取与中医医院数据安全级别相匹配的安全管控机制和技术措施,确保数据在数据处理各环节的保密性、完整性和可用性,避免数据被未授权访问、破坏、篡改、泄漏或丢失等;
d) 动态控制原则:中医医院数据的安全控制策略和安全防护措施不是一次性和静态的,可基于法律法规及政策标准要求、业务需求、安全环境属性、系统用户行为等因素实施实时和动态调整;
e) 权责一致原则:明确组织内数据安全管理工作相关部门与人员及其职责,相关部门及人员应积极落实相关措施,履行数据安全防护职责;
f) 可追溯审计原则:可对中医医院数据处理活动中各操作信息进行审计,并可追溯到相关的组织及人员;
g) 最小必要原则:数据处理活动中所使用的数据类型及数据规模仅限定为业务开展所必需,且具有合法、正当、必要的目的;
h) 责任长效性原则:当前控制数据的个人或组织应对数据的安全使用全权负责,当数据转交给其他个人或组织,安全责任不随数据转移而转移,个人或组织应对数据转移给其他组织所造成的数据安全事件承担安全责任。在数据转移前,个人或组织需进行风险评估,确保数据转移后的风险可承受,涉及院外合作时,可通过合同或其他有效方式明确各方数据安全责任。
4
T/CIATCM 123—2025
图 1 中医医院数据安全管理技术规范总体框架
6.2 数据安全技术应遵循的基本原则
a) 目的性原则:具有明确的目的和目标,能够解决实际问题或满足特定需求;
b) 适应性原则:根据不同数据处理环节进行选择和调整, 以适应不同的场景和需求;
c) 可追溯性原则:具备可追溯性,能够追查和了解技术的来源、发展和影响;
d) 可维护性原则:易于维护和更新,具备可扩展性和可升级性;
e) 易学习性原则:易于学习和理解,能够被用户所掌握和运用;
f) 可测试性原则:具备可测试性,能够通过测试和评估来验证数据安全技术的可行性和效果;测试内容包括:数据安全技术测试、数据安全合规性测试、数据生命周期安全测试、安全防护机制测试以及数据安全流程测试;
g) 优化性原则:追求效率和效果的最优化;
h) 先进性原则:采用先进、成熟、可靠的技术,遵循技术相关标准或规范,确保数据安全防护措施的先进性。
7 通用管理技术规范
7.1 通用管理要求
7.1.1 组织架构
5
T/CIATCM 123—2025
中医医院建立覆盖决策、管理、执行、监督四个层级的数据安全管理组织架构,明确业务部门与管理部门在数据安全活动中的主体责任,规范本单位管理部门、业务部门、信息化部门在数据分类分级、数据安全事件应急等数据安全管理工作中的权责,保障数据安全防护要求有效落实,安全要求如下:
a) 决策层:负责对医院数据安全建设整体策略与方针进行统筹管理、决策评价和审核批准等工作,指导管理层工作的开展,听取管理层关于工作情况和重大事项等的汇报。由医院主要负责人牵头、医院其他领导及相关部门负责人组成,成立数据安全领导小组;
b) 管理层:负责制定、发布、落实与更新医院数据安全相关管理制度、规程与细则等工作,组织协调、指导推进医院数据安全相关工作的开展,听取执行层关于数据安全执行情况和重大事项的汇报。可成立数据安全工作办公室,一般由信息化部门及业务部门负责人共同组成;
c) 执行层:负责在本部门内落实执行各项数据安全管理要求与安全防护措施,对数据安全事件进行监测、处置与分析。在医院各业务部门、信息化部门设置数据安全人员岗位,与数据处理活动的相关人员共同组成数据安全执行团队;
d) 监督层:负责确定数据安全审计策略及规范,落实监督数据安全策略规划、工作管理、能力建设、制度建设、落地执行、运营管理和教育培训等相关内容,定期开展数据安全审计和分析,及时发现、处理并反馈问题和风险。监督层对管理层和执行层各自职责范围内的数据安全工作情况进行监督,听取各方汇报,形成最终监督结论后同步汇报至决策层。可成立数据安全监督小组,一般由信息、医务、审计、监察以及随机抽调的业务部门人员等共同组成。
7.1.2 人员管理
中医医院对数据安全管理相关人员进行管理,确保其能满足实现数据安全管理目标的能力要求,保障数据安全管理策略的执行效果,可从制度保障、人员审批登记、人员能力要求、保密管理、安全培训与宣贯、安全责任奖惩管理等方面展开管理,安全要求如下:
a) 制定数据安全人员管理制度并严格落实,明确不同业务部门、职能部门和安全岗位人员的权责和能力等要求,明确数据安全管理相关人员招聘、录用、培训、考核、选拔、上岗、调岗、离岗以及外部人员管理等方面的安全管理操作规程,可要求涉及数据安全的岗位持相关资质证书上岗;
b) 对接触个人信息、重要数据、核心数据等数据的人员进行审批和登记。针对第三方应明确人员接触数据时的申请及批准流程,做好实名登记、人员背景审查等工作,防止因人员资质及违规操作引发的安全风险;
c) 要求数据安全岗位人员以及数据合作方等第三方人员每年度签订保密协议,明确数据访问范围、操作权限、人员调离岗保密要求、保密期限、违约责任等;
d) 制定数据安全培训与宣贯计划,定期在全院范围内组织数据安全培训与宣贯工作。培训与宣贯内容包括但不限于数据安全意识教育、法律法规、安全管理要求、管理制度等,针对数据岗位人员,培训与宣贯内容还应包括标准规范、技能培训、应急演练等。培训应留存培训记录,培训记录可作为个人岗位聘用、职务职称升迁的重要依据之一;
e) 建立数据安全责任奖惩管理制度,对数据安全管理与执行得好的部门与人员给予相应的奖励,对违反数据安全规定而造成损失的给予相应的违规违法惩处,并记录相关违规违法信息。数据安全责任奖惩记录可与部门评级评奖、个人职务职称升迁等挂钩。
7.1.3 制度管理
中医医院建立健全数据安全管理制度体系,数据安全管理制度建设全面覆盖数据安全的各个环节,明确各层级部门与相关岗位数据安全工作职责,规范工作流程与技术要求,同时兼顾数据安全管理未来的发展方向,涉及的管理制度每年至少修订一次。
数据安全管理制度体系可分为方针政策、管理规定、实施细则、辅助文件四个层级,各层级内容包括但不限于:
a) 一级文件方针政策是指面向组织制定的数据安全管理总纲,包括数据安全管理的顶层方针、策略、基本原则和安全目标等;
b) 二级文件管理规定是根据一级文件制定的数据安全通用管理办法、制度及标准,包括数据分类分级管理办法、数据处理安全管理办法、数据安全事件应急管理办法、数据安全监督与审计管
6
T/CIATCM 123—2025
理办法、数据安全人员管理办法、个人信息安全管理办法等;
c) 三级文件是指根据二级文件管理规定确定各业务、各环节的具体操作指南、规范,包括数据收集安全管理规范、数据存储安全管理规范、数据使用安全管理规范、数据加工安全管理规范、数据传输安全管理规范、数据提供安全管理规范、数据公开安全管理办法、数据销毁安全管理办法、数据出境安全评估要求、数据访问权限管理规范、密钥管理规范、数据脱敏技术规范、数据加密技术规范、数据安全事件应急预案、数据安全自查整改规范、员工数据安全问责规范、数据安全培训及考核方案、数据安全合作管理规范、数据安全审计规范、安全日志管理规范、新兴技术安全防范规范等;
d) 四级文件是指各项制度执行时产生的过程性文档,包括工作计划、申请表单、审核记录、日志文件、清单列表等辅助文件,以及数据分类分级清单、数据收集申请单、数据接口申请单、数据访问权限申请单、数据查询申请单、数据导出申请单、数据分级存储申请单、数据销毁确认书、数据安全事件处理报告、数据安全保密承诺书、数据安全风险日常检查记录、数据安全审计报告等。
中医医院结合本单位实际,建立完善数据使用申请及批准流程,遵循“谁主管、谁审查 ”、遵循事前申请及批准、事中监管、事后审核原则,严格执行业务管理部门同意、医院领导核准的工作程序,指导数据活动流程合规。
7.2 通用技术要求
7.2.1 数据分类分级
中医医院数据分类分级从总体要求、数据资源梳理、分类分级规范、分类分级清单、分类分级保护等方面开展管理,安全要求如下:
a) 总体要求:明确数据分类分级的总体要求、原则、维度和方法等,确定数据分类分级操作指南和工作流程,明确对数据资产分类分级清单的管理、不同级别的数据安全保障、数据分类分级的变更审批流程和机制等内容的要求;
b) 数据资源梳理:每年定期对医院的数据资产进行全面梳理,形成并及时更新数据资产清单。可建立数据资产管理平台,制定数据资源整合操作规程,实现对数据资产的数字化管理;
c) 分类分级规范:参考国家相关法律法规以及行业相关的数据分类分级指南制定本院数据分类分级标准及工作流程。可根据中医医院数据自身管理特点,按照树形结构,建立数据资源分类目录树,以此确定数据项的数据类型,并依据数据重要程度和敏感程度,确定数据资源的安全等级。定期开展数据分类分级工作,可采用人工与技术手段相结合的方法,进行数据资源的分类分级标识,并定期对数据资源的类别和级别进行评审;
d) 分类分级清单:形成完整的数据分类分级清单,明确数据类别和级别的对应关系,为各部门落实数据分类分级工作提供依据;
e) 数据分类分级保护:在数据分类分级的基础上,对数据处理活动进行分类分级管理与保护,对不同数据安全等级采取差异化防护措施。
7.2.2 监控、审计与评估
中医医院围绕数据和数据处理活动开展安全监控、审计与评估,掌握数据安全总体状况,动态调整数据安全策略与防护措施,降低数据未授权访问、数据滥用、数据泄露等安全风险,以实现数据安全治理持续优化与工作闭环,可从总体要求、态势监控、安全评估、风险预防、安全审计等方面开展监控、审计与评估,安全要求如下:
a) 总体要求:制定数据安全监控与审计管理规范,建立数据安全风控和审计监控相关规则,明确数据安全各阶段数据访问、操作的日志记录要求、安全监控与审计要求;
b) 态势监控:可建立数据安全监控审计平台,对风险点的安全态势进行实时监测,对数据泄露、数据篡改、数据窃取、数据非法使用等行为进行识别与预警,组织开展数据安全威胁分析和态势研判,及时通报预警和处置,对异常行为进行主动预防、发现和终止,防止数据外泄等数据安全事件;
c) 安全评估:建立数据安全检查评估机制,主动预防数据安全风险,安全要求如下:
1) 遵循 GB/T 37988-2019、T/ISC 0011—2021 等相关标准要求,对组织数据安全能力进行评
7
T/CIATCM 123—2025
估;
2) 依托组织内相关部门,如信息化部门开展医院数据安全评价,也可委托第三方测评机构开展专业评估;
3) 在开展数据处理工作前开展安全评估工作,包括理清数据资产、梳理数据处理场景、评估数据安全风险,确保数据处理活动符合法律法规、标准的规定,查验现有数据安全防护的管理和技术手段是否完善等;
4) 每年至少开展一次数据安全自查与风险评估,形成评估报告,及时掌握数据安全状态,并针对评估结果编制整改计划,开展数据安全整改加固工作。
d) 风险预防:常态化开展数据安全风险分析活动,风险类型包括但不限于权限风险、异常操作风险、数据出境风险等,主动预防数据安全风险,制定风险预防方案并监督实施,定期总结组织内部数据安全风险工作经验,建立数据安全风险预防知识库;
e) 安全审计,要求如下:
1) 按照 GB/T 36073—2018 中 10.3 规定的要求开展数据安全审计相关活动;
2) 记录数据处理各阶段的操作日志,对日志进行审计分析,识别并预警可疑行为;
3) 针对账号使用、权限分配、密码管理、漏洞修复等日常工作开展审计工作。审计内容包括活跃度异常账号、弱口令、异常登录、敏感数据是否加密存储与传输、敏感数据是否脱敏使用、漏洞是否定期修复等;
4) 以业务线为审计对象,定期开展专项数据安全审计工作。审计内容包括数据处理安全、隐私合规、合作方管理、鉴别访问、风险分析、数据安全事件应急等。
7.2.3 安全事件应急
中医医院建立数据安全事件应急响应体系,对各类数据安全事件及时响应和处置,从事前、事中、事后三个阶段最大程度降低数据安全事件带来的影响,安全要求如下:
a) 中医医院数据安全事件应急响应事前要求:
1) 建立完善的数据安全事件应急响应与处置机制,依据国家及行业主管部门规定、事件性质、影响范围等,对安全事件进行分级管理,明确不同类别事件的处置流程和方法,做好应急预案;
2) 制定数据安全应急预案培训、演练与宣贯计划,定期组织开展应急培训、演练与宣贯,保存相关记录,做好总结,降低数据安全事件发生风险;
3) 建立数据安全应急响应知识库并用于应急响应培训及演练计划。
b) 中医医院数据安全事件应急响应事中要求:
1) 根据数据安全事件应急预案对正在发生或准备发生的各类数据安全攻击警告、数据安全威胁警报等数据安全事件进行紧急处置,确保第一时间阻断数据安全威胁;
2) 根据数据安全威胁程度,应及时向主管部门、上级领导、可能受影响的组织和人员通报安全事件,必要时拨打 110 报警。
c) 中医医院数据安全事件应急响应事后要求:
1) 及时调查数据安全事件的直接和间接原因、经过、责任,评估数据安全事件造成的影响和损失,分析和总结数据安全事件防范和应急处置工作的经验教训,形成数据安全事件处理报告,最终编制数据安全事件总结报告盖医院公章提交上级主管部门;
2) 根据处理经验,及时调整数据安全策略,完善数据安全事件应急响应与处置机制。
8 数据处理安全管理技术规范
8.1 数据收集
8.1.1 数据获取
安全要求如下:
a) 加强数据获取合法性管理,明确业务部门和管理部门在数据收集合法性中的主体责任;
b) 采取数据脱敏、数据加密、链路加密等防控措施,防止数据收集过程中数据被泄露;
8
T/CIATCM 123—2025
c) 在获取核心及重要数据和个人敏感信息时,与数据提供方通过签署协议、承诺书等方式,明确双方法律责任及数据安全保护责任和义务;
d) 对数据获取来源进行鉴别和记录,防止数据仿冒与伪造,安全要求如下:
1) 采取身份鉴别机制,使用人脸识别、指纹识别、网络接口认证和密码技术等手段,实现对数据获取源(数据收集人员、终端、数据库等)的识别和记录;
2) 采取元数据管理、数据血缘管理等技术手段对进行数据获取来源的标识,以便在必要时对数据源进行追踪和溯源。防止收集到其他不被认可的或非法数据源产生的数据,避免收集到错误的或者失真的数据;
3) 记录并留存数据源的相关信息,如数据的收集时间、渠道、用途等。
e) 对不同的数据获取方式采取相应的安全防护措施,安全要求如下:
1) 通过 APP、SDK 等方式获取数据前,进行身份鉴别,存储数据收集日志记录,并及时对缓存数据进行清理;
2) 通过系统批量获取的数据采用电子签名技术确保数据收集过程数据的完整性;
3) 对人工批量获取数据的环境进行安全管控,通过人员权限管控、信息碎片化等方式,防止采集过程出现数据泄露;
4) 通过纸质表单获取数据并转换为电子数据时,对表单的保存、查阅、复制等操作进行严格审批授权,必要时进行专项审批,并对表单流转的全过程进行监控与审计,在纸质表单电子化的过程中,采取技术措施对电子化过程中的数据完整性、保密性进行控制;
5) 数据获取活动涉及到外部机构时,通过合同协议等合法方式,明确双方在数据安全方面的责任与义务,确保获取数据的合法合规性和真实性。
8.1.2 数据清洗
安全要求如下:
a) 数据清洗需要明确数据清洗的目的及指标,做好数据清洗前的数据检查;
b) 制定收集数据变换、转换、去重、纠错等数据清洗操作规范,明确操作方法、手段和流程,确保清洗操作前后数据间映射关系,并做好数据的备份工作,避免操作过程中出现数据遗漏、丢失等问题;
c) 建立数据清洗过程中质量监控规则,明确数据质量监控范围及监控方式。
8.1.3 数据标识
基于数据分类分级要求,采取数据标注技术,实现对收集数据的自动分类分级标识,安全要求如下:
a) 根据数据分类分级规则,建立标签库,可单独构建一个静态库,也可直接在数据标注工具或系统后台进行配置;
b) 对于结构化数据标注,可在数据库建表时直接对字段标签进行设置,基于数据库的权限模型对底层数据表的列进行权限控制;
c) 对于非结构化数据标注,可引入自然语言处理、数据挖掘和机器学习等技术,对内容进行识别,实现数据分类与分级;
d) 对于半结构化数据,可采用结构化数据标注与非结构化标注相结合的方法进行。
8.1.4 数据加载
安全要求如下:
a) 综合数据规模、增长速度、业务需求、数据加载有效性等因素制定跨安全域的不同数据源数据加载的操作规程,明确数据安全加载的要求、规则和方法;
b) 具备对数据加载终端或加载服务组件等进行身份鉴别的能力;采取多因素身份鉴别技术,满足数据加载操作人员身份的真实性和访问权限的合法性要求;
c) 记录数据加载操作过程,在数据加载完成后对数据加载通道缓存的数据进行安全删除;
d) 提供数据加载通道的冗余备份、加载接口的流量过载监控等数据安全可靠加载的安全措施。
9
T/CIATCM 123—2025
8.2 数据存储
8.2.1 数据存储介质
数据存储介质包括磁盘、磁带、光盘、U盘、云存储服务、网络存储设备等,中医医院应按照有关法律法规和标准规范要求,选择合适的介质在境内存储,采取有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄露风险,安全要求如下:
a) 提供平台化工具支撑存储介质管理,建立介质存取、验证和转储管理制度,支持存储介质的使用授权、传递追踪等,对存储介质的访问和使用行为进行记录与审计,对存储介质进行定期或随机性的安全检查;
b) 持续更新优化组织的存储介质管理系统和净化工具,以保证存储介质的安全使用;
c) 针对不同的存储媒体建立相应的格式化规程,并对租用第三方数据存储平台的资质能力和经营风险等进行安全评估;
d) 提供有效的虚拟机镜像文件加载保护机制,保证即使虚拟机镜像被窃取,非法用户也无法直接在其计算资源上进行挂卷运行;
e) 提供有效的磁盘保护方法或数据碎片化存储等措施,保证即使磁盘被窃取,非法用户也无法从磁盘中获取有效的用户数据;
f) 对移动介质上的数据进行加密,以防止数据受到未经授权的访问。
8.2.2 数据存储架构
中医医院按照有关法规标准,基于组织内部的业务特性和数据存储安全要求,选择合适的数据存储架构,并进行有效的安全控制,安全要求如下:
a) 根据数据安全级别、重要性、量级、使用频率等因素,将数据分域分级存储,采取物理或逻辑隔离机制,并对不同区域之间的数据流动进行安全管控;
b) 建立满足应用层、数据层、操作系统层、数据存储层等不同层次数据存储加密需求的数据存储加密架构;
c) 针对不同类别、不同级别的数据选择适合的加密方案对数据进行加密存储,如:应用加密方案、数据库加密方案、文件加密方案、磁盘加密方案等;
d) 可采取多因素认证、固定处理终端、固定处理程序或工具、双人双岗控制等安全策略,保证存储数据的保密性;
e) 针对存储容器和存储架构的安全要求,进行认证鉴权、访问控制、日志管理、文件防病毒等安全配置,制定安全配置策略,以保证数据存储安全;
f) 建立可伸缩数据存储架构,以满足数据量持续增长、数据分类分级存储等需求,确保存储架构具备数据存储跨机柜或跨机房容错部署能力;
g) 建立管理数据存储系统安全配置的统一技术工具,实现对安全配置情况的统一管理和控制。并定期对数据存储系统的安全配置进行扫描,以保证符合安全基线要求;
h) 建立数据分片和分布式存储安全规范和规则,以满足分布式存储下分片数据完整性、一致性和保密性保护要求;
i) 涉及到云上存储数据时,评估可能带来的安全风险;
j) 对于虚拟存储数据资源,根据 GB/T 31168—2023 中 7.13 的要求,保障存储虚拟化安全性;
k) 对重要数据和核心数据存储建立防勒索检测机制。
8.2.3 数据备份与恢复
中医医院制定数据备份与恢复策略,定期执行数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性,安全要求如下:
a) 建立数据复制、备份与恢复操作过程规范,包括复制、备份和恢复的日志记录规范;
b) 建立数据复制、备份与恢复的定期检查和更新工作程序,包括数据副本更新频率、保存期限等,确保数据副本或备份数据的有效性;
c) 数据备份应基于多冗余策略,可采用磁带、磁盘镜像、磁盘冷备、热备、双活等技术实现,备
10
T/CIATCM 123—2025
份频度及保存期限不低于相关监管和业务使用要求;
d) 建立数据冗余强一致性、弱一致性等控制策略与规范,以满足不同一致性水平需求的数据副本多样性和多变性存储管理要求;
e) 数据库服务器采用双机冗余热备方式,进行定期在线维护, 以缩短恢复所需时间;
f) 确保备份数据与原数据具有相同的访问控制权限和安全存储要求;
g) 数据备份系统采用基于磁盘阵列备份技术、CDP 技术、磁带库备份技术、备份软件等对业务数据进行备份,支持数据 LAN 备份或 LAN-FREE 备份方式;
h) 关键存储部件采用冗余磁盘阵列技术并支持失效部件的在线更换,对重要设备应进行冗余配置,以实现双机热备或冷备;
i) 数据备份存放环境及其物理设施的安全保护等级按照数据中心设计规范的要求执行,使用的数据备份与恢复产品应符合 GB/T 29765—2021 的规定要求;
j) 在条件具备的情况下,在异地建立和维护重要数据的备份存储系统,利用地理上的分离保障系统和数据对灾难性事件的抵御能力;
k) 定期开展灾难恢复演练,对备份介质的安全性、灾备技术的可行性进行验证测试,并记录和保存验证测试的结果。
8.2.4 数据审查与保护
安全要求如下:
a) 提供数据审查、保护系统,能够实时发现敏感数据信息,保障在查询、输出时及时脱敏处理;
b) 能够检测到数据在存储过程中完整性受到破坏,防止数据被篡改、删除和插入等操作;
c) 在数据完整性遭到破坏时,提供授权用户可察觉的告警信息,及时采取必要的恢复措施。
8.2.5 数据存储时效性
安全要求如下:
a) 数据存储周期遵循相关法律法规要求,不应超出数据使用规则确定的保存期限;
b) 制定数据存储时效性管理策略和规程,明确数据分享、存储、使用和销毁的有效期,具备数据存储有效性授权与控制能力,建立过期存储数据安全保护机制与数据销毁机制。
8.2.6 数据归档
安全要求如下:
a) 加强数据归档安全管控,依据数据资产的重要性和数据处理业务连续性等需求,建立不同阶段数据归档存储的操作规程;
b) 建立在线/离线的多级数据归档架构,确保数据归档的有效性、可用性和可恢复性,对归档数据采取访问控制、压缩或加密等策略,确保归档数据存储空间的有效利用和安全访问。
8.2.7 个人生物识别信息存储
安全要求如下:
a) 存储个人生物特征识别信息时,遵守相关国家标准要求,如遵守GB/T 35273—2020 中 6.3 b)和 c)、GB/T 40660—2021 中 6 的要求,包括但不限于仅存储个人生物识别信息的摘要信息等措施;
b) 存储人脸识别信息时,遵循 GB/T41819—2022 中 7 的要求,采取安全措施存储人脸识别数据,包括但不限于加密存储人脸识别数据,采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息等;
c) 具备对指纹等个人信息数据加密存储能力,满足数据保密性和完整性保护要求,不应存储指纹原始图像,具备对指纹数据进行备份的能力以及相应的恢复控制措施;
d) 实施人脸、指纹等个人生物识别数据用户身份标识与鉴别策略、数据访问控制策略,并实现相关安全控制措施,防止非授权的访问和篡改个人生物识别数据。
11
T/CIATCM 123—2025
8.3 数据使用
8.3.1 访问控制
建立数据使用过程的责任机制、审批机制、评估机制,防止数据资源被用于不正当的目的,安全要求如下:
a) 综合主体角色与安全级别、数据分类分级与业务需要、数据使用时效性等因素,采用访问控制机制;
b) 严格规定不同人员的权限,加强数据使用过程中的申请及批准流程管理,确保数据在可控范围内使用,防止数据越权使用;
c) 数据授权策略遵循最小授权、职责分离、角色分离和默认拒绝等原则;
d) 数据使用部门和数据使用人须严格按照申请所述用途与范围使用数据,对数据的安全负责。
e) 加强日志留存及管理工作,杜绝篡改、删除日志的现象发生;
f) 建立数据访问控制管理平台,实现对数据使用者的统一账号管理、统一认证、统一授权、统一审计,依据合规要求建立相应强度或粒度的访问控制机制,限制用户可访问的数据范围;
g) 对于特权访问账号,预先明确其使用场景、使用规则和安全责任人,配套建立审批授权机制,严格限制特权账号的使用地点,采用多因素认证措施对使用者进行实名认证。
8.3.2 数据展示
建立数据展示操作规范,对数据的展示范围、内容、方式等进行安全评估,确定数据展示的必要性和安全性,安全要求如下:
a) 在展示重要数据和敏感个人信息时,采用数据脱敏等技术,并通过防截屏、防复制、限制打印等控制措施,降低数据展示时的数据泄露风险;
b) 在数据展示完成后,及时安全删除本地缓存或展示通道缓存中的数据,包括数据展示操作产生的中间或临时数据。
8.3.3 数据导入导出
采取技术措施确保数据在导入导出过程中的安全性,防止数据导入导出过程中可能对数据自身的可用性和完整性构成的危害,降低可能存在的数据泄露风险,安全要求如下:
a) 对数据导出使用加密、数据脱敏等技术手段防止数据泄露;
b) 对数据导入导出终端设备、用户或服务组件执行有效的访问控制,实现对其身份的真实性和合法性的保证;
c) 在导入导出完成后应对数据导入导出通道缓存的数据进行删除,以保证导入导出过程中涉及的数据不会被恢复;
d) 建立数据导入导出安全控制平台,实现数据导入导出权限管理、审批人管理、工作流管理、身份认证、完整性验证、 日志审计和风险控制等基本功能。
8.3.4 个人信息使用
安全要求如下:
a) 按照《中华人民共和国个人信息保护法》、GB/T 35273—2020 等国家法律法规和标准要求,进行个人信息处理和使用;
b) 开展人脸识别或人脸辨识时,同时提供非人脸识别的身份识别方式,并提供数据主体选择使用,不应因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能,人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。
8.4 数据加工
8.4.1 数据脱敏
12
T/CIATCM 123—2025
安全要求如下:
a) 制定数据脱敏技术规范,根据相关法律法规、标准的要求以及业务需求,明确数据的脱敏需求、脱敏规则、脱敏方法和使用限制,包括脱敏后数据的可恢复性评估机制;
b) 对敏感数据进行脱敏处理,保证数据可用性和安全性的平衡,安全要求如下:
1) 数据脱敏应遵循有效性、高效性、可重现、关联性和可配置性的基本原则;
2) 针对特定的数据使用场景和数据脱敏的策略,部署数据的脱敏方案,并根据业务、技术、要求等方面的发展,持续改进数据脱敏规则和手段;
3) 根据数据脱敏的实时性和应用场景的不同,可选择动态数据脱敏和静态数据脱敏:
——静态数据脱敏一般用于非生产环境,将敏感数据从生产环境抽取并脱敏后,用于非生
产环境中,常可用于培训、分析、测试、开发等非生产系统的数据库。
——动态脱敏常用于生产环境,在访问敏感数据时即时进行脱敏,一般可用于解决在生产
环境中,需要根据不同情况对同一敏感数据读取时,进行不同级别脱敏的场景。
4) 数据脱敏的技术方式主要有泛化、抑制、扰乱、有损等技术,可根据具体需要选择不同技术开展数据脱敏工作:
——泛化技术,如数据截断、 日期偏移取整、规整等。
——抑制技术,如掩码屏蔽。
——扰乱技术,如加密、重排、替换、重写、均化、散列等。
——有损技术,如限制返回行数或列数等。
5) 提供统一的脱敏工具,实现数据脱敏工具与数据权限管理系统的联动,支持基于场景需求自定义脱敏规则;
6) 脱敏后的数据与用于还原数据的恢复文件隔离存储,使用恢复原始数据的技术应经过严格审批,并留存相关审批及操作记录;
7) 配置脱敏效果识别和效果验证服务组件或技术手段,确保数据脱敏的有效性和合规性;
8) 持续跟踪业务新需求、数据脱敏新技术和最佳实践、合规新要求新变化等,持续改进数据脱敏规则和手段。
8.4.2 去标识化
按照GB/T 37964—2019 、GB/T 39725—2020等要求开展数据去标识化工作, 以降低数据敏感度及暴露风险。
8.4.3 数据分析
在数据分析过程中采取适当的安全控制措施,防止数据挖掘、分析过程中有数据泄漏的安全风险,安全要求如下:
a) 采用差分隐私保护、K 匿名等多种技术手段以降低数据分析过程中的隐私与敏感信息泄露风险;
b) 对数据分析结果的风险进行合规性评估,避免分析结果输出中包含可恢复的敏感数据,对生产、测试等不同环境进行资源隔离;
c) 提供统一的数据处理与分析系统,并能够呈现数据处理前后数据间的映射关系;
d) 建立数据处理内部责任制度,保证分析处理和使用数据不超出声明的数据使用目的和范围;
e) 委托他人进行数据分析活动时,与其订立数据安全保护合同或协议,明确双方安全保护责任。
8.4.4 数据加工环境
建立数据加工环境的安全保护机制,确保数据在处理过程中不被损坏、丢失或窃取,安全要求如下:
a) 核心业务的数据加工环境,实现身份鉴别、访问控制、安全配置等技术要求;
b) 数据加工系统与数据权限管理系统实现联动,用户在使用数据系统前已获得了授权;
c) 基于核心业务场景、数据重要性等,对数据、系统功能、运营环境等资源实现隔离控制;
d) 基于云平台的数据加工平台,可通过恶意篡改等风险监测技术来保障各个工作环节的功能稳定。
8.5 数据传输
13
T/CIATCM 123—2025
8.5.1 传输接口
安全要求如下:
a) 加强数据传输接口安全管理与控制,梳理接口情况,配备接口认证授权能力,确保在通过接口传输时的安全性,防止数据被窃取;
b) 具备接口安全监测、接口流量限速、阻断等能力,支持对接口异常调用行为、重要数据异常传输事件等采取处置措施;
c) 对涉及敏感个人信息、重要数据、核心数据等相关的传输接口实施调用审批,定期开展接口日志审计。
8.5.2 传输链路
采取数据传输加密、数据完整检验、身份鉴别认证、终端设备管理、数据流转监控等技术手段,确保传输链路的安全性与可靠性,安全要求如下:
a) 数据传输加密,在数据分类分级的基础上,梳理组织数据传输业务应用场景,根据组织内外部不同安全级别的数据加密传输要求,针对不同场景采用适当的加密保护措施,保证传输通道、传输节点和传输数据的安全,安全要求如下:
1) 采用密码技术保证数据在传输过程中的保密性和完整性,贯彻落实《中华人民共和国密码法》等有关法律法规和密码应用相关标准规范,提供满足合法合规、安全可靠的通信加密和签名验证设施;
2) 在实际数据加密传输场景中,需综合考虑应用场景、传输方式、数据规模、效率要求等选择加密算法,采用算法组合来实现对数据传输过程的机密性和完整性保护;
3) 加密算法的配置、变更、密钥的管理等操作过程应具有审核机制和监控手段,使用密钥管理系统实现对密钥生命周期的安全管理;
4) 采用电子签名方式,确保数据传输的抗抵赖性。
b) 对传输数据的完整性进行检验,并具备数据容错或恢复的技术手段,在数据传输不完整或数据传输完成后,及时删除不必要的缓存数据;
c) 基于密码技术对通信双方的主体身份进行鉴别和认证,确保数据传输双方是可信任的,每个传输链路上的节点部署独立的密钥对和数字证书,以保证各节点有效的身份鉴别;
d) 终端采取准入控制、终端鉴别等技术措施,防止非法或未授权终端接入内部数据网络;
e) 可建立全链路的数据流转监控系统,实时了解数据的流向与传输情况,提供数据传输、接收的记录和安全审计,对输入输出的数据进行安全拦截,及时发现数据传输中的安全问题,并进行自动化应急处理;
f) 采取网络安全域建设、网络传输链路与设备节点冗余建设、建立容灾方案与宕机替代方案等措施建设高可用性的网络,提高数据传输链路可靠性,保证数据传输过程的稳定性。
8.5.3 传输方式
安全要求如下:
a) 通过内部无线网络传输数据,需采取准入控制、加密协议、建立安全管理基线、双因素身份认证等相关技术措施,对无线接入点、无线通信信道、无线网络设备、无线网络用户、移动智能终端、无线网络使用期限等进行安全管理;
b) 对离线或即时通信方式传输的数据采取加密、脱敏等安全措施;
c) 涉及与外部机构传输数据,但是数据环境无专线的,建议采用加密移动数据存储介质传输数据;
d) 通过运营商网络传输重要数据或敏感数据时,采用专用线路、虚拟专用网络、安全通信协议等技术确保传输通道的安全;
e) 对通过物理介质传递的重要数据进行加密或脱敏处理。
8.6 数据提供
14
T/CIATCM 123—2025
8.6.1 组织内、外部数据提供
通过业务系统、产品等方式在对组织内部或跨组织共享数据时,采取相关安全措施,以降低数据共享场景下的安全风险,安全要求如下:
a) 建立数据提供审批流程,对提供数据的内容、对象、范围、时间周期、传输方式、应用场景、数据使用后的处置方式等要素进行审批并详细记录;
b) 建立数据提供安全管理平台,采用信息化手段实现对数据提供行为的线上审核、风险识别、监控记录、 日志管理等功能;
c) 对数据提供终端设备、用户或服务组件执行有效的访问控制,数据提供活动完成后,对数据提供通道缓存的数据进行删除。按照数据提供前约定的数据使用期限,对提供数据进行安全处置并对处置结果进行确认;
d) 利用代码、脚本、接口、算法模型、软件开发工具包等自动化工具进行数据提供活动时,通过身份认证、数据加密、反爬虫机制、攻击防护和流量监控等手段,有效防范网络监听、接口滥用等网络攻击,定期检查和评估自动化工具安全性和可靠性;
e) 采取数据脱敏、数据加密、数据标记、数字水印、安全通道等措施保护数据提供过程中的个人信息、重要数据等敏感信息,防止数据丢失、篡改、假冒和泄露;
f) 向外部组织机构提供数据时,对数据接收方的数据安全保护能力进行评估,评估可能带来的安全风险,通过合同协议等方式,明确双方在数据安全方面的责任及义务,并约定共享数据的内容和用途、使用范围等,并采取必要的安全防控措施。
8.6.2 数据跨境
安全要求如下:
a) 制定数据跨境业务处理流程和数据跨境审批制度,明确数据跨境安全策略、管理制度、管理规范和管控措施。在进行数据跨境相关业务时,按照《数据出境安全评估办法》、《中华人民共和国个人信息保护法》等国家法律、法规和标准对数据跨境业务进行安全评估,确保数据跨境的合法性和正当性。
8.6.3 接口调用
从接口身份认证、防重放、数据防篡改、数据防泄漏等角度采取相关技术手段,防范数据在包括数据视图等在内的接口调用过程中的安全风险,安全要求如下:
a) 通过 HTTPS 协议构建的可进行加密传输、身份认证的网络协议,防止信任主机和通讯过程中的数据泄密和数据被篡改;
b) 通过公私钥签名或加密机制提供细粒度的身份认证和访问、权限控制,满足数据防篡改和数据防泄漏要求;
c) 通过时间戳超时机制,实现数据接口防重放;
d) 通过接口参数过滤、限制技术,防止接口特殊参数注入引发的安全问题;
e) 通过接口调用日志的收集、处理、分析,从接口画像、IP 画像、用户画像等维度进行接口调用行为分析,并且产出异常事件通过告警机制进行实时通知。
8.7 数据公开
安全要求如下:
a) 建立数据公开发布的审批制度,明确数据公开行为的目的、数据内容范围、渠道、时限、审批流程等内容;
b) 具备对待公开数据进行重要数据及敏感个人信息识别能力,可采取关键词检测、文本相识度比对、图像识别等技术手段,对公开数据内容进行审核,确保其信息的合法合规性;
c) 采取数据脱敏、数字水印、网页防篡改等技术手段对数据的保密性、可用性与完整性进行安全防护;
d) 涉及数据上报时,遵循数据上报提出方确定的上报范围和上报规则,确保数据上报的安全可控;
15
T/CIATCM 123—2025
e) 未经批准,任何部门和个人不得将未对外公开的信息数据传递至部门外,不得以任何方式将其泄露。
8.8 数据销毁
安全要求如下:
a) 依据数据安全分类分级,建立数据销毁的审批和管理制度,明确数据销毁场景、销毁对象、销毁方式和销毁要求等内容,并对数据销毁活动过程进行记录;
b) 数据销毁时采用确保数据无法还原的销毁方式,包括硬销毁和软销毁,重点关注数据残留风险及数据备份风险;
c) 建立数据销毁效果评估机制,确保数据销毁的不可逆性,定期对数据销毁效果进行抽样认定,通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查,验证数据销毁结果;
d) 对存在多个副本的数据进行销毁时,确保数据的多个副本被使用相同的方式处理;
e) 对于涉密数据的销毁,根据国家及行业涉密载体管理有关规定,由具备相关资质的服务机构或数据销毁部门进行专门处理,并由相关岗位人员对其进行全程监督。
16
T/CIATCM 123—2025
参 考 文 献
[1] GB/T 36344—2018 信息技术 数据质量评价指标
[2] GB/T 41479—2022 信息安全技术 网络数据处理安全要求
[3] GB/T 42447—2023 信息安全技术 电信领域数据安全指南
[4] GB/T 42564—2023 信息安全技术 边缘计算安全技术要求
[5] JR/T 0223—2021 金融数据安全 数据生命周期安全规范
[6] NY/T 4261—2022 农业大数据安全管理指南
17
