医疗数据安全分类分级

近日，由浙江卫生信息学会主办的2025年卫生健康网络数据安全培训会（宁波站）顺利举办，美创科技专家许钰钢受邀分享《医疗数据安全分类分级实践与探索》，系统解析医疗行业数据安全分类分级的实施必要性，重点阐述实践路径方法论，并通过典型案例展示建设成效。

01.合规底线与风险管控双重驱动

从国家战略与行业发展维度看，数据分类分级既是落实合规性要求的基础也是满足数据安全风险管控的前提。当前，医疗卫生行业已出台多项政策文件，均对数据分类分级管理与安全防护提出明确标准和考核要求。

医疗卫生行业的特殊性决定了数据安全建设的必要性：患者个人信息、病理数据、疫情防控数据、统方数据等敏感信息一旦泄露，将造成严重的社会影响。实施分类分级既是降低安全风险的必要前提，更是构建完整数据安全防护体系的基石。现实挑战在于：

· 多数医疗机构面临多源异构的数据形态及复杂的业务环境等问题，落实数据分类分级难度较大、周期较长。

· 大部分医疗机构尚未建立统一的数据资产管理与防护机制，缺乏科学有效的数据安全分类分级标准，未对数据资产进行有效梳理及分类分级，致使单位数据安全体系建设缺乏精细化管理依据。

02.六步实践：从顶层设计到长效运营

整体实施路径包括六个步骤：建立组织保障、梳理数据资源、建立分类分级策略、数据分类、数据分级、落地长效运营。

关键要点提炼：

跨部门协同建设：遵循“谁建设谁负责，谁运营谁负责，谁使用谁负责”的原则，业务部门需要在系统建设阶段与相关第三方系统建设方、安全服务商协同落实安全相关要求及数据分类分级基础工作，与信息中心携手共建风险防控体系。

数据资产清单形成：通过自动化工具与人工核查结合，全面梳理和识别机构数据资源，形成数据资产清单，市场上大部分数据治理厂商可提供此类服务。分类分级可在此基础上进一步开展，避免不必要的资源浪费。

分类分级策略制定：数据分类分级策略重点参考《卫生健康行业数据分类分级指南》《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》等行业标准。标准对重要数据、核心数据、一般数据有明确的定义和划分，但各单位自身数据特点、使用场合、安全措施、安全风险与使用范围存在差异。需要单位以相关标准为核心依据，充分结合自身安全诉求，最终形成符合单位自身的数据分类分级标准和策略大纲，为单位数据安全体系建设打好坚实的基础。

AI智能化分类分级应用：传统数据分类分级建设依赖人工打标，效率低、成本高，如今AI智能化数据安全分类分级产品已愈发成熟，通过AI大模型的智能识别、智能分类分级与智能校验，可有效提高分类分级识别率效率和准确率，降低单位所投入的人员时间成本，提高单位运营运维效率

分类分级持续运营：数据安全分类分级不是一次性工作，需要建立常态化的运营思路，结合政策变化和实时热点，通过外规内化动态更新分类分级结果，让数据安全防护持续发挥作用！

03.实践验证：标杆案例&标准建设

01  嘉兴市妇幼保健院：分类分级效率与精准度双突破

嘉兴市妇幼保健院智能化数据分类分级项目，数据识别率和分类分级率达99%+，分类分级准确率达90%+，与传统分类分级方式相比，大幅节省90%以上人力成本；分类分级结果通过标准化接口实时同步至数据安全产品，高效构建差异化数据安全防护体系，树立医疗数据治理新标杆。

02  西安国际医学中心医院： HIS 系统数据安全分类分级实践

西安国际医学中心医院围绕 HIS 系统开展数据安全分类分级实践。通过 “智能化工具 + 人工” 方式，快速完成数据打标并输出分类分级报告，提升工作效率与准确性。借助智能化工具的动态量级监测和 DDL 变更能力，实现资产动态持续感知，为分类分级工作的动态化、持续性开展奠定技术基础。同时，医院沉淀行业知识与标准，形成完整的分类分级建设方法和标准指引，为后续全院相关工作提供参考思路与实践经验。

03 标准建设：助力行业规范落地

DB31/T 1545—2025 《卫生健康数据分类分级要求》正式发布并将于2025年7月1日起实施。标准由上海市卫生健康委员会提出并组织实施。起草单位包括上海市卫生健康委员会、上海市卫生健康统计中心、上海市静安区卫生信息中心、复旦大学附属中山医院、上海中医药大学附属龙华医院、上海市皮肤病医院、杭州美创科技股份有限公司在内的多家机构。

美创科技在医疗数据安全领域深耕多年，已助力多家医院高效实施数据安全分类分级，有效开展数据安全治理及数据安全建设。全新升级智能数据安全分类分级平台，分类分级准确率提升至95%以上，让分类分级工作更加智能、准确、高效。