引言

随着数字技术的蓬勃发展，网络数据呈现高度汇聚、高频流动与深度开放的特征。在此背景下，深化数据安全治理已不仅是保障数据有序流通的基石，更是充分释放数据价值的必要前提。本系列文章旨在分享网络数据安全领域的实践经验，为数据处理者提升数据安全治理效能提供参考借鉴。

本期文章主要分享静安区探索编制《上海市卫生健康行业网络数据安全风险评估指导手册》（以下简称《指导手册》）的实践经验。

一、编制背景

随着“互联网+医疗健康”战略深入推进，卫生健康行业进入以数据驱动为特征的高质量发展阶段。多源医疗数据的广泛应用在提升服务效率的同时，也使数据安全风险呈现出复合型、传导性和高危害等特点，对行业数据安全防控提出更高要求。

为响应市委网信办关于编制行业领域网络数据安全风险评估指导手册的工作部署，静安区委网信办、静安区卫生健康委立足区域医疗卫生单位集中的特点，在市委网信办统筹协调和市卫生健康委具体指导下，依托静安区卫生信息中心长期深耕医疗卫生信息化领域的实践积淀，以及前期医疗数据分类分级工作及地方标准《卫生健康数据分类分级要求》贯标经验，积极探索开展卫生健康行业网络数据安全风险评估指导手册编制工作，推动构建贴合行业实际的风险评估体系，填补行业专属风险评估规范空白。

二、适用范围

本手册适用于上海市各级各类医疗卫生机构、卫生健康信息化平台及相关数据处理主体，并可作为第三方评估机构和监管部门的参考依据。

三、手册主要内容

四、手册特色亮点

（二）强调业务连续性优先原则。医疗业务“生命至上、服务不间断”的特殊性，对业务的连续性提出了更高要求，《指导手册》明确要求技术测试必须避开诊疗高峰，并制定完善的应急保障方案，确保评估活动不对正常医疗服务造成干扰。

（三）构建动态化、场景化评估体系。《指导手册》进一步推动风险评估从静态合规检查向持续、精准的风险治理转变，一是根据数据字段、数据处理活动、外部威胁环境等变化，明确动态调整评估流程；二是针对临床诊疗、公共卫生、家庭医生、远程医疗等不同业务场景，明确差异化的风险评估重点；三是当数据处理范围、处理方式或外部安全环境发生重大变化时，明确应及时更新评估对象、调整评估内容，必要时重新开展风险评估。

（四）提供详尽实用的操作工具。通过一系列结构化的调研表、评估表和判定标准，将法律法规要求、国家标准转化为具体、可执行的检查项，极大提升评估工作的实操性和效率。