首先要知道健康医疗数据是什么？它是在医疗领域的一个分支，是指在与人类健康相关的活动中产生与生命健康和医疗有关的数据，根据健康活动的来源，医疗数据可以分为临床大数据，健康大数据，生物大数据，运营大数据，在临床科研，公共卫生，行业治理，管理决策，惠民服务和产业发展等方面影响着整个医疗行业的变革。

健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展，各种新业务、新应用不断出现，健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战，安全问题频发。由于健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全，为了更好的保护健康医疗数据安全，规范和推动健康医疗数据的融合共享、开放应用，促进健康医疗事业发展，特制定健康医疗数据安全指南。

涉及人类遗传资源数据（是指利用人类遗传资源材料产生的数据，人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料）等重要数据的，按照相关部门要求执行。健康医疗数据的出境安全管理，按数据出境安全评估相关办法执行。涉及国家秘密的健康医疗数据，按照国家保密工作部门有关涉密信息系统分级保护的管理规定和技术标准，结合系统实际情况进行保护。

宜建立完善的组织保障体系，组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全工作办公室，以确保做好健康医疗数据安全管理工作，并形成相应的文档记录，包括但不限于：

a) 建立健康医疗数据安全委员会（简称委员会），对健康医疗数据安全工作全面负责，讨论决定健康医疗数据安全重大事项：

1) 包含组织高层管理人员和各业务口负责人等；

2) 涵盖信息安全、伦理、法律、统计、审计、保密等相关专业人员；

3) 由组织最高负责人担任主任委员；

4) 可依托现有的伦理委员会、院务会等，不必重新建立；

5) 协调配置健康医疗数据安全工作必要的人力、物力、资金等资源，例如基于权限分离的原则，配备安全管理员、安全审计员、系统管理员等；

6) 负责审核健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案；

7) 负责审核数据安全相关规章制度（例如数据使用审批流程）；

8) 负责审核去标识化策略和流程；

9) 定期召开工作会议，建议每月至少召开一次。

b) 建立健康医疗数据安全工作办公室，指定专人（例如数据安全官）负责健康医疗数据安全日常工作：

1) 负责落实执行健康医疗数据安全委员会的各项决定，并向委员会报告工作；

2) 负责制定、维护和更新健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案；

3) 负责建立、维护和更新数据安全相关规章制度；

4) 负责制定、维护和更新数据使用审批流程，以及去标识化策略和流程；

5) 梳理业务流程及涉及的健康医疗信息系统和数据，并进行安全风险分析和合规分析，提出健康医疗数据安全工作建议；

6) 形成并管理好元数据结构，形成符合业务流程的数据和系统供应链结构；

7) 负责人员的数据安全教育与培训，确保相关人员具备相应数据安全能力；

8) 至少每年对健康医疗数据安全工作进行全面自查，并作出整改建议；

9) 审计健康医疗数据使用情况，并适时调整改进安全措施；

监测预警健康医疗数据安全状态，并适时调整改进安全措施