聚焦医疗行业数据安全建设思路与实践

发布时间:2023-09-12
浏览次数:

  9月7日,由中国医院协会信息专业委员会举办的CHIMA大讲堂【技术分享课】正式开课。作为国家级继续医学教育项目,本期课堂围绕医疗行业数据安全建设展开。

  本期大讲堂的分享嘉宾为新华三集团医疗资深安全架构师宗瑞金,分享主题为“医院数据安全体系建设思路与实践”。宗瑞金从医院数据安全建设需求与政策要求出发,介绍了数据安全建设的技术路线与落地实践。

大势所趋,医院数据安全建设势在必行

  数字经济大潮下,随着智慧医疗的纵深化发展,医疗数据安全作为关系到生命安全与智慧医院建设成效的关键因素,其重要性不言而喻。中共中央、国务院印发的《“健康中国2030”规划纲要》中明确要求各医疗机构需“注重内容安全、数据安全和技术安全,加强健康医疗数据安全保障和患者隐私保护。此外,2022年国家卫生健康委、国家中医药局、国家疾控局印发的《医疗卫生机构网络安全管理办法》中也对数据安全做出了进一步能力要求,要求各医疗机构从组织架构、制度优化、能力建设、资产管理等维度出发,构建起数据安全能力体系。

  除政策层面的行业标准越发严格外,信息系统在支撑着医院数字化转型业务高效运转的过程中也对数据安全也提出新的要求。宗瑞金指出,目前数据安全建设主要存在以下难点,一是缺乏统一数据标准,制约诊疗服务水平进一步提升;二是数据共享管理混乱,存在泄露风险;三是数据安全建设难度较大,改造尺度难以把握;四是数据质量差影响业务使用效率;五是数据敏感度高,数据防护与应急处置压力较大;六是内部人员权限管理过于粗放,管理制度还需完善。

  宗瑞金表示,医院数据安全建设思路可以归纳为八个字,即“分级保护,技管并重”。一方面,需要对不同级别、不同类别的数据分别设计策略并进行管理,另一方面需要通过技术与管理手段构建起体系化的数据安全能力,实现数据全生命周期的“可视”“可管”“可控”。

四大流程,全方位优化数据安全治理服务

  数据安全治理是一项复杂、长期、系统性的大工程。对于医疗机构而言,数据安全治理的要求更为苛刻,需要遵循一整套科学完善的服务流程进行规划与设计。宗瑞金介绍,做好数据安全治理,需同时进行资产梳理、风险筛查、分类分级、标签化管理、制度优化等工作。

  具体而言,主要是集中做好以下三点:

  ● 资产梳理方面:梳理数据资产与业务逻辑、实现对数据造册登记与全面的安全风险评估。

  ● 分类分级方面:基于国家标准与机构实际情况对数据进行分类分级,并利用工具对数据进行标签化管理与针对性的策略设置,通过标签实现原始数据与防护策略的双向映射。

  ● 制度优化方面:基于分类分级结果,结合机构组织架构与管理制度现状,建立并完善数据安全管理制度,形成四级管理制度体系,自上而下的指导数据安全能力落地。

  在数据安全治理完成后,选择合适的落地措施,通过数据防泄漏、数据脱敏、数据库审计、资产管理平台等安全设备或直接对业务系统进行调整,实现数据安全防护策略的落地。同时做好后续运营工作,将增量数据、新建系统纳入防护范围内,利用每年的安全自检进行复盘检查,持续的提升数据安全防护基线。

  当前,医院信息化正在从IT进入DT时代。数据在智慧医疗变革中扮演的价值将愈发关键,推动医疗行业向着高质量发展的目标稳步迈进。医疗机构需全方位做好优化数据安全治理服务,为数据安全竖立坚固的屏障。


  点击此处可查看本期CHIMA大讲堂回放