首 页南昌大学第一附属医院:构建数据安全新质生产力,赋能智慧医疗高质量发展
一项目背景及简介
随着信息化技术不断进步,医院HIS、LIS、PACS、互联网医院等系统积累了海量健康医疗数据和非医疗数据,同时面临着数据资产管理困难、数据使用场景多、分类分级缺乏标准、制度体系缺位、技术管控瓶颈(如传统防火墙无法应对API接口随意调用)、运营效能短板等各类问题。此外,《个人信息保护法》《数据安全法》等法规实施对合规性提出严苛要求,传统依赖人工的安全建设模式已无法应对数据规模扩张与复杂场景挑战。
南昌大学第一附属医院(以下简称“南大一附院”)作为江西省内顶尖的三甲医院,汇聚了海量的健康医疗数据,进一步强化数据安全防护成为安全体系建设中不可或缺的一环。
南大一附院在进行数据安全建设时,发现诸多问题:数据共享场景多,无数据共享制度依据;数据量庞大,数据管理成本高;数据资产繁杂,分类分级又无可参考的分类分级标准;基于此类问题,一味堆砌人力资源,效能极低,传统的建设模式难以落地实施。此项目旨在利用人工+AI的方式对医院关键业务系统数据资产进行梳理,完成分类分级建设,降低数据管理成本,防止数据泄露;同时建立健全数据安全管理制度,使数据流转场景均有据可依,最终实现医院敏感数据风险“可查、可控、可防、可管”。
二建设思路
项目整体以“制度筑基、技术赋能、持续运营”为战略导向,构建了覆盖“资产智能感知-风险精准识别-防护动态闭环”的三维立体防护体系。通过部署AI驱动的敏感数据识别系统全面采集数据资产并对敏感数据进行梳理,并利用AI能力实现数据资产自动分类分级形成数据安全建设基础,同步构建1个数据安全平台、N种安全防护能力,形成了技术防护体系。
1.制度筑基-构建数据安全管理体系
南大一附院以"全生命周期防护、多维度协同治理"为理念,构建覆盖数据采集、存储、传输、使用、共享、销毁六大环节的闭环管理体系,形成"1+4+N"制度矩阵,建立规范化的数据安全管理体系,使数据安全管理工作有章可循、有据可依。
(1)1套顶层设计:数据安全管理办法作为总纲,确立"数据主权归属、管理权责明晰、技术赋能治理"三大核心原则,建立跨部门数据安全领导小组,实现"战略统筹-组织保障-制度约束-技术支撑-考核评价"五位一体管理架构。
(2)4大核心机制:分类分级机制、风险防控机制、共享管控机制、生命周期管理机制,实现患者身份、诊疗数据自动打标,构建“监测-预警-处置-溯源”四步响应链,对数据生命周期进行安全管理。
(3)N项专项制度:个人信息保护、技术防护体系、开发安全体系、存储治理体系、合规运营等N项专项制度,保障数据在医疗场景使用过程中的安全管理。
2.技术赋能-构建数据安全技术体系
南大一附院深度融合GB/T 43697-2024《数据安全技术—数据分类分级规则》、GB/T 39725-2020《信息安全技术—健康医疗数据安全指南》等国家标准,构建“业务场景+数据属性”双轮驱动的分类分级体系,形成《南大一附院分类分级标准》。该标准以4个一级大类为纲,细化19个二级中类、103个三级小类,精准映射3级敏感度标签(核心数据/重要数据/一般数据)。以此标准为依据通过AI语义识别与规则引擎,动态适配数据分类规则,实现敏感数据的自动识别与分类分级。同时部署数据访问控制、加密、脱敏、数据库运维等各类安全能力并结合医院的共享、运维、科研等场景,构建资产智能感知-风险精准识别-防护动态闭环“三位一体数据安全防护”体系。
3.持续运营-构建数据安全运营体系
以数据安全管理平台为基础,建设数据安全持续运营能力,建立“纵向监督、横向联动”的安全管理及运营机制,利用“实时、全样、精准”的安全大数据建立全程在线、全域覆盖、实时反馈的“数据安全态势地图”,从而快速有效地感知、预警、调度和处置相关数据安全风险,提高管理决策的科学性和精准性,提升管理效率和应急响应能力,有效实现全网风险控制与应急支撑。同时通过运营保障、定期评估和驻场人员能力提升等安全能力支撑,保障数据安全能力长期保持并持续改进。
图1 安全运营体系框架
三关键技术或产品描述
1.AIGC助力分类分级
结合 AIGC系统进行对接开发,利用AI能力实现数据资产自动分类分级、数据安全报告自动生成和解读、数据安全防护策略自动优化,从而提升数据安全防护效率。
图2 AIGC分类分级框架
2.利用AI提升运营工作效率
依托数据安全治理与运营管理中心工具,通过数据安全运营工作过程精益化管理,从而确保南大一附院数据安全运营工作落地开展与达标,工作数据分析从定性向定量模式转变,实现在持续工作开展过程中,不断降本、增效。
图3 安全运营工作流
图4 安全事件智能研判流
3.构建风险可视化创新模型
通过深入了解医院业务需求、数据流转情况,创新数据安全风险计算模型,借助模型自动对风险进行分析,形成风险分析矩阵,可直观展示脆弱性详情,以便更好地理解和评估数据安全风险的严重程度,更好地分配资源和制定相应的风险管理策略。
图5 风险可视化模型
4.梳理业务流程,建设动静态图谱
监测数据流转,建立行为基线,实现异常数据访问跟踪溯源。
图6 IIH数据流转示意图
图7 静态图谱
图8 动态图谱
四应用效果
1.智能分类分级
项目构建了医院数据分类分级标准,通过AI语义识别与规则引擎,实现敏感数据的标签化,总体效率提升70%,本项目中对各系统的14673张数据表、487296个数据字段进行识别与分类,为安全策略控制提供基础支撑。
2.构建制度筑基-技术赋能-场景落地三位一体架构
项目采用“制度筑基-智能分级-动态防护”三位一体架构,构建了完善的、规范化的数据安全管理体系,使数据安全管理工作有章可循、有据可依。以数据安全管理平台为中心,各产品为防护矩阵,实现数据全生命周期的“智能感知-精准防御-溯源闭环”。通过构建贴合业务场景的动态防护体系,实现敏感数据自动识别准确率达98.6%,高危操作拦截秒级响应,数据泄露风险降低90%以上。
依托基于AI的分类分级体系实现数据资产全域可视化,并构建“数据资产目录+应用资产图谱+终端资产台账+账号资产清单”四维矩阵,通过数据安全管理平台实时监测数据流动路径,结合各类能力,保障数据在生命周期的安全,形成“监测-预警-处置-回溯”闭环,业务连续性保障能力提升70%,支撑AI辅助诊断效率提升60%。
该体系以“新质生产力”为战略导向,深度融合数据安全与业务发展,赋能智慧医疗应用,为行业提供“标准-技术-场景”协同创新的可复制标杆。
3.新质生产力,赋能数据安全建设成效
截止到2025年,南大一附院立足IIH(新一代一体化平台)、LIS、PACS、互联网医院、互联互通、OA、官网、生物样本库、内镜、手术麻醉、HRP等重点业务系统形成了医院数据安全管理试点,已对此11个业务系统进行了全面的数据安全风险评估及分类分级工作;从管理层面梳理和编写了数据安全管理制度19份;数据资产梳理、分类分级涉及数据库209个、数据表14673张、数据字段487296个。整体项目已经稳步运行,各项成果对江西省各医院乃至整个医疗行业数据安全防护层面有重要的参考价值。
图9 数据风险概览
图10 资产总览成果
图11 资产分类分级成果
五总结
本项目的建设,保障了南大一附院数据安全机密性、完整性、可用性,确保业务在安全的环境下稳定运行,避免因数据泄露带来的不良影响,为医院数据扣上“安全带”,持续产生价值;此项目可在医疗行业内进行推广,帮助其他医院更有效地保护患者隐私和敏感信息,满足合规性要求。另外,分级管理有助于优化资源配置,提升医疗服务质量和运营效率,也能够使医院在数据共享与合作研究中更加自信,促进医学研究进步。
(来源:CHIMA 2025医院新兴技术创新应用典型案例集)
