目前，CHIMA正在開展“百問百答”活動，根據已收集到的醫院信息化管理者聚焦的關鍵問題，邀請CHIMA委員進行解答，以期通過專家的“分布式智慧大腦”，尋求破題思路。

　　隨著醫院信息系統建設的深入，醫院數據安全越來越重要，已成為當前非常緊迫的話題。對于數據安全保障問題，專家進行了解讀。

　　醫院如何保障數據安全，守住安全底線?

　　"專家A:

　　數據安全因其具有隱秘性，出現問題被發現具有一定滯后性，導致看似安全底線不好守得住。其實不然，數據安全管理也是有其方法和流程的。首先，我們必須要清楚需要保護的數據資源有哪些、在哪里、誰負責、誰管理、管理措施有什么、措施是否有效，通過這些調研我們才能清楚當前的數據資產狀況。

　　其次，要明確哪些需要管，需要怎么管。這既是技術問題，也是管理問題，因此需要醫院形成管理規定和文件，對各部門的責權利進行明確。當前很好的是衛生健康委下發了制度，明確了責任，有利于我們開展工作。

　　第三，必須要有技術管理措施，也就是花錢買設備，花錢找技術人員來實施。這就是在前期調研基礎上形成本單位數據安全管理技術方案，分步實施，最終通過一段時間的努力，達到最初的設計目標。

　　第四，數據安全還是個動態管理的過程，我們要定期進行安全評估，分析當前的安全威脅，這樣才能做到心中有數。這個動態管理既是每三個月進行，也需要在上新系統、結構發生變化等時刻進行新的安全評估。

　　第五，要有固定的人員去做日常管理，這個人可以是信息科自己的工程師，也可以是購買的外包服務人員。無論是誰，對于這個人日常工作和能力的管理也是我們的工作。

　　"專家B:

　　數據安全保障需要設計一整套體系化的數據安全建設方案，從戰略(法律法規、行業標準)、管理(制度、人員)、產品&技術、運維、服務多個方面綜合考慮，落實數據安全建設工作，保障數據不被攻擊和泄露。產品/技術包括：入侵防護、訪問控制、動態脫敏、防勒索、審計。數據分類分級：加密、靜態脫敏、水印、容災備份等。

　　"專家C:

　　做好賬戶權限管理;做好雙活、災備和離線備份;安裝數據庫審計系統;終端準入管理;上安全設備達到等保2.0級別。

　　"專家D:

　　首先，針對數據存儲過程中面臨的未經授權訪問數據、修改或破壞數據等安全問題，可通過高效的加密算法對數據進行加密，以保障數據的安全性;通過密鑰管理服務，實現密匙全生命周期安全管理;通過存儲復制、數據冗余和硬盤保護等多種策略保障數據安全。

　　其次，針對數據傳輸過程中的安全問題，可采用數據基因技術構建完整的數據基因體系，確保數據傳輸過程中可溯源、可追蹤、可關聯，以保障傳輸數據的正確性;可利用加密傳輸，對數據進行加密傳輸并通過安全傳輸協議，保障數據傳輸安全。

　　再次，針對數據訪問環節中出現的惡意攻擊與解密算法多樣等情況，有可能造成數據的惡意非法訪問，引發數據泄露、竊取、濫用等嚴重后果，可采用基于區塊鏈等的新型訪問控制及多因子認證機制對用戶身份進行驗證和授權。

　　最后，針對數據使用的安全問題，可采用數據匿名化、數據脫敏等技術，保障數據在授權范圍內被訪問、處理，防止數據竊取、隱私泄露、損毀等安全問題發生。在數據銷毀環節，常用的方法易造成數據銷毀不徹底、數據內容被惡意恢復等情況，導致數據泄露等嚴重安全風險，因此，可采用數據關聯銷毀、軟銷毀與硬銷毀結合的方式，徹底銷毀或刪除數據。

　　"專家E:

　　數據安全建設是一個體系建設，現在更多的是某個點上的要求。雖然國家、行業都出臺了許多數據安全的文件要求，但針對醫院數據安全，落地可實操的內容較少。需要從各方面共同發力。第一，要建立數據安全建設的組織架構，信息科有專人負責;第二，建立數據安全相關制度及技術規范要求，指導各業務系統進行相應改造，保障數據安全;第三，重點是把控好數據應用的流程。要建立相應的數據應用管理制度，數據應用有嚴格的審批流程，外出的數據要有脫敏、安全保密協議、回溯等相關機制約束。

　　"專家F:

　　做好信息科及全院的數據安全管理，按照《數據安全法》的規范來管理。同時，做好第三方公司的準入調研，簽署保密協議。

　　"專家G:

　　做好數據備份和數據加密。

　　"專家H:

　　1.定期對員工進行培訓，加強安全意識;2.對電腦等終端進行定期升級，減少漏洞，加強個體防護;3.加強服務器安全防護，對核心設備定期巡檢、維護。