首 頁聚焦醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)思路與實踐
9月7日,由中國醫(yī)院協(xié)會信息專業(yè)委員會舉辦的CHIMA大講堂【技術(shù)分享課】正式開課。作為國家級繼續(xù)醫(yī)學(xué)教育項目,本期課堂圍繞醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)展開。
本期大講堂的分享嘉賓為新華三集團醫(yī)療資深安全架構(gòu)師宗瑞金,分享主題為“醫(yī)院數(shù)據(jù)安全體系建設(shè)思路與實踐”。宗瑞金從醫(yī)院數(shù)據(jù)安全建設(shè)需求與政策要求出發(fā),介紹了數(shù)據(jù)安全建設(shè)的技術(shù)路線與落地實踐。
大勢所趨,醫(yī)院數(shù)據(jù)安全建設(shè)勢在必行
數(shù)字經(jīng)濟大潮下,隨著智慧醫(yī)療的縱深化發(fā)展,醫(yī)療數(shù)據(jù)安全作為關(guān)系到生命安全與智慧醫(yī)院建設(shè)成效的關(guān)鍵因素,其重要性不言而喻。中共中央、國務(wù)院印發(fā)的《“健康中國2030”規(guī)劃綱要》中明確要求各醫(yī)療機構(gòu)需“注重內(nèi)容安全、數(shù)據(jù)安全和技術(shù)安全,加強健康醫(yī)療數(shù)據(jù)安全保障和患者隱私保護。此外,2022年國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局印發(fā)的《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》中也對數(shù)據(jù)安全做出了進一步能力要求,要求各醫(yī)療機構(gòu)從組織架構(gòu)、制度優(yōu)化、能力建設(shè)、資產(chǎn)管理等維度出發(fā),構(gòu)建起數(shù)據(jù)安全能力體系。
除政策層面的行業(yè)標準越發(fā)嚴格外,信息系統(tǒng)在支撐著醫(yī)院數(shù)字化轉(zhuǎn)型業(yè)務(wù)高效運轉(zhuǎn)的過程中也對數(shù)據(jù)安全也提出新的要求。宗瑞金指出,目前數(shù)據(jù)安全建設(shè)主要存在以下難點,一是缺乏統(tǒng)一數(shù)據(jù)標準,制約診療服務(wù)水平進一步提升;二是數(shù)據(jù)共享管理混亂,存在泄露風(fēng)險;三是數(shù)據(jù)安全建設(shè)難度較大,改造尺度難以把握;四是數(shù)據(jù)質(zhì)量差影響業(yè)務(wù)使用效率;五是數(shù)據(jù)敏感度高,數(shù)據(jù)防護與應(yīng)急處置壓力較大;六是內(nèi)部人員權(quán)限管理過于粗放,管理制度還需完善。
宗瑞金表示,醫(yī)院數(shù)據(jù)安全建設(shè)思路可以歸納為八個字,即“分級保護,技管并重”。一方面,需要對不同級別、不同類別的數(shù)據(jù)分別設(shè)計策略并進行管理,另一方面需要通過技術(shù)與管理手段構(gòu)建起體系化的數(shù)據(jù)安全能力,實現(xiàn)數(shù)據(jù)全生命周期的“可視”“可管”“可控”。
四大流程,全方位優(yōu)化數(shù)據(jù)安全治理服務(wù)
數(shù)據(jù)安全治理是一項復(fù)雜、長期、系統(tǒng)性的大工程。對于醫(yī)療機構(gòu)而言,數(shù)據(jù)安全治理的要求更為苛刻,需要遵循一整套科學(xué)完善的服務(wù)流程進行規(guī)劃與設(shè)計。宗瑞金介紹,做好數(shù)據(jù)安全治理,需同時進行資產(chǎn)梳理、風(fēng)險篩查、分類分級、標簽化管理、制度優(yōu)化等工作。
具體而言,主要是集中做好以下三點:
● 資產(chǎn)梳理方面:梳理數(shù)據(jù)資產(chǎn)與業(yè)務(wù)邏輯、實現(xiàn)對數(shù)據(jù)造冊登記與全面的安全風(fēng)險評估。
● 分類分級方面:基于國家標準與機構(gòu)實際情況對數(shù)據(jù)進行分類分級,并利用工具對數(shù)據(jù)進行標簽化管理與針對性的策略設(shè)置,通過標簽實現(xiàn)原始數(shù)據(jù)與防護策略的雙向映射。
● 制度優(yōu)化方面:基于分類分級結(jié)果,結(jié)合機構(gòu)組織架構(gòu)與管理制度現(xiàn)狀,建立并完善數(shù)據(jù)安全管理制度,形成四級管理制度體系,自上而下的指導(dǎo)數(shù)據(jù)安全能力落地。
在數(shù)據(jù)安全治理完成后,選擇合適的落地措施,通過數(shù)據(jù)防泄漏、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計、資產(chǎn)管理平臺等安全設(shè)備或直接對業(yè)務(wù)系統(tǒng)進行調(diào)整,實現(xiàn)數(shù)據(jù)安全防護策略的落地。同時做好后續(xù)運營工作,將增量數(shù)據(jù)、新建系統(tǒng)納入防護范圍內(nèi),利用每年的安全自檢進行復(fù)盤檢查,持續(xù)的提升數(shù)據(jù)安全防護基線。
當前,醫(yī)院信息化正在從IT進入DT時代。數(shù)據(jù)在智慧醫(yī)療變革中扮演的價值將愈發(fā)關(guān)鍵,推動醫(yī)療行業(yè)向著高質(zhì)量發(fā)展的目標穩(wěn)步邁進。醫(yī)療機構(gòu)需全方位做好優(yōu)化數(shù)據(jù)安全治理服務(wù),為數(shù)據(jù)安全豎立堅固的屏障。
