醫療數據的價值與風險并存，當前在全民健康信息化蓬勃發展的同時，醫療衛生行業面臨的數據安全風險也逐日增多。華中科技大學同濟醫學院附屬協和醫院(簡稱“武漢協和醫院”)信息與數據中心副主任劉煒在CHIMA 2024演講中談及數據安全時指出，“數據作為新型生產資料、生產要素，具有非消耗性、可共享性、自增值性的特點，數據資產可無限循環利用、價值可持續，并且數據的復制沒有成本，數據越共享越挖掘價值越大，但安全就越復雜。”他強調，和傳統網絡安全不同，數據流動性決定了，我們不能把數據圈起來防護，數據安全的工作是打開數據流動限制，是為了更好的發展。醫療行業面臨的不僅是傳統的數據資產安全，而是多結構、多形式復雜流動的信息的安全保護集合。

　　近年來，國家陸續出臺了多項數據安全相關法規與制度，主要包括《網絡安全法》《數據安全法》《個人信息保護法》等。對此，劉煒認為：“三大法不分家，互為補充形成整體。數據安全本身是網絡安全不可分割的一部分，在防范外部攻擊方面是完全一致的。另外，我們做數據安全的時候要綜合考慮數據的重要性和敏感性，對個人隱私數據的保護是其中最為重要的考量?！?/p>

探索數據安全治理

　　在劉煒看來，數據安全治理的關鍵點是通過一群有技能的人，遵循標準化的制度和流程，使用技術、工具和平臺，保障運營中數據的安全，主要遵循以下5方面原則：遵循法律法規、行業需求；符合整體的數據發展戰略；了解醫院的業務現狀和發展；清晰醫院數據安全治理能力現狀；實現安全、性能和成本間的平衡。

　　在進行數據安全治理規劃設計時，武漢協和醫院以網絡安全為基礎，加強了網絡安全等保2.0標準下的安全能力建設和以“數據”為中心的安全治理體系建設，開展了數據安全制度建設、組織建設和人員能力建設，提升面向業務的可持續安全運營能力。

　　在數據安全治理框架方面，武漢協和醫院按照ISO 27000系列標準要求，以網絡安全等級保護2.0標準下的安全能力為基座，結合MSG及SDP納管數據通信網絡，設計了數據安全技術防護體系，開展基于實際業務場景和數據全生命周期的數據安全治理。

　　劉煒指出：“數據安全治理的最終目標是面向組織的全域數據資產開展，以實現對數據的充分利用、有效流通，以及最大程度發揮數據要素價值。但基于市場環境、組織現狀、資源投入、技術因素等，組織需要分階段、分層次地進行數據安全治理工作?！?/p>

七大步驟推進數據安全治理落地

　　劉煒介紹，在推進數據安全治理落地過程中，武漢協和醫院采取了以下7個步驟。

　　第一步：組織建設。人是一切項目建設實施的必要條件，數據的流動性要求數據安全治理必須跨部門協作。武漢協和醫院數據安全治理組織架構包括決策層、管理層、執行層、員工和合作伙伴、監督層。各業務部門通力合作，確保數據安全治理的有效實施。

　　第二步：現狀摸底。這塊工作主要包括兩個重要內容：創建《數據資產臺賬》，這是開展數據安全治理的首要環節，通過分析發現醫院的HIS、EMR、OA和官微等系統產生的數據是醫院核心數據的典型代表；繪制《數據業務場景表》，對業務系統、業務流程、業務數據、用戶權限等內容全面梳理，有效掌握數據流轉情況。

　　第三步：數據分類分級。整個數據分級分類過程包括目標框定、資產調研、方法確立、標準制定、分類定級、成果輸出等步驟，按照國家標準要求進行。數據分類分級參考依據包括國家層面文件、醫療行業層面文件、團體/地方層面文件和其他行業參考文件。武漢協和醫院已完成HIS、EMR、官微等核心系統的分類分級工作，分類方面一、二類參考國家標準，三、四類結合業務現狀；分級方面從醫院維度和行業維度對數據分級，1-3級為一般數據，4-5級為重要數據，五級是參考國家標準的數據。

　　第四步：風險評估。以“數據”為視角，對數據處理活動風險(包括采集、傳輸、存儲、處理、交換、銷毀等環節)、數據安全技術風險、數據安全管理風險、個人信息保護風險等開展識別、分析和評價，形成《數據安全風險評估報告》。

　　第五步：核心能力建設。數據安全治理的核心在于持續改進，而持續改進的核心是能力建設。能力建設的關注點是數據治理的三個核心要素，分別是管理、技術和運營：建立制度規范體系，武漢協和醫院共出臺了11大核心制度文件；加強技術防護體系，主要包括通用技術和數據安全相關的技術；提升運營能力，加強運營安全的組織建設、能力提升和運行流程標準化。

　　第六步：支撐體系建設。通過建設數據安全監督審查管理體系和數據安全應急響應體系，提高數據安全的感知能力，通過建設數據安全態勢感知和監測預警平臺，保障數據安全措施的持續有效。

　　第七步：數據安全培訓。《數據安全法》 要求每年至少進行一次全員數據安全意識培訓，《網絡數據安全管理條例》要求各機構每年進行20小時的數據安全培訓，醫院持續開展分層次的培訓工作，培訓對象包括決策層、安全管理團隊、業務及運維團隊和全體醫護人員等，讓大家明確數據安全的價值，重視數據安全，才能更好地保障數據安全。

　　在劉煒看來，數據安全治理不僅是保證安全，還能規范數據處理和使用的行為。不僅僅是在院內進行數據應用，更應該實現跨機構的數據安全開發利用。他建議：“對數據要素的開發利用，首要是開放。目前以機構為中心進行數據共享的方式，在實踐中存在安全、隱私保護、確權等一系列問題。我們可以轉變一種思路，以患者為中心，建立工業互聯網+區塊鏈的分布式可信數據開放體系把過去孤立、分散的私有化數據變成共權的公有數據，且完全由個人來管理，且可以跟蹤到數據共享的全周期全流程，推動跨機構的數據安全開放共享?！?/p>

　　在演講的最后，劉煒強調：“數據開發利用和保障安全要并重，不僅要促進數據的使用，更要保障安全?！?/p>