首 頁徐州醫科大學附屬醫院:基于DSMM數據安全能力成熟度模型的醫療數據安全建設與應用
導語
徐州醫科大學附屬醫院(簡稱“徐醫附院”)榮獲中國信息通信研究院及泰爾實驗室頒發的數據安全能力成熟度模型(DSMM)二級認證,成為全國首家通過國家級數據安全能力建設認證的醫療機構。
構建安全高效的醫療數據環境
在醫療數字化不斷進步的當下,確保健康醫療數據的安全性和隱私保護顯得至關重要。隨著“互聯網+醫療健康”和智慧醫療的迅猛發展,新服務和新應用不斷涌現,健康醫療數據在數據生命周期的每一個環節都面臨著前所未有的安全考驗,這些安全挑戰要求徐醫附院采取相應的措施來應對。目前,國內各家醫院均在積極加強數據安全能力建設,但在整體的數據安全建設理念和方法上仍處于探索階段,特別是在HIS、EMR、PACS、CDR等醫療核心業務系統的全生命周期保護方面,缺乏全面的防護方案。
對此,徐醫附院信息處處長祖潔強調:網絡安全和數據安全是一切醫療行為的基礎,拋開安全談業務都是空中樓閣。
徐醫附院積極響應國家的號召,以《GB-T 37988-2019 信息安全技術 數據安全能力成熟度模型》作為行動的指導和評估準則,致力于全方位提升醫院的醫療數據安全水平。通過實施這一策略,徐醫附院不僅確保了患者信息的安全,而且在推動國家醫療數據安全進程中起到了示范作用,成為行業的典范。
在本項目實施過程中,徐醫附院遵循國家標準中提出的數據安全能力成熟度模型(DSMM),結合醫院實際情況,從組織建設、制度流程、技術工具和人員能力四個維度進行綜合考量,幫助醫院構建一個更加安全、高效的醫療數據環境。
建設全方位數據安全體系
為了遵循落實DSMM數據安全能力成熟度模型標準要求的數據安全建設能力,徐醫附院數據安全體系建設整體框架如下:
建設內容包含四部分:數據安全制度體系、數據安全全生命周期保護、數據級容災架構和數據安全運行監控能力,它們以徐醫附院醫療數據資產為中心,訪問身份為邊界,實現數據安全、容災備份、運行管理的整體數據安全全域建設。
(1)構建規范化的數據安全制度管理體系
在不斷探索數據潛力以提升服務質量、工作效率及滿足發展需求的同時,徐醫附院亦致力于確保健康醫療數據在使用過程中的合法性與合規性。醫院重視保護個人信息安全、維護公眾利益以及保障國家安全。為此,醫院通過建立標準化的制度和管理體系來加強數據安全。作為健康醫療數據的管理者,醫院必須實施合理且恰當的管理措施和技術保障,以確保健康醫療數據的保密性、完整性和可用性。
(2)構建基于分類分級的數據安全全生命周期保護能力
作為數據安全建設的基石,分類分級工作至關重要。徐醫附院參照《衛生健康行業數據分類分級指南》,對HIS、EMR、CDR等核心信息系統進行了詳細的數據資產梳理。通過這一過程,徐醫附院確定了不同數據字段和表格之間的關系,形成了數據畫像,解析了數據的具體含義,并分析了數據的業務類型。這些工作為實施數據分類分級保護奠定了堅實的基礎,有助于在確保數據安全的同時,釋放數據的潛在價值。此外,這些信息還為數據采集、傳輸加密、存儲、脫敏處理等數據安全措施的精細化策略制定提供了重要的參考依據。
(3)構建數據級容災架構
為確保醫院在醫療信息化建設中的基礎安全保障和容災建設,徐醫附院遵循電子病歷系統應用水平分級評價、互聯互通標準化成熟度測評以及智慧管理分級評估等相關要求,對高耦合性的醫療業務系統實施了數據級容災架構,制定了詳盡的核心業務系統的容災方案,以最大程度地減少因外部不可抗力因素導致的數據損失和業務中斷,確保數據安全和業務連續性。同時,徐醫附院還具備災備庫的可用性驗證能力,通過桌面演練功能,在不影響生產數據庫的情況下,驗證災備庫的可用性。此外,徐醫附院通過定期的容災演練,為院內醫療系統的切換流程提供了改進和優化的依據,確保在災難發生時能夠迅速且有效地進行切換。
(4)構建數據安全運行監控的感知能力
徐醫附院搭建了數據安全統一管控體系,實現對各類安全設備集中管控和策略聯動,對數據安全態勢進行分析和呈現,為數據安全運營管理提供支撐,推動數據安全策略、機制持續改進。通過完善數據分類分級、內部風險操作管控、外部入侵防御、業務連續性保護、流動數據安全等場景下的數據安全保護技術手段,有效保障醫院數據資產的安全和業務系統持續穩定運行。
構建醫療數據安全防護生態
經過此項目的實施,徐醫附院建成了切實可行的數據安全能力體系。同時,通過數據分類分級、風險評估、能力建設等,醫院全面摸清院內的數據現狀,實現了對敏感數據的精準保護,能夠根據醫療衛生健康數據的敏感程度、重要程度進行分級保護,方便醫院更有針對性地保護醫療敏感信息,減少數據安全風險,滿足國家政策以及行業合規的要求。徐醫附院基于該項目申報了工信部2024年網絡安全技術應用典型案例,獲試點示范單位,在全國率先實現了圍繞醫療信息系統、電子病歷系統的標準化數據安全全生命周期流程管理,建立了醫療數據安全防護生態,從制度上、技術上、人員上、管理上推動了全院乃至醫療行業的健康發展,也為其他醫療機構提供了科學數據安全能力建設方法。
作者簡介
李滿堂,徐州醫科大學附屬醫院信息處工程師
