售前電話
135-3656-7657
售前電話 : 135-3656-7657
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
文│山石網科通信技術股份有限公司 李蒞
隨著我國信息技術的進步和醫療衛生改革的深入,數字化轉型已滲透到醫療體系的各個業務領域,如病歷電子化、醫院上云、遠程問診等。同時,“云、大、物、移、智”等新概念、新方法、新技術在醫療行業的廣泛應用,為醫療服務的高效、快捷、便民提供了信息化基礎,但由此也產生了海量的、高度集中化的、敏感的各類健康醫療數據。這給醫院帶來了全新的數據安全挑戰,加大了數據安全保障的難度。
一、健康醫療數據面臨的風險及挑戰
在醫療機構數字化轉型過程中,醫院、患者、管理者、公衛以及科研人員等各方對數據利用和共享的需求日益強烈,健康醫療數據由“靜態”轉為“動態”,數據共享流通更加頻繁,數據集中處理、廣泛共享、交叉使用成為剛性業務需求,數據安全新老風險并存,對醫療機構的數據安全防護能力提出新的要求。
一是醫院內部數據安全管理體系尚待完善。隨著《數據安全法》的頒布實施,醫院行業整體數據安全意識逐步增強,但大部分醫院數據管理機制的建立和完善相對滯后。醫院內部擁有大量內部職工和第三方運維人員,如果對重要數據的訪問權限管控不足,將會造成越權訪問風險,造成數據泄露等后果。
二是數據開放共享風險加大。伴隨著醫院數據中心所存儲的醫療數據快速增長,同時醫聯體的建設也促使醫療數據種類不斷豐富,醫療機構面臨著極高的數據安全管理壓力。關聯方都在積極尋求與醫院的合作,實現數據的商業化變現。醫院自身也希望能將多年積累的“沉睡”數據轉換為價值,獲取更多醫學研究成果。但未脫敏的健康醫療數據在與第三方共享時可能會導致敏感信息的泄露,醫院內部工作人員的不當操作也可能會導致敏感信息未經授權的訪問、修改和泄露。
三是個人隱私保護要求加強。健康醫療數據中重要的組成部分是各種患者的個人信息集合,包括個人基本信息、個人身份信息、個人生物識別信息、個人健康生理信息等,這些數據內容都涉及個人隱私。這些個人信息一旦泄露和傳播,將對患者個人生活和精神狀態造成嚴重影響。個人隱私保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。
四是外部攻擊風險嚴峻。據《2020 年全球高級持續威脅(APT)年度報告》,2020 年醫療衛生行業以 23.7% 的占比,歷史上首次超過政府、金融、國防、能源、電信等領域,成為全球 APT活動關注的首要目標。現階段,醫療機構重業務輕安全的態勢仍然存在,眾多醫療機構安全防護的水平相對較低,例如大量安全漏洞無法及時修復,難以防范外部攻擊。
五是合規要求日益嚴格。醫療數據涉及國家利益、公共安全、患者隱私、商業秘密等重要信息,從《網絡安全法》到行業出臺的各類法規標準,從多個維度對醫療機構的信息安全和數據安全提出了明確的要求。
二、以健康醫療數據為中心的安全治理體系
健康醫療數據是國家重要的基礎性戰略資源,關系到國家戰略安全、國家生物安全、人民生命安全和公民個人隱私安全。從安全管控角度,對相關數據中心的安全管理和個人健康醫療數據的隱私保護,將決定著健康醫療大數據應用發展的未來。因此,建立一套完善的健康醫療數據安全治理體系,以網絡安全等級保護、關鍵信息基礎設施安全、數據安全保障措施、數據流轉全程留痕、數據安全監測和預警、數據泄露事故可溯源為中心的防護手段,對于醫療行業來說迫在眉睫。
(一)雙維驅動健康醫療數據安全建設
健康醫療數據安全治理永遠不是從零開始,它一定是基于醫院現有的安全能力建設現狀,通過以健康醫療數據為中心的視角,對現有的體系進行擴展,以實現對數據的安全治理管控。
大多數醫療結構在此前或多或少已有了一定的安全體系,基本上都是圍繞著網絡環境和信息系統開展的安全防護工作,主要聚焦在了網絡安全和信息安全兩個方面,如網絡安全等保 2.0 合規評測標準下的安全能力建設。而數據安全是以健康醫療數據為中心,圍繞著數據全生命周期進行建設,以提高醫院數據安全保障能力。所以從數據安全角度出發,醫療機構應當制定符合自身業務情況的數據安全建設思路,構建面向數字化轉型的可持續安全運營能力。
(二)以健康醫療數據為中心的安全治理體系
健康醫療數據安全治理是從業務到安全、從管理到技術,自上而下全方位與體系融合的綜合性專題建設。正是由于數據安全所需考慮的范圍廣、變量多,才需要醫院管理者綜合思考一套行之有效的體系框架,從而使數據安全建設做到有章可循,實現“同步規劃、同步建設、同步運營”的數據安全建設目標。
