5月18日����,由《中國數(shù)字醫(yī)學》雜志社有限公司主辦、北京安華金和科技有限公司承辦的“第六屆中國數(shù)據(jù)安全治理高峰論壇(2023)——醫(yī)療行業(yè)數(shù)據(jù)安全治理分論壇”在北京召開���。會議邀請國家衛(wèi)生健康委員會領導�����、全國多家醫(yī)院信息化管理者���、醫(yī)療領域專家學者、企業(yè)代表共同就“醫(yī)療衛(wèi)生機構網(wǎng)絡與數(shù)據(jù)安全管理要求���、醫(yī)院數(shù)據(jù)安全治理思路與實踐”交流研討���,并首次發(fā)布由多家機構編寫的《數(shù)據(jù)安全治理白皮書5.0》之醫(yī)療實踐分冊。這是一場醫(yī)療領域探索數(shù)據(jù)安全治理之道的盛會����,期待通過數(shù)據(jù)安全治理實踐經(jīng)驗成果的交流���,進一步助力醫(yī)療行業(yè)提升數(shù)據(jù)安全治理能力,賦能衛(wèi)生健康事業(yè)高質(zhì)量發(fā)展�����。從IT時代步入數(shù)字經(jīng)濟時代�����,健康醫(yī)療大數(shù)據(jù)成為賦能智慧醫(yī)療高質(zhì)量發(fā)展的關鍵要素�。近年來,竊取醫(yī)療核心數(shù)據(jù)���、患者信息泄露事件和違規(guī)事件頻發(fā)���,醫(yī)療機構所面臨的數(shù)據(jù)安全挑戰(zhàn)巨大;另一方面��,各醫(yī)療機構間的數(shù)據(jù)孤島問題依然存在����,給健康醫(yī)療數(shù)據(jù)的高效開發(fā)利用帶來困難�����。
2021年,《數(shù)據(jù)安全法》《個人信息保護法》相繼頒布施行�����,我國數(shù)據(jù)安全基礎法律框架日趨完善�。《數(shù)據(jù)安全法》《個人信息保護法》《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》等法律法規(guī)�、規(guī)章制度的出臺,為醫(yī)療機構構建了數(shù)據(jù)安全管理以及個人信息保護工作的基本遵循����。
本次論壇上,國家衛(wèi)生健康委醫(yī)院管理研究所����、北京大學腫瘤醫(yī)院、北京朝陽醫(yī)院懷柔醫(yī)院���、首都醫(yī)科大學宣武醫(yī)院����、山東第一醫(yī)科大學附屬省立醫(yī)院、山東大學齊魯醫(yī)院���、德馭醫(yī)療管理集團有限公司�、江蘇省人民醫(yī)院�、北京朝陽醫(yī)院懷柔醫(yī)院、山東中醫(yī)藥大學附屬醫(yī)院���、煙臺市毓璜頂醫(yī)院���、北京安華金和科技有限公司等多位醫(yī)療領域的專家,就新形勢下醫(yī)療機構所面臨的數(shù)據(jù)安全挑戰(zhàn)�����,如何做好數(shù)據(jù)安全治理建設�,實現(xiàn)數(shù)據(jù)安全與數(shù)據(jù)應用的平衡發(fā)展發(fā)表了精彩觀點��。
01���、醫(yī)療機構數(shù)據(jù)安全痛點何在��?
國家衛(wèi)生健康委醫(yī)院管理研究所科研合作研究室主任肖革新
在全民健康信息化蓬勃發(fā)展的同時,醫(yī)療衛(wèi)生行業(yè)面臨的網(wǎng)絡及數(shù)據(jù)安全風險逐日增多。三年新冠期間�,網(wǎng)絡攻擊持續(xù)增加,尤其對新冠的感染率�����、應急處置�、診療數(shù)據(jù)等相關信息的網(wǎng)絡安全攻擊成為常態(tài),另外��,涉及基因檢測����、科研等重要數(shù)據(jù)和大量個人信息也成為網(wǎng)絡攻擊的重要目標����。
目前,醫(yī)療衛(wèi)生機構主要存在兩方面的短板:一是管理方面:缺少專業(yè)的網(wǎng)絡安全管理隊伍�、網(wǎng)絡與數(shù)據(jù)安全管理制度和標準規(guī)范不健全、安全監(jiān)測和應急處置能力亟待提升����、缺少統(tǒng)一的網(wǎng)絡安全監(jiān)管平臺;二是技術方面:醫(yī)療衛(wèi)生機構網(wǎng)絡安全防護技術薄弱��、關鍵基礎設施防護能力不足��、大型醫(yī)療設備數(shù)據(jù)安全管控能力較弱、個人信息保護薄弱��。
山東第一醫(yī)科大學附屬省立醫(yī)院
信息網(wǎng)絡管理辦公室副主任包國峰
數(shù)據(jù)安全風險是由大背景決定的:一是互聯(lián)互通大趨勢導致數(shù)據(jù)暴露面增加���。醫(yī)院在互聯(lián)互通�����、高等級電子病歷�、互聯(lián)網(wǎng)醫(yī)院的建設過程中���,不可避免的促使數(shù)據(jù)在不同系統(tǒng)�、不同院區(qū)甚至不同醫(yī)院間流轉��,也會面對來自互聯(lián)網(wǎng)甚至物聯(lián)網(wǎng)的數(shù)據(jù)訪問請求���。數(shù)據(jù)通道數(shù)量的增加導致數(shù)據(jù)安全出現(xiàn)問題的概率也在成倍增加����。二是數(shù)據(jù)復雜度增加導致治理困難��。醫(yī)院信息系統(tǒng)產(chǎn)生的數(shù)據(jù)日益復雜,從最早的電子病歷與HIS數(shù)據(jù)�����,到現(xiàn)在PACS�����、LIS����、甚至物聯(lián)網(wǎng)都在時刻產(chǎn)生著龐大數(shù)據(jù)。各種數(shù)據(jù)格式不一��、內(nèi)容龐雜���,缺乏安全分級分類標準,無法定義安全保護等級���,導致治理困難�,安全策略難以細粒度實施�。三是數(shù)據(jù)防護思路手段落后無法應對挑戰(zhàn)。傳統(tǒng)基于數(shù)據(jù)庫審計與訪問控制的數(shù)據(jù)安全體系無法應對目前的數(shù)據(jù)使用場景����,例如醫(yī)院數(shù)據(jù)向外部交換時的安全防護��、擬人化木馬數(shù)據(jù)竊取����、賬號失竊后的數(shù)據(jù)訪問等�。
首都醫(yī)科大學宣武醫(yī)院
信息中心主任梁志剛
醫(yī)院業(yè)務場景非常復雜,系統(tǒng)多種多樣�,不僅對穩(wěn)定性要求高,而且敏感信息多��,數(shù)據(jù)價值高�。此外,智慧醫(yī)療 �、“互聯(lián)網(wǎng)+醫(yī)療”、大數(shù)據(jù)醫(yī)療的探索和引用使得醫(yī)院信息系統(tǒng)之間��、醫(yī)院與醫(yī)院之間�、醫(yī)院與區(qū)域之間的信息系統(tǒng)協(xié)同共享和數(shù)據(jù)交換要求提高。近幾年來�,隨著醫(yī)療信息化水平的提高和對信息化的依賴,使得各式各樣的信息安全事件也接踵而至����,我們不得不面對這樣一些問題:病患隱私信息被泄露�,甚至被兜售��、HIS等核心業(yè)務系統(tǒng)由于安全問題導致宕機造成病患無法及時就醫(yī)加劇醫(yī)患糾紛�、醫(yī)院用藥信息被非法統(tǒng)計提供給醫(yī)藥代表作為賄賂依據(jù),甚至在一些先進醫(yī)療設施上���,面臨著被黑客攻擊而導致威脅生命的現(xiàn)象出現(xiàn)����。這些問題和威脅的出現(xiàn)����,使我們在信息化發(fā)展的道路上遇到了前所未有的障礙。
目前�����,醫(yī)院面臨著資產(chǎn)多難以管理����,信息化人員不足��;職能����、崗位角色定位不清��,安全意識淡薄����,安全管理責任難以落實�;安全設備堆疊、各自為政�,無法有效地發(fā)現(xiàn)與解決安全問題;靜態(tài)防御失效�����,無法對風險進行持續(xù)檢測���;應急響應能力差��,缺乏主動發(fā)現(xiàn)和預警的能力等諸多挑戰(zhàn)�。
煙臺市毓璜頂醫(yī)院
網(wǎng)絡信息管理處處長徐培國
數(shù)據(jù)安全保護�,外網(wǎng)的壓力可能要小于內(nèi)網(wǎng),內(nèi)部管控風險隱患和處理難度更大��。因為醫(yī)院內(nèi)部系統(tǒng)是不斷地在建設完善���,內(nèi)部防控壓力非常大��。目前沒有特別好的方法防控����,安全設施一啟用可能帶來性能的下降,而醫(yī)院對性能要求是非常高的�����。這就需要廠家提供更好的系統(tǒng)和產(chǎn)品��,提高安全防護的性能���,同時解決內(nèi)部防控的難點�����。
02�、依法治“數(shù)政策頻頻加碼��,法規(guī)日趨完善
國家衛(wèi)生健康委醫(yī)院管理研究所
科研合作研究室主任肖革新
近年來�����,圍繞數(shù)據(jù)的有效保護和合法利用�����,我國從多個方面�����、多個層次進行了總體布局和戰(zhàn)略規(guī)劃�,形成了以總體國家安全觀為指導,以《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心驅動��,以《關鍵信息基礎設施安全保護條例》《網(wǎng)絡安全審查辦法》《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》�、網(wǎng)絡安全等級保護2.0制度等為抓手的數(shù)據(jù)安全保障體系。通過賦予數(shù)據(jù)發(fā)展和應用權利�,明確數(shù)據(jù)安全保護義務,要求數(shù)據(jù)相關方落實安全責任和監(jiān)管職責�����。這些法律法規(guī)為我們未來制定醫(yī)療衛(wèi)生系統(tǒng)相關的數(shù)據(jù)治理規(guī)范標準提供了思路����,是依法治“數(shù)”邁出的重要一步。
《網(wǎng)絡安全法》中16次提到數(shù)據(jù)相關的安全問題和要求����,涉及數(shù)據(jù)分類分級�、數(shù)據(jù)防泄漏���、數(shù)據(jù)完整性���、數(shù)據(jù)庫安全、數(shù)據(jù)共享管控�����、重要數(shù)據(jù)備份與加密����、數(shù)據(jù)全生命周期安全。
《數(shù)據(jù)安全法》架構包括數(shù)據(jù)人才培養(yǎng)���、數(shù)據(jù)應用�����、數(shù)據(jù)標準規(guī)范以及相應的管理制度建立���、數(shù)據(jù)監(jiān)測評估預警等����,為衛(wèi)生健康行業(yè)的數(shù)據(jù)安全治理提供了方向和依據(jù)��。
2022年8月份����,國家衛(wèi)生健康委發(fā)布了《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》�����,要求建立網(wǎng)絡安全管理制度體系�,加強網(wǎng)絡安全防護,通過管理和技術手段保障數(shù)據(jù)安全和數(shù)據(jù)應用的有效平衡�����,這也是醫(yī)療行業(yè)關于數(shù)據(jù)安全治理的重要管理辦法�����。
山東大學齊魯醫(yī)院���、信息網(wǎng)絡中心主任李永在
《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》是進行網(wǎng)絡信息安全工作的基本法律支持和支撐�。《網(wǎng)絡安全法》規(guī)定了防止網(wǎng)絡數(shù)據(jù)泄漏或被竊取、篡改��,確保機構所收集的個人信息安全�,同時防止信息泄露、損毀和丟失����;《數(shù)據(jù)安全法》規(guī)定得更為明確,要求各單位建立健全全流程數(shù)據(jù)安全管理制度�����,對發(fā)現(xiàn)數(shù)據(jù)的安全缺陷漏洞時應該采取積極的措施��,防止竊取或者其他方式獲取數(shù)據(jù)��;《個人信息保護法》中對于哪些信息屬于需要保護的個人信息����,也提出了非常明確的范圍。
國家評級體系對數(shù)據(jù)安全也作了相應的要求���。其中���,電子病歷系統(tǒng)應用水平分級評價標準���、醫(yī)院智慧服務分級評估標準體系、醫(yī)院信息互聯(lián)互通標準化成熟度測評方案部分制度要求是在電子病歷評級�����、互聯(lián)互通評級����、智慧服務評級過程中需要關注的�,這些點和國家的三部大法也直接相關。
《醫(yī)療衛(wèi)生機構網(wǎng)絡安全及管理辦法》第20條�����、第21條和第23條對于數(shù)據(jù)安全管理規(guī)定比較明確����。其中第20條提出六項原則,包括數(shù)據(jù)分級分類合法合規(guī)��、可執(zhí)行����、時效性�����、自主性��、差異性和客觀性���;第21條中對于事前、事中�、事后的原則也都做出了要求;第22條對于數(shù)據(jù)全生命周期安全管理也都做出了一些規(guī)定�。
2022年頒布的《“十四五”全民健康信息化規(guī)劃》提出,要夯實網(wǎng)絡和數(shù)據(jù)安全保障體系����,開展數(shù)據(jù)安全能力提升行動,全面落實網(wǎng)絡安全和數(shù)據(jù)安全法的相關法規(guī)標準����,同時要求單位完善網(wǎng)絡安全和數(shù)據(jù)安全管理體系和制度。
《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》對醫(yī)療數(shù)據(jù)的分級分類標準����、角色分類和應用場景劃分也做出了比較明確的規(guī)定�。
03���、創(chuàng)新實踐-探索科學有效的安全治理之路
山東第一醫(yī)科大學附屬省立醫(yī)院
信息網(wǎng)絡管理辦公室副主任包國峰
早期的網(wǎng)絡安全����,通常是指圍繞網(wǎng)絡系統(tǒng)中軟硬件基礎設施的安全防護措施����;現(xiàn)在的數(shù)據(jù)安全和它有交叉,但是不完全一致�,是面向數(shù)據(jù)全周期的基于分類分級的動態(tài)防護�,這是數(shù)據(jù)安全治理的核心內(nèi)容。
我們開展數(shù)據(jù)安全治理的目標是以數(shù)據(jù)保護為目的�����、以安全合規(guī)為驅動���、以敏感數(shù)據(jù)管理為核心�����、讓數(shù)據(jù)使用更便捷和安全���。
我們基于CAPE數(shù)據(jù)安全治理模型���,實踐了一套數(shù)據(jù)安全防護步驟。第一步是風險的核查����,排除數(shù)據(jù)環(huán)境存在的風險。第二步梳理數(shù)據(jù)資產(chǎn)���,同步完成數(shù)據(jù)的分類分級�。第三步�,制定安全保護的策略。最后要建立起統(tǒng)一的數(shù)據(jù)安全監(jiān)管平臺或機制��,把分散的數(shù)據(jù)防護能力集成起來�����。
以這個為目標�����,我們對醫(yī)院數(shù)據(jù)安全治理工作形成了一個主要路線�����。1、以電子病歷數(shù)據(jù)分類分級為核心����,面向醫(yī)院數(shù)據(jù)的電子病歷數(shù)據(jù)的應用場景來構建醫(yī)院數(shù)據(jù)安全防護體系。2���、以平衡數(shù)據(jù)安全使用和開發(fā)利用�����,提升醫(yī)院數(shù)據(jù)的使用效率為目標��,建立數(shù)據(jù)安全檢測的評估體系。
總結來講��,醫(yī)療數(shù)據(jù)安全治理是以電子病歷數(shù)據(jù)分類分級為基礎��,建立數(shù)據(jù)全生命周期的安全防護體系�,并且通過完善數(shù)據(jù)安全的組織建設,明確各場景的數(shù)據(jù)安全要求����,完善管理體系和技術體系��,從而全面保障醫(yī)院的數(shù)據(jù)安全�����。
首都醫(yī)科大學宣武醫(yī)院信息中心主任梁志剛
醫(yī)院信息安全建設最核心的是保障數(shù)據(jù)安全����,醫(yī)院的數(shù)據(jù)安全不僅和患者有關���,和醫(yī)院有關��,可能也涉及國家安全��。如何規(guī)劃數(shù)據(jù)安全�����?我想有以下幾個方面:第一�,與醫(yī)院的業(yè)務特點結合���,了解業(yè)務模式和發(fā)展方向��,同步規(guī)劃�����、同步建設���。第二�����,通過風險評估充分識別風險����,包括內(nèi)部隱患和外部的威脅���。第三���,遵循國家等級保護、數(shù)據(jù)安全管理���、個人信息保護相關規(guī)定,參照相關國家標準���,做好安全治理���,構建管理��、技術���、運維三位一體的數(shù)據(jù)安全體系。
具體來講�,數(shù)據(jù)全生命周期可以采取多種安全技術措施,包括分類分級�����、加密���、防泄漏���、脫敏、身份識別�、訪問控制、監(jiān)控審計等�,秉承“持續(xù)保護、不止合規(guī)”的理念��,構建“防御+檢測+響應”的安全能力,使安全技術體系不再是簡單的堆疊防御手段�����,要能充分發(fā)揮安全技術體系的有效性���,抵御新威脅��,切實的解決安全問題����,減少事故發(fā)生的概率�����。要建立數(shù)據(jù)安全管理機構����、制度、流程���,并嚴格落實執(zhí)行�����。加強數(shù)據(jù)安全培訓�,既要管好內(nèi)部人員�����,又要管好外部人員�。
山東大學齊魯醫(yī)院
信息網(wǎng)絡中心主任李永在
我院的智慧醫(yī)院總體框架有六個組成部分,其中安全架構從安全管理體系����、技術服務體系多個方面進行了規(guī)劃。另外�,在智慧醫(yī)院發(fā)展目標中,第三條要求全面提升數(shù)據(jù)安全治理能力��,促進醫(yī)療資源共享開放利用���。
數(shù)據(jù)的安全治理是共享開放的基礎�����,如果沒有好的數(shù)據(jù)安全治理�����,很難把自己的數(shù)據(jù)進行開放和供第三方應用�。在數(shù)據(jù)治理具體工作中,我們在專家建議下找到了最佳實踐的指導方法�����,包括兩個模型��,一個是ITIL服務價值系統(tǒng)模型(SVS)�����,包括組織人員��、信息技術��、價值流程��、合作伙伴和供應商四個維度���。四個維度周邊共有六個因素�����,包括經(jīng)濟因素���、社會因素���、技術因素����、法律因素、環(huán)境因素和政治因素等��。
另一個是 ITIL服務價值鏈模型(SVC)持續(xù)精進模型����,信息網(wǎng)絡安全工作推進是一項長期持續(xù)的工作,并不是說加把勁工作一段時間就能把所有問題都解決掉了���,而是隨著工作的落實持續(xù)不斷地精進改善��。
開展的具體工作包括:一是推進制度建設���。要通過管理制度的落實,讓制度從墻上���、從櫥子里走出來���,真正落地���,讓安全制度長牙。二是宣傳教育��。開展常態(tài)化的網(wǎng)絡安全培訓����,提升全員的安全素質(zhì)。 三是加強信息資產(chǎn)的管理����。通過逐步梳理真正做到資產(chǎn)清、隱患明��,并且對系統(tǒng)在上線過程中確認部門的網(wǎng)絡安全負責人����、安全技術人員以及廠家的安全技術人員。四是運營開展常態(tài)化安全檢測���。對即將上線的業(yè)務系統(tǒng)必須進行漏洞掃描和源代碼安全審查����,保證所有上線業(yè)務系統(tǒng)在最初就能達到安全要求。五是推進漏洞的管理工作�����。對于高危漏洞零容忍����,要求限期整改�����,整改不到位��,就給廠家發(fā)警示函�����,甚至列入醫(yī)院新項目建設的黑名單��,不允許建設新項目�����。六是進行運維安全審查�����,以查促改、以查促建�。另外,積極推動醫(yī)院的等保測評工作����,定期開展網(wǎng)絡安全攻防演練,推動國產(chǎn)商用密碼的應用等���。
德馭醫(yī)療管理集團有限公司總監(jiān)朱元元
集團在數(shù)據(jù)安全實踐方面�����,采取了包括強化內(nèi)外網(wǎng)隔離����、威脅態(tài)勢感知��、業(yè)務系統(tǒng)實時監(jiān)控����、互聯(lián)網(wǎng)接入實名認證、動靜態(tài)數(shù)據(jù)脫敏��、數(shù)據(jù)使用監(jiān)控、水印����、安全審計審查、身份認證�、訪問控制、建立應急響應體系�、加強數(shù)據(jù)安全培訓宣貫等手段。以上網(wǎng)實名制為例�����,我們醫(yī)療機構有幾千人��,所有的人都是實名制上網(wǎng)�����,從源頭上減少數(shù)據(jù)泄漏的風險����。我們采用去標識化��、匿名化���、假名化等技術實現(xiàn)敏感數(shù)據(jù)的隱私保護���,支持動態(tài)脫敏和靜態(tài)脫敏���,以應對不同業(yè)務的需要。
江蘇省人民醫(yī)院是江蘇省規(guī)模最大的三甲醫(yī)院�����,現(xiàn)在已經(jīng)有1000萬患者�,數(shù)據(jù)中心有幾十億條臨床記錄,數(shù)據(jù)規(guī)模非常大�����。為了把數(shù)據(jù)管起來�,醫(yī)院專門成立了數(shù)據(jù)管理中心,負責數(shù)據(jù)應用分析��、管理����、安全治理。我們采用了日志審計、數(shù)據(jù)庫審計����、密碼平臺等安全設備,制定了數(shù)據(jù)開放共享等制度��,數(shù)據(jù)管理辦法����,用于保護醫(yī)院數(shù)據(jù)安全。
<p style="margin-top: 0px;margin-bottom: 0px;padding: 0px;outline: 0px;ma
產(chǎn)品咨詢:4000 258 365 
