5月18日,由《中國數(shù)字醫(yī)學(xué)》雜志社有限公司主辦�����、北京安華金和科技有限公司承辦的“第六屆中國數(shù)據(jù)安全治理高峰論壇(2023)——醫(yī)療行業(yè)數(shù)據(jù)安全治理分論壇”在北京召開��。會議邀請國家衛(wèi)生健康委員會領(lǐng)導(dǎo)��、全國多家醫(yī)院信息化管理者��、醫(yī)療領(lǐng)域?qū)<覍W(xué)者����、企業(yè)代表共同就“醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)與數(shù)據(jù)安全管理要求、醫(yī)院數(shù)據(jù)安全治理思路與實踐”交流研討��,并首次發(fā)布由多家機構(gòu)編寫的《數(shù)據(jù)安全治理白皮書5.0》之醫(yī)療實踐分冊�����。這是一場醫(yī)療領(lǐng)域探索數(shù)據(jù)安全治理之道的盛會,期待通過數(shù)據(jù)安全治理實踐經(jīng)驗成果的交流�,進一步助力醫(yī)療行業(yè)提升數(shù)據(jù)安全治理能力,賦能衛(wèi)生健康事業(yè)高質(zhì)量發(fā)展�。從IT時代步入數(shù)字經(jīng)濟時代����,健康醫(yī)療大數(shù)據(jù)成為賦能智慧醫(yī)療高質(zhì)量發(fā)展的關(guān)鍵要素。近年來��,竊取醫(yī)療核心數(shù)據(jù)���、患者信息泄露事件和違規(guī)事件頻發(fā)����,醫(yī)療機構(gòu)所面臨的數(shù)據(jù)安全挑戰(zhàn)巨大�;另一方面,各醫(yī)療機構(gòu)間的數(shù)據(jù)孤島問題依然存在�,給健康醫(yī)療數(shù)據(jù)的高效開發(fā)利用帶來困難。
2021年���,《數(shù)據(jù)安全法》《個人信息保護法》相繼頒布施行�,我國數(shù)據(jù)安全基礎(chǔ)法律框架日趨完善?���!稊?shù)據(jù)安全法》《個人信息保護法》《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》等法律法規(guī)、規(guī)章制度的出臺����,為醫(yī)療機構(gòu)構(gòu)建了數(shù)據(jù)安全管理以及個人信息保護工作的基本遵循����。
本次論壇上�,國家衛(wèi)生健康委醫(yī)院管理研究所、北京大學(xué)腫瘤醫(yī)院、北京朝陽醫(yī)院懷柔醫(yī)院�����、首都醫(yī)科大學(xué)宣武醫(yī)院����、山東第一醫(yī)科大學(xué)附屬省立醫(yī)院���、山東大學(xué)齊魯醫(yī)院�、德馭醫(yī)療管理集團有限公司��、江蘇省人民醫(yī)院、北京朝陽醫(yī)院懷柔醫(yī)院�����、山東中醫(yī)藥大學(xué)附屬醫(yī)院�����、煙臺市毓璜頂醫(yī)院����、北京安華金和科技有限公司等多位醫(yī)療領(lǐng)域的專家�,就新形勢下醫(yī)療機構(gòu)所面臨的數(shù)據(jù)安全挑戰(zhàn)����,如何做好數(shù)據(jù)安全治理建設(shè)���,實現(xiàn)數(shù)據(jù)安全與數(shù)據(jù)應(yīng)用的平衡發(fā)展發(fā)表了精彩觀點�。
01�����、醫(yī)療機構(gòu)數(shù)據(jù)安全痛點何在?
國家衛(wèi)生健康委醫(yī)院管理研究所科研合作研究室主任肖革新
在全民健康信息化蓬勃發(fā)展的同時�,醫(yī)療衛(wèi)生行業(yè)面臨的網(wǎng)絡(luò)及數(shù)據(jù)安全風(fēng)險逐日增多��。三年新冠期間����,網(wǎng)絡(luò)攻擊持續(xù)增加,尤其對新冠的感染率����、應(yīng)急處置、診療數(shù)據(jù)等相關(guān)信息的網(wǎng)絡(luò)安全攻擊成為常態(tài)���,另外�,涉及基因檢測�、科研等重要數(shù)據(jù)和大量個人信息也成為網(wǎng)絡(luò)攻擊的重要目標。
目前�,醫(yī)療衛(wèi)生機構(gòu)主要存在兩方面的短板:一是管理方面:缺少專業(yè)的網(wǎng)絡(luò)安全管理隊伍、網(wǎng)絡(luò)與數(shù)據(jù)安全管理制度和標準規(guī)范不健全���、安全監(jiān)測和應(yīng)急處置能力亟待提升���、缺少統(tǒng)一的網(wǎng)絡(luò)安全監(jiān)管平臺�����;二是技術(shù)方面:醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全防護技術(shù)薄弱、關(guān)鍵基礎(chǔ)設(shè)施防護能力不足�、大型醫(yī)療設(shè)備數(shù)據(jù)安全管控能力較弱、個人信息保護薄弱����。
山東第一醫(yī)科大學(xué)附屬省立醫(yī)院
信息網(wǎng)絡(luò)管理辦公室副主任包國峰
數(shù)據(jù)安全風(fēng)險是由大背景決定的:一是互聯(lián)互通大趨勢導(dǎo)致數(shù)據(jù)暴露面增加。醫(yī)院在互聯(lián)互通�、高等級電子病歷、互聯(lián)網(wǎng)醫(yī)院的建設(shè)過程中���,不可避免的促使數(shù)據(jù)在不同系統(tǒng)、不同院區(qū)甚至不同醫(yī)院間流轉(zhuǎn),也會面對來自互聯(lián)網(wǎng)甚至物聯(lián)網(wǎng)的數(shù)據(jù)訪問請求��。數(shù)據(jù)通道數(shù)量的增加導(dǎo)致數(shù)據(jù)安全出現(xiàn)問題的概率也在成倍增加��。二是數(shù)據(jù)復(fù)雜度增加導(dǎo)致治理困難�����。醫(yī)院信息系統(tǒng)產(chǎn)生的數(shù)據(jù)日益復(fù)雜����,從最早的電子病歷與HIS數(shù)據(jù),到現(xiàn)在PACS����、LIS、甚至物聯(lián)網(wǎng)都在時刻產(chǎn)生著龐大數(shù)據(jù)��。各種數(shù)據(jù)格式不一���、內(nèi)容龐雜��,缺乏安全分級分類標準�����,無法定義安全保護等級���,導(dǎo)致治理困難,安全策略難以細粒度實施。三是數(shù)據(jù)防護思路手段落后無法應(yīng)對挑戰(zhàn)�����。傳統(tǒng)基于數(shù)據(jù)庫審計與訪問控制的數(shù)據(jù)安全體系無法應(yīng)對目前的數(shù)據(jù)使用場景�����,例如醫(yī)院數(shù)據(jù)向外部交換時的安全防護�����、擬人化木馬數(shù)據(jù)竊取����、賬號失竊后的數(shù)據(jù)訪問等。
首都醫(yī)科大學(xué)宣武醫(yī)院
信息中心主任梁志剛
醫(yī)院業(yè)務(wù)場景非常復(fù)雜��,系統(tǒng)多種多樣�����,不僅對穩(wěn)定性要求高���,而且敏感信息多,數(shù)據(jù)價值高。此外����,智慧醫(yī)療 、“互聯(lián)網(wǎng)+醫(yī)療”���、大數(shù)據(jù)醫(yī)療的探索和引用使得醫(yī)院信息系統(tǒng)之間��、醫(yī)院與醫(yī)院之間���、醫(yī)院與區(qū)域之間的信息系統(tǒng)協(xié)同共享和數(shù)據(jù)交換要求提高。近幾年來����,隨著醫(yī)療信息化水平的提高和對信息化的依賴,使得各式各樣的信息安全事件也接踵而至����,我們不得不面對這樣一些問題:病患隱私信息被泄露,甚至被兜售�����、HIS等核心業(yè)務(wù)系統(tǒng)由于安全問題導(dǎo)致宕機造成病患無法及時就醫(yī)加劇醫(yī)患糾紛����、醫(yī)院用藥信息被非法統(tǒng)計提供給醫(yī)藥代表作為賄賂依據(jù)����,甚至在一些先進醫(yī)療設(shè)施上�,面臨著被黑客攻擊而導(dǎo)致威脅生命的現(xiàn)象出現(xiàn)。這些問題和威脅的出現(xiàn)��,使我們在信息化發(fā)展的道路上遇到了前所未有的障礙����。
目前,醫(yī)院面臨著資產(chǎn)多難以管理��,信息化人員不足�;職能、崗位角色定位不清�����,安全意識淡薄�,安全管理責(zé)任難以落實;安全設(shè)備堆疊��、各自為政��,無法有效地發(fā)現(xiàn)與解決安全問題;靜態(tài)防御失效��,無法對風(fēng)險進行持續(xù)檢測�;應(yīng)急響應(yīng)能力差�����,缺乏主動發(fā)現(xiàn)和預(yù)警的能力等諸多挑戰(zhàn)����。
煙臺市毓璜頂醫(yī)院
網(wǎng)絡(luò)信息管理處處長徐培國
數(shù)據(jù)安全保護,外網(wǎng)的壓力可能要小于內(nèi)網(wǎng)����,內(nèi)部管控風(fēng)險隱患和處理難度更大。因為醫(yī)院內(nèi)部系統(tǒng)是不斷地在建設(shè)完善��,內(nèi)部防控壓力非常大���。目前沒有特別好的方法防控�,安全設(shè)施一啟用可能帶來性能的下降��,而醫(yī)院對性能要求是非常高的�����。這就需要廠家提供更好的系統(tǒng)和產(chǎn)品,提高安全防護的性能��,同時解決內(nèi)部防控的難點�。
02、依法治“數(shù)政策頻頻加碼�����,法規(guī)日趨完善
國家衛(wèi)生健康委醫(yī)院管理研究所
科研合作研究室主任肖革新
近年來�����,圍繞數(shù)據(jù)的有效保護和合法利用���,我國從多個方面����、多個層次進行了總體布局和戰(zhàn)略規(guī)劃�,形成了以總體國家安全觀為指導(dǎo),以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》為核心驅(qū)動��,以《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》��、網(wǎng)絡(luò)安全等級保護2.0制度等為抓手的數(shù)據(jù)安全保障體系。通過賦予數(shù)據(jù)發(fā)展和應(yīng)用權(quán)利����,明確數(shù)據(jù)安全保護義務(wù),要求數(shù)據(jù)相關(guān)方落實安全責(zé)任和監(jiān)管職責(zé)��。這些法律法規(guī)為我們未來制定醫(yī)療衛(wèi)生系統(tǒng)相關(guān)的數(shù)據(jù)治理規(guī)范標準提供了思路���,是依法治“數(shù)”邁出的重要一步。
《網(wǎng)絡(luò)安全法》中16次提到數(shù)據(jù)相關(guān)的安全問題和要求�,涉及數(shù)據(jù)分類分級、數(shù)據(jù)防泄漏��、數(shù)據(jù)完整性��、數(shù)據(jù)庫安全��、數(shù)據(jù)共享管控����、重要數(shù)據(jù)備份與加密、數(shù)據(jù)全生命周期安全�。
《數(shù)據(jù)安全法》架構(gòu)包括數(shù)據(jù)人才培養(yǎng)、數(shù)據(jù)應(yīng)用�、數(shù)據(jù)標準規(guī)范以及相應(yīng)的管理制度建立��、數(shù)據(jù)監(jiān)測評估預(yù)警等����,為衛(wèi)生健康行業(yè)的數(shù)據(jù)安全治理提供了方向和依據(jù)����。
2022年8月份,國家衛(wèi)生健康委發(fā)布了《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》�����,要求建立網(wǎng)絡(luò)安全管理制度體系����,加強網(wǎng)絡(luò)安全防護,通過管理和技術(shù)手段保障數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的有效平衡�����,這也是醫(yī)療行業(yè)關(guān)于數(shù)據(jù)安全治理的重要管理辦法�����。
山東大學(xué)齊魯醫(yī)院、信息網(wǎng)絡(luò)中心主任李永在
《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》是進行網(wǎng)絡(luò)信息安全工作的基本法律支持和支撐���。《網(wǎng)絡(luò)安全法》規(guī)定了防止網(wǎng)絡(luò)數(shù)據(jù)泄漏或被竊取��、篡改�����,確保機構(gòu)所收集的個人信息安全�����,同時防止信息泄露、損毀和丟失�;《數(shù)據(jù)安全法》規(guī)定得更為明確,要求各單位建立健全全流程數(shù)據(jù)安全管理制度�����,對發(fā)現(xiàn)數(shù)據(jù)的安全缺陷漏洞時應(yīng)該采取積極的措施��,防止竊取或者其他方式獲取數(shù)據(jù)�����;《個人信息保護法》中對于哪些信息屬于需要保護的個人信息,也提出了非常明確的范圍���。
國家評級體系對數(shù)據(jù)安全也作了相應(yīng)的要求�。其中�,電子病歷系統(tǒng)應(yīng)用水平分級評價標準、醫(yī)院智慧服務(wù)分級評估標準體系����、醫(yī)院信息互聯(lián)互通標準化成熟度測評方案部分制度要求是在電子病歷評級、互聯(lián)互通評級����、智慧服務(wù)評級過程中需要關(guān)注的,這些點和國家的三部大法也直接相關(guān)����。
《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全及管理辦法》第20條、第21條和第23條對于數(shù)據(jù)安全管理規(guī)定比較明確�����。其中第20條提出六項原則��,包括數(shù)據(jù)分級分類合法合規(guī)���、可執(zhí)行�����、時效性���、自主性���、差異性和客觀性;第21條中對于事前�����、事中�、事后的原則也都做出了要求;第22條對于數(shù)據(jù)全生命周期安全管理也都做出了一些規(guī)定�����。
2022年頒布的《“十四五”全民健康信息化規(guī)劃》提出��,要夯實網(wǎng)絡(luò)和數(shù)據(jù)安全保障體系����,開展數(shù)據(jù)安全能力提升行動,全面落實網(wǎng)絡(luò)安全和數(shù)據(jù)安全法的相關(guān)法規(guī)標準����,同時要求單位完善網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理體系和制度。
《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》對醫(yī)療數(shù)據(jù)的分級分類標準���、角色分類和應(yīng)用場景劃分也做出了比較明確的規(guī)定�����。
03�����、創(chuàng)新實踐-探索科學(xué)有效的安全治理之路
山東第一醫(yī)科大學(xué)附屬省立醫(yī)院
信息網(wǎng)絡(luò)管理辦公室副主任包國峰
早期的網(wǎng)絡(luò)安全��,通常是指圍繞網(wǎng)絡(luò)系統(tǒng)中軟硬件基礎(chǔ)設(shè)施的安全防護措施��;現(xiàn)在的數(shù)據(jù)安全和它有交叉���,但是不完全一致,是面向數(shù)據(jù)全周期的基于分類分級的動態(tài)防護�����,這是數(shù)據(jù)安全治理的核心內(nèi)容。
我們開展數(shù)據(jù)安全治理的目標是以數(shù)據(jù)保護為目的�、以安全合規(guī)為驅(qū)動、以敏感數(shù)據(jù)管理為核心��、讓數(shù)據(jù)使用更便捷和安全����。
我們基于CAPE數(shù)據(jù)安全治理模型,實踐了一套數(shù)據(jù)安全防護步驟�����。第一步是風(fēng)險的核查���,排除數(shù)據(jù)環(huán)境存在的風(fēng)險�。第二步梳理數(shù)據(jù)資產(chǎn)��,同步完成數(shù)據(jù)的分類分級�����。第三步�����,制定安全保護的策略。最后要建立起統(tǒng)一的數(shù)據(jù)安全監(jiān)管平臺或機制���,把分散的數(shù)據(jù)防護能力集成起來�。
以這個為目標,我們對醫(yī)院數(shù)據(jù)安全治理工作形成了一個主要路線���。1、以電子病歷數(shù)據(jù)分類分級為核心,面向醫(yī)院數(shù)據(jù)的電子病歷數(shù)據(jù)的應(yīng)用場景來構(gòu)建醫(yī)院數(shù)據(jù)安全防護體系。2�、以平衡數(shù)據(jù)安全使用和開發(fā)利用,提升醫(yī)院數(shù)據(jù)的使用效率為目標,建立數(shù)據(jù)安全檢測的評估體系。
總結(jié)來講�,醫(yī)療數(shù)據(jù)安全治理是以電子病歷數(shù)據(jù)分類分級為基礎(chǔ),建立數(shù)據(jù)全生命周期的安全防護體系,并且通過完善數(shù)據(jù)安全的組織建設(shè)�����,明確各場景的數(shù)據(jù)安全要求,完善管理體系和技術(shù)體系�����,從而全面保障醫(yī)院的數(shù)據(jù)安全����。
首都醫(yī)科大學(xué)宣武醫(yī)院信息中心主任梁志剛
醫(yī)院信息安全建設(shè)最核心的是保障數(shù)據(jù)安全����,醫(yī)院的數(shù)據(jù)安全不僅和患者有關(guān),和醫(yī)院有關(guān),可能也涉及國家安全。如何規(guī)劃數(shù)據(jù)安全�?我想有以下幾個方面:第一,與醫(yī)院的業(yè)務(wù)特點結(jié)合����,了解業(yè)務(wù)模式和發(fā)展方向,同步規(guī)劃�����、同步建設(shè)��。第二����,通過風(fēng)險評估充分識別風(fēng)險���,包括內(nèi)部隱患和外部的威脅��。第三����,遵循國家等級保護�����、數(shù)據(jù)安全管理���、個人信息保護相關(guān)規(guī)定,參照相關(guān)國家標準�����,做好安全治理�,構(gòu)建管理��、技術(shù)�、運維三位一體的數(shù)據(jù)安全體系。
具體來講�,數(shù)據(jù)全生命周期可以采取多種安全技術(shù)措施,包括分類分級��、加密�����、防泄漏�、脫敏、身份識別、訪問控制��、監(jiān)控審計等����,秉承“持續(xù)保護、不止合規(guī)”的理念��,構(gòu)建“防御+檢測+響應(yīng)”的安全能力�����,使安全技術(shù)體系不再是簡單的堆疊防御手段�����,要能充分發(fā)揮安全技術(shù)體系的有效性�����,抵御新威脅�����,切實的解決安全問題�����,減少事故發(fā)生的概率。要建立數(shù)據(jù)安全管理機構(gòu)����、制度、流程�,并嚴格落實執(zhí)行。加強數(shù)據(jù)安全培訓(xùn)����,既要管好內(nèi)部人員,又要管好外部人員����。
山東大學(xué)齊魯醫(yī)院
信息網(wǎng)絡(luò)中心主任李永在
我院的智慧醫(yī)院總體框架有六個組成部分�,其中安全架構(gòu)從安全管理體系、技術(shù)服務(wù)體系多個方面進行了規(guī)劃�����。另外�����,在智慧醫(yī)院發(fā)展目標中,第三條要求全面提升數(shù)據(jù)安全治理能力��,促進醫(yī)療資源共享開放利用��。
數(shù)據(jù)的安全治理是共享開放的基礎(chǔ)���,如果沒有好的數(shù)據(jù)安全治理����,很難把自己的數(shù)據(jù)進行開放和供第三方應(yīng)用�。在數(shù)據(jù)治理具體工作中,我們在專家建議下找到了最佳實踐的指導(dǎo)方法����,包括兩個模型,一個是ITIL服務(wù)價值系統(tǒng)模型(SVS)�,包括組織人員、信息技術(shù)�����、價值流程����、合作伙伴和供應(yīng)商四個維度����。四個維度周邊共有六個因素�,包括經(jīng)濟因素、社會因素����、技術(shù)因素、法律因素���、環(huán)境因素和政治因素等����。
另一個是 ITIL服務(wù)價值鏈模型(SVC)持續(xù)精進模型���,信息網(wǎng)絡(luò)安全工作推進是一項長期持續(xù)的工作��,并不是說加把勁工作一段時間就能把所有問題都解決掉了,而是隨著工作的落實持續(xù)不斷地精進改善�����。
開展的具體工作包括:一是推進制度建設(shè)��。要通過管理制度的落實,讓制度從墻上�、從櫥子里走出來,真正落地����,讓安全制度長牙。二是宣傳教育��。開展常態(tài)化的網(wǎng)絡(luò)安全培訓(xùn)�����,提升全員的安全素質(zhì)���。 三是加強信息資產(chǎn)的管理��。通過逐步梳理真正做到資產(chǎn)清��、隱患明��,并且對系統(tǒng)在上線過程中確認部門的網(wǎng)絡(luò)安全負責(zé)人�、安全技術(shù)人員以及廠家的安全技術(shù)人員����。四是運營開展常態(tài)化安全檢測���。對即將上線的業(yè)務(wù)系統(tǒng)必須進行漏洞掃描和源代碼安全審查,保證所有上線業(yè)務(wù)系統(tǒng)在最初就能達到安全要求����。五是推進漏洞的管理工作。對于高危漏洞零容忍���,要求限期整改���,整改不到位,就給廠家發(fā)警示函�����,甚至列入醫(yī)院新項目建設(shè)的黑名單���,不允許建設(shè)新項目�����。六是進行運維安全審查,以查促改��、以查促建。另外���,積極推動醫(yī)院的等保測評工作����,定期開展網(wǎng)絡(luò)安全攻防演練�����,推動國產(chǎn)商用密碼的應(yīng)用等�����。
德馭醫(yī)療管理集團有限公司總監(jiān)朱元元
集團在數(shù)據(jù)安全實踐方面�����,采取了包括強化內(nèi)外網(wǎng)隔離����、威脅態(tài)勢感知、業(yè)務(wù)系統(tǒng)實時監(jiān)控��、互聯(lián)網(wǎng)接入實名認證、動靜態(tài)數(shù)據(jù)脫敏�����、數(shù)據(jù)使用監(jiān)控�、水印、安全審計審查���、身份認證��、訪問控制����、建立應(yīng)急響應(yīng)體系��、加強數(shù)據(jù)安全培訓(xùn)宣貫等手段��。以上網(wǎng)實名制為例�����,我們醫(yī)療機構(gòu)有幾千人��,所有的人都是實名制上網(wǎng)���,從源頭上減少數(shù)據(jù)泄漏的風(fēng)險����。我們采用去標識化、匿名化、假名化等技術(shù)實現(xiàn)敏感數(shù)據(jù)的隱私保護���,支持動態(tài)脫敏和靜態(tài)脫敏���,以應(yīng)對不同業(yè)務(wù)的需要�����。
江蘇省人民醫(yī)院是江蘇省規(guī)模最大的三甲醫(yī)院,現(xiàn)在已經(jīng)有1000萬患者,數(shù)據(jù)中心有幾十億條臨床記錄��,數(shù)據(jù)規(guī)模非常大����。為了把數(shù)據(jù)管起來����,醫(yī)院專門成立了數(shù)據(jù)管理中心��,負責(zé)數(shù)據(jù)應(yīng)用分析、管理、安全治理��。我們采用了日志審計���、數(shù)據(jù)庫審計�、密碼平臺等安全設(shè)備���,制定了數(shù)據(jù)開放共享等制度����,數(shù)據(jù)管理辦法��,用于保護醫(yī)院數(shù)據(jù)安全��。
<p style="margin-top: 0px;margin-bottom: 0px;padding: 0px;outline: 0px;ma
產(chǎn)品咨詢:4000 258 365 
