- 2023-12-12 09:27
- 作者:尹聪颖
- 来源:HC3i中数新医
随着各行各业数字化程度持续深入,业务流程的各个环节都在源源不断的产生数据,国家对于数据管理者的要求也在不断收紧。近期,人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》,要压实业务领域数据安全管理责任。那么,医疗行业同样是数据应用的重要场景之一,医疗行业如何做好业务领域的数据安全管理呢?
带着这些疑问,HC3i连线复旦大学附属肿瘤医院信息中心主任王奕。
“近日,我院接到上海市卫健委有关落实数据分级管理的通知进行院内数据资产的评估和梳理,近期医院要先提交数据汇总调研表。要求医院参考《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)梳理数据资产,对医疗健康数据进行分类,并在此基础上针对医疗健康数据的内容进行分级定义,以支撑后续医院对数据的访问控制、加密、脱敏和防泄漏监控进行不同级别的监管。”王奕介绍说,根据《指南》要求,医院需要先进行数据资产的分类分级,然后进行数据资产的评估,预计后续会根据全国各地医院的数据情况制定相应的管理措施。类似先进行调研,各医院对数据现状进行梳理上报,然后再由上海市卫健委根据实际情况做进一步落地要求。同时,他还提到:广东等地方也有类似的地方性标准,这些标准将作为《数据安全法》落地的参考依据。
单一举措难破题!
复旦肿瘤医院建立全生命数据安全防护流程
目前全球已有近100个国家和地区制定了数据安全保护的法律,数据安全保护专项立法已成为国际惯例。我国的《数据安全法》主要围绕“数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放”。
《数据安全法》七大要点
《数据安全法》是所有开展数据活动的组织和个人都必须要遵循的,出现情况单位和个人都要承担责任。数据分级分类的要求和标准,是让数据责任人在执行时能够有一个参照标准,更好地贯彻安全法的要求。数据分类分级和权限设置是数据安全管理的基础,其他管理措施(如:数据全生命周期管理)也需要执行。
“对于医疗机构来说,如果只是一个单一的举措,从数据安全层面是不能解决全部问题的。”王奕介绍说,因为医疗业务的特殊性,外行人很难了解数据风险在哪里。例如:医院涉及到上百个信息系统,背后有非常多的数据库做技术支撑,数据库中敏感数据分布不明,敏感数据访问权限不详等情况,此类问题潜伏在医疗数据采集、传输、存储、处理、交换和销毁的全过程。
为此,对标GBT37988,复旦大学肿瘤医院建立了数据生命周期安全防护流程,从数据采集、传输、存储、处理、交换和销毁全过程都有相应的规范和措施。以零信任架构为基础,建立安全管理、安全技术、安全运营体系,建设数据可知、风险可视、安全可控、问题可控的能力,努力实现数据生命周期安全防护的目标。
在复旦大学肿瘤医院数据安全与管理体系整体框架中,由数据资产梳理系统收集数据对象信息,数据流量分析探针收集数据访问信息,在数据资产梳理平台进行信息的集中、分析、统计、建模等,并采用可视化技术进行显示和管理。
复旦大学肿瘤医院数据安全与管理体系总体框架
如何落实数据安全管理?
针对三类常见问题,医院可以如此破解!
医院在制定数据安全策略时,必须因地制宜,结合自身特色开展数据安全管理体系建设。比如:银行的信息系统大多是科技部自主研发,由专职团队进行维护,外采系统和第三方人员管理压力相对较小。因此,银行在压实数据安全责任方面,重点面向的是内部人员和系统。但医院并非如此!医院应用种类繁多,需要的专业知识差异较大,考虑到投入和发展,医院在应用创新和升级改造中都会大量依赖第三方,因为纯靠自研压力太大。因此,医院在开展数据安全管理时需要充分考量多方融合的复杂局面,用有限的投入、最大程度地防范主要风险。
“医院严控数据安全保护的趋势是必然的,医院必须引起重视!”王奕反复强调这一点,并给出以下几点参考:
资源有限怎么办?优先解决数据安全主要矛盾 相比银行团队强大、系统完善,各个医院要充分考虑自身的现实情况——由于设备老旧、人手不足,我们开展数据管理不够细化,只有资源够用才能实现数据安全的彻底防护。
有些医院资源有限,如何开展数据安全管理呢?
王奕建议说,“数据安全管理需要一个过程。我们可以优先集中优势力量防范主要风险,例如:全库的数据泄露,数据被大批量的窃取等,这类风险等级比较高的事项,必须优先处理。按照优先级排序,逐步完善数据安全管理系统的建设。”
技术不足怎么办?不能忽视每一条数据流转 医疗数据研究需求越来越多,除了有关部门要求的数据上报,还有医院内部提出的管理和科研需求。要严格数据审批制度,要求数据需求方按照申请流程提出申请,申请中要明确是院内、院外和国外,不同类型的申请需要科主任、院长、纪委部门审批。
在医疗数据共享的过程中,医院需要根据敏感等级为各级管理者和不同用户设置权限或进行脱敏。当技术手段跟不上的时候怎么办?可以从管理制度方面加强,最重要的是医院要足够重视!任何人进行数据操作都要严格审批,不允许任何人私自向外提供任何数据。在此背景下,AI、大数据算法训练只能拿到院内来训练,当然这样一来,有些医疗AI的发展也会受到一定影响。
第三方应用多怎么办?医院才是责任主体! 医院对第三方人员的数据安全管理需要格外重视。本院人员主动泄密的可能性不大,如果完全委托第三方做系统的运维,包括:应用上云时,医院应该要求第三方服务的提供方签署保密协议。
如果第三方签署了保密协议后发生数据泄密,还要追究医院作为数据提供方的责任吗?答案是追究!此前出现过类似的情况,某市公安局使用阿里云出现泄密事件,追究了很多人,涉及的人员两方都有。同理,如果数据泄露出现在医院,即便是由于第三方出问题导致的,医院也很难避免。相关的政策法规对主体的责任鉴定很严格。
写在最后:
守住数据安全底线,才能支撑数据应用发展!
各行各业的数据应用越来越多,数据支撑服务、管理、发展的例子越来越多,数据的价值不断升温,由于数据安全问题引发的事故破坏力也在加剧。包括银行、医疗等各行业在内,各个机构只有守住数据安全底线,才能保障业务稳定有序开展。只有不断夯实数据安全基础,才能可持续推进数据在行业内广泛应用。