您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
洞察:2022年醫(yī)療行業(yè)數(shù)據(jù)安全回顧及2023年展望
過去的2022年,統(tǒng)籌安全與發(fā)展,在醫(yī)療信息化發(fā)展道路中,數(shù)據(jù)安全已不可或缺。
這一年,實(shí)施五年多的《網(wǎng)絡(luò)安全法》迎來首次修改,《數(shù)據(jù)安全法》、《個人信息保護(hù)法》由立而行一周年,配套的《數(shù)據(jù)出境安全評估辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》等政策法規(guī)和標(biāo)準(zhǔn)規(guī)范接連發(fā)布,在醫(yī)療行業(yè),數(shù)據(jù)安全成為《“十四五”全民健康信息化規(guī)劃》部署的關(guān)鍵領(lǐng)域,作為主要任務(wù)和優(yōu)先行動持續(xù)推進(jìn),首個關(guān)于網(wǎng)絡(luò)安全的管理辦法《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》重磅出臺,為醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理,送上了一份開卷答案。
轉(zhuǎn)眼來到2023年,站在嶄新的年份,醫(yī)療行業(yè)數(shù)據(jù)安全現(xiàn)狀如何?面臨哪些挑戰(zhàn)?醫(yī)療機(jī)構(gòu)又如何開展新一年的安全建設(shè)?
“解讀2022,展望2023。”日前,CHIMA大講堂醫(yī)療行業(yè)網(wǎng)絡(luò)安全與數(shù)據(jù)安全回顧與前瞻研討會邀請《中國醫(yī)院》雜志社社長、CHIMA主任委員王才有,解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任薛萬國,美創(chuàng)科技醫(yī)療行業(yè)專家田平,數(shù)說安全分析師史高平,一同探討醫(yī)療數(shù)據(jù)安全建設(shè)的現(xiàn)在與未來、困境與破局之道。
現(xiàn)狀如何?
數(shù)說安全分析師 史高平
從市場來看,2022年醫(yī)療行業(yè)市場空間為48.22億元,受疫情等因素影響,相較于 2021年同比下滑3.7%。醫(yī)療行業(yè)仍重點(diǎn)圍繞等級保護(hù)進(jìn)行建設(shè)為主,防火墻、殺毒軟件、上網(wǎng)行為管理等傳統(tǒng)產(chǎn)品仍是主流采購項(xiàng)目,安全服務(wù)和安全運(yùn)營增幅明顯,此外,勒索病毒頻發(fā)也提升了相關(guān)安全產(chǎn)品采購需求。
數(shù)說安全《2022醫(yī)療行業(yè)網(wǎng)絡(luò)安全報告》
在數(shù)據(jù)安全方面,2021年以來,《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法律法規(guī)的落地,醫(yī)療行業(yè)對數(shù)據(jù)安全的關(guān)注度空間提升,數(shù)據(jù)安全類產(chǎn)品的需求保持了較高的增長。2022年,數(shù)說安全發(fā)布的《數(shù)據(jù)安全市場研究報告》顯示:2021年,醫(yī)療數(shù)據(jù)安全采購項(xiàng)目數(shù)量是3700個,同比增長了28.5%,其中專項(xiàng)采購469個,同比增長29%。
數(shù)說安全《2022數(shù)據(jù)安全市場研究報告》
但總體而言,相較于醫(yī)療信息化的蓬勃發(fā)展,受主觀、客觀條件的限制,醫(yī)療數(shù)據(jù)安全建設(shè)依然相對滯后,目前,醫(yī)療行業(yè)主要采購數(shù)據(jù)庫審計、數(shù)據(jù)泄露防護(hù)等單項(xiàng)產(chǎn)品。不過,整個行業(yè)關(guān)于數(shù)據(jù)安全的理念正在發(fā)生改變,逐步認(rèn)識到數(shù)據(jù)分類分級對于數(shù)據(jù)安全保障的重要性,不再局限于單點(diǎn)防護(hù)的安全理念,更加關(guān)注數(shù)據(jù)全生命周期的安全防護(hù),一些發(fā)達(dá)地區(qū)大型三甲醫(yī)院已開始從單一的產(chǎn)品采購轉(zhuǎn)向數(shù)據(jù)安全治理、數(shù)據(jù)分類分級等安全服務(wù)的采購。
解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬國
從宏觀層面可以看到,法律與監(jiān)管、數(shù)字經(jīng)濟(jì)與數(shù)據(jù)要素地位的確立對數(shù)據(jù)安全保護(hù)的要求更加迫切,隨著醫(yī)院、患者、管理者、公衛(wèi)以及科研人員等各方對數(shù)據(jù)利用和共享的需求日益強(qiáng)烈,也催生著大量的數(shù)據(jù)安全防護(hù)需求。同時,當(dāng)前醫(yī)療行業(yè)數(shù)據(jù)安全落地實(shí)施還存在一些問題:
一方面,醫(yī)院數(shù)據(jù)安全在基礎(chǔ)防護(hù)上尚存在不足。比如數(shù)據(jù)備份能力是數(shù)據(jù)安全防護(hù)基礎(chǔ),但根據(jù)CHIMA《2021-2022中國醫(yī)院信息化狀況調(diào)查報告(征求意見稿)》顯示,僅有四分之一的受調(diào)研醫(yī)院實(shí)現(xiàn)了全部系統(tǒng)數(shù)據(jù)備份,大多數(shù)醫(yī)院只能做到核心系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)備份,其他系統(tǒng)的數(shù)據(jù)沒有做到備份,這些數(shù)據(jù)一旦發(fā)生數(shù)據(jù)的破壞或泄露,如勒索病毒,將對醫(yī)院的正常運(yùn)行以及患者的隱私安全造成損失。而在數(shù)據(jù)恢復(fù)能力上,僅有十分之一的醫(yī)院能夠?qū)崿F(xiàn)全部系統(tǒng)數(shù)據(jù)能恢復(fù)到任意時間點(diǎn),有22.32%的醫(yī)院僅核心系統(tǒng)數(shù)據(jù)能恢復(fù)到任意時間點(diǎn)。
CHIMA《2021-2022中國醫(yī)院信息化狀況調(diào)查報告(征求意見稿)》
CHIMA《2021-2022中國醫(yī)院信息化狀況調(diào)查報告(征求意見稿)》
此外,在醫(yī)院服務(wù)器和數(shù)據(jù)庫防護(hù)措施上,數(shù)據(jù)庫審計、運(yùn)維堡壘機(jī)、防統(tǒng)方作為典型的安全防護(hù)產(chǎn)品,僅有60-70%左右的使用比例。
CHIMA《2021-2022中國醫(yī)院信息化狀況調(diào)查報告(征求意見稿)》
另一方面,醫(yī)院數(shù)據(jù)安全保護(hù)工作存在一定困擾和問題。醫(yī)院信息化業(yè)務(wù)、系統(tǒng)、軟硬件數(shù)量非常龐大,遠(yuǎn)超其他行業(yè),但技術(shù)人員較少,尤其專職的安全人員以及數(shù)據(jù)安全管理運(yùn)營人員更為稀缺,數(shù)據(jù)安全怎么建,如何建,大部分醫(yī)院并不知道適合自己的答案,造成建設(shè)過程中的“迷茫期”。也因此,70%以上的調(diào)查者希望有全面的數(shù)據(jù)安全咨詢服務(wù)、安全意識培訓(xùn)服務(wù)以及數(shù)據(jù)資產(chǎn)的盤點(diǎn)和分類分級服務(wù)等。
行業(yè)專家 田平
2021年,被稱為數(shù)據(jù)安全元年,9月1日《數(shù)據(jù)安全法》正式實(shí)施落地,同年,國標(biāo)委發(fā)布首部完全針對健康醫(yī)療數(shù)據(jù)安全的標(biāo)準(zhǔn)—《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》。2022年8月,國家衛(wèi)生健康委發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》。10月,國家衛(wèi)生健康委規(guī)劃司發(fā)布《衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級指南》(征求意見稿),隨著征求意見稿的落地,未來醫(yī)療行業(yè)將開啟以數(shù)據(jù)分類分級為起點(diǎn)的數(shù)據(jù)安全建設(shè)。
醫(yī)療數(shù)據(jù)安全建設(shè)政策背景
目前,合規(guī)升級、監(jiān)管趨嚴(yán)已成為主旋律,國家及相關(guān)部門正在通過立法、加強(qiáng)監(jiān)管、完善標(biāo)準(zhǔn)等多維度方式提升醫(yī)療健康數(shù)據(jù)的整體安全水平,2022年國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局推出了醫(yī)療行業(yè)首個關(guān)于網(wǎng)絡(luò)安全的管理辦法——《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》(簡稱:《辦法》),并對數(shù)據(jù)安全管理單獨(dú)成篇,做出規(guī)制,疊加醫(yī)院數(shù)字化轉(zhuǎn)型、數(shù)據(jù)互聯(lián)互通催生的安全需求,如何保障數(shù)據(jù)安全與患者隱私將持續(xù)成為醫(yī)療行業(yè)的重要議題和焦點(diǎn)需求。
有何難點(diǎn)?
數(shù)說安全分析師 史高平
醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)從實(shí)際成效和結(jié)果看,之所以尚未呈現(xiàn)人氣與市場交替上升局面,一方面在現(xiàn)行已頒布的法律法規(guī)及標(biāo)準(zhǔn)體系下,健康醫(yī)療數(shù)據(jù)安全的頂層設(shè)計仍然還存在著交叉和空白,配套制度的細(xì)則不夠完善,行業(yè)數(shù)據(jù)分類分級管理、重要數(shù)據(jù)目錄制定等相關(guān)工作還在研制。同時,供需兩端在需求和能力適配方面存在一些短板和問題。
數(shù)說安全《2022醫(yī)療行業(yè)網(wǎng)絡(luò)安全報告》
一方面,需求側(cè)醫(yī)療機(jī)構(gòu)安全基礎(chǔ)普遍薄弱,各級醫(yī)療機(jī)構(gòu)在數(shù)據(jù)安全方面還處于起步階段,產(chǎn)品采購主要集中在數(shù)據(jù)庫防護(hù)和防泄漏等傳統(tǒng)產(chǎn)品,受限于安全統(tǒng)籌規(guī)劃能力弱、專業(yè)數(shù)據(jù)安全人才匱乏、資源投入不足、安全管理制度不統(tǒng)一等因素。
另一方面,在供給側(cè),目前供應(yīng)商提供的醫(yī)療數(shù)據(jù)安全解決方案和服務(wù)的成熟度尚不夠高,需要累積案例經(jīng)驗(yàn),不斷提高數(shù)據(jù)安全的解決方案成熟度。在醫(yī)療數(shù)據(jù)互聯(lián)互通建設(shè)的信息化趨勢下,數(shù)據(jù)安全與業(yè)務(wù)高度融合,數(shù)據(jù)安全的基礎(chǔ)是數(shù)據(jù)的分類分級,這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同,這要求從數(shù)據(jù)分類分級到相應(yīng)的數(shù)據(jù)安全策略的匹配都需要安全廠商對醫(yī)療業(yè)務(wù)有深刻的理解,同時也要求供應(yīng)商提供適配醫(yī)療系統(tǒng)的解決方案和產(chǎn)品。
解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬國
難點(diǎn)一:大數(shù)據(jù)環(huán)境下,裸數(shù)據(jù)利用需求增多,數(shù)據(jù)保護(hù)難度增大。在傳統(tǒng)模式下,數(shù)據(jù)通過應(yīng)用系統(tǒng)訪問,訪問權(quán)限可通過應(yīng)用系統(tǒng)控制。而在大數(shù)據(jù)分析模式下,數(shù)據(jù)利用隨機(jī)性大,研究人員基于裸數(shù)據(jù)進(jìn)行處理和分析建模,裸數(shù)據(jù)的授權(quán)管理及保護(hù)更為困難。
難點(diǎn)二:隨著AI產(chǎn)品研發(fā)和合作研究增多,外部數(shù)據(jù)利用需求增加,需要特殊技術(shù)對數(shù)據(jù)進(jìn)行保護(hù)。比如:醫(yī)療機(jī)構(gòu)在對外提供數(shù)據(jù)時,往往通過數(shù)據(jù)脫敏和匿名化手段,但當(dāng)前醫(yī)療數(shù)據(jù)內(nèi)容及類型多樣、結(jié)構(gòu)復(fù)雜,有文本數(shù)據(jù)、醫(yī)療影像等非結(jié)構(gòu)化數(shù)據(jù),數(shù)據(jù)脫敏和匿名化存在技術(shù)難點(diǎn);僅依靠約定進(jìn)行數(shù)據(jù)用途限定和數(shù)據(jù)保護(hù)力度不夠,數(shù)據(jù)一旦泄露,從技術(shù)上數(shù)據(jù)溯源難;數(shù)據(jù)資源不出院、“數(shù)據(jù)可用不可見”,存在數(shù)據(jù)標(biāo)準(zhǔn)化工程量大、數(shù)據(jù)分析方法設(shè)計難點(diǎn)。
難點(diǎn)三:應(yīng)用系統(tǒng)和數(shù)據(jù)開發(fā)平臺的技術(shù)架構(gòu)多樣化,給統(tǒng)一的數(shù)據(jù)監(jiān)管審計造成困難。當(dāng)前,醫(yī)療機(jī)構(gòu)正面臨多樣化的數(shù)據(jù)技術(shù)環(huán)境,既有傳統(tǒng)關(guān)系型數(shù)據(jù)庫、也有MongoDB、Hbase等NoSQL數(shù)據(jù)庫,這要求數(shù)據(jù)庫審計系統(tǒng)必須有強(qiáng)大的協(xié)議支持能力。
難點(diǎn)四:缺乏落實(shí)法規(guī)的具體遵循?!稊?shù)據(jù)安全法》、《個人信息保護(hù)法》作為上位法,對醫(yī)療行業(yè)安全保障工作提出了基本規(guī)范和要求,但在醫(yī)療機(jī)構(gòu)落地實(shí)施,還需要制定具體的細(xì)則,如對于醫(yī)療行業(yè)數(shù)據(jù)如何分類分級,哪些數(shù)據(jù)是重要數(shù)據(jù)?《個人信息保護(hù)法》中知情同意原則如何在醫(yī)療行業(yè)實(shí)施,特別是對于醫(yī)療活動之外的數(shù)據(jù)共享利用(科研、單病種上報、管理部門數(shù)據(jù)采集等)、對于以患者醫(yī)療為目的的電子病歷共享。
探索實(shí)踐
行業(yè)專家 田平
數(shù)據(jù)安全分類分級是數(shù)據(jù)安全管理和防護(hù)體系建設(shè)的基礎(chǔ),是數(shù)據(jù)流動過程中安全態(tài)勢保護(hù)的底層,識別核心數(shù)據(jù)、重要數(shù)據(jù)資產(chǎn),并針對性的設(shè)計安全管理機(jī)制,是安全建設(shè)的必由之路。
針對醫(yī)療行業(yè)存在的“無標(biāo)準(zhǔn)落地難、數(shù)據(jù)復(fù)雜難梳理、數(shù)據(jù)安全管理粗放、長效性難保證”等普遍問題和安全建設(shè)的實(shí)際需求,美創(chuàng)科技基于對醫(yī)療行業(yè)的深入理解和在數(shù)據(jù)分類分級領(lǐng)域的研究,對標(biāo)參考法律法規(guī)、國家行業(yè)標(biāo)準(zhǔn),如《數(shù)據(jù)安全法》、《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》、《國家衛(wèi)生健康委規(guī)劃司衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級指南(征求意見稿)》、《GB/T 39725-2020 信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》及其他行業(yè)地方標(biāo)準(zhǔn)等,形成切實(shí)可行的核心數(shù)據(jù)、重要數(shù)據(jù)識別模型,形成基于分類分級的醫(yī)療健康行業(yè)臨床數(shù)據(jù)合規(guī)共享與安全防護(hù)建設(shè)實(shí)踐方案。
1.基于自研的數(shù)據(jù)支撐平臺,實(shí)時、準(zhǔn)確的將結(jié)構(gòu)化數(shù)據(jù),半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)采集抽取至ODS數(shù)據(jù)湖、以及半結(jié)構(gòu)化、非結(jié)構(gòu)化文件庫中,數(shù)據(jù)支撐平臺采用基于數(shù)據(jù)庫日志文件的無侵入式增量采集技術(shù),采集過程不影響生產(chǎn)系統(tǒng)的穩(wěn)定運(yùn)行,并保證數(shù)據(jù)的一致性。
2.通過暗數(shù)據(jù)發(fā)現(xiàn)與分類分級系統(tǒng)進(jìn)行數(shù)據(jù)的自動化發(fā)現(xiàn)和分類分級,建立數(shù)據(jù)目錄,并提供豐富的API接口,實(shí)現(xiàn)與資產(chǎn)管理平臺、數(shù)據(jù)安全管控平臺、第三方數(shù)據(jù)安全產(chǎn)品對接,為后續(xù)數(shù)據(jù)資產(chǎn)合規(guī)管理、數(shù)據(jù)安全防護(hù)提供基礎(chǔ)支撐。
3.最終,整體方案基于數(shù)據(jù)分類分級結(jié)果進(jìn)行數(shù)據(jù)合規(guī)共享(臨床業(yè)務(wù))、敏感資產(chǎn)安全防護(hù)(內(nèi)部管理)。
● 在臨床數(shù)據(jù)合規(guī)共享場景中,幫助用戶在醫(yī)生畫像、數(shù)據(jù)合規(guī)性檢查、臨床數(shù)據(jù)共享、政府?dāng)?shù)據(jù)上報等維度實(shí)現(xiàn)數(shù)據(jù)的合規(guī)性應(yīng)用。
● 在敏感資產(chǎn)安全防護(hù)(內(nèi)部管理)中,依據(jù)數(shù)據(jù)分類分級結(jié)果,建立相適應(yīng)的安全管控策略。如在醫(yī)療運(yùn)維側(cè),通過分類分級結(jié)果有效管控運(yùn)維側(cè)工作人員對核心數(shù)據(jù)、重要數(shù)據(jù)的訪問權(quán)限,對于一般數(shù)據(jù)中的敏感個人信息與特殊病種在訪問時可以進(jìn)行差異化訪問控制。在醫(yī)療審計側(cè),原有數(shù)據(jù)審計只能審計到表、字段、數(shù)據(jù)與時間,基于數(shù)據(jù)分類分級結(jié)果后,除了能滿足原有的審計對象外,還能審計數(shù)據(jù)的敏感度,對于核心數(shù)據(jù)、重要數(shù)據(jù)、敏感個人數(shù)據(jù)與特殊病種數(shù)據(jù)能實(shí)現(xiàn)更加精確化審計并告警。
數(shù)據(jù)分類分級結(jié)果在臨床科研與醫(yī)學(xué)論文應(yīng)用場景
醫(yī)療數(shù)據(jù)天然帶有業(yè)務(wù)屬性,做好數(shù)據(jù)安全分類分級工作,首先必須是數(shù)據(jù)安全專家其次也需要是醫(yī)療行業(yè)的業(yè)務(wù)專家,美創(chuàng)科技已在人社、大數(shù)據(jù)局、公安、醫(yī)療、金融等行業(yè)積累了成功的數(shù)據(jù)分類分級項(xiàng)目落地經(jīng)驗(yàn),形成專業(yè)咨詢團(tuán)隊和自動化工具支撐。
趨勢展望
《中國醫(yī)院》雜志社社長、CHIMA主任委員王才有
2022年12月19日,中共中央國務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》(即:“數(shù)據(jù)二十條”)。作為關(guān)于數(shù)據(jù)要素資源的基礎(chǔ)制度,盤活數(shù)字經(jīng)濟(jì)、推動數(shù)據(jù)要素市場化創(chuàng)新發(fā)展的基礎(chǔ)性文件,開啟了我們國家數(shù)據(jù)資源開放和流通的閘門。
基礎(chǔ)制度的建立,也為破解醫(yī)療健康數(shù)據(jù)開放與保護(hù)的“兩難困境”帶來期望,對促進(jìn)數(shù)據(jù)的流通和交易活動開展帶來動力,對數(shù)據(jù)提供者和開發(fā)者提供了新的動能,隨著我國數(shù)據(jù)基礎(chǔ)制度的建立,醫(yī)療健康行業(yè)部門也必然會根據(jù)這個基本制度的要求,細(xì)化和規(guī)范醫(yī)療健康數(shù)據(jù)的制度體系,但同時,這也對醫(yī)療行業(yè)數(shù)據(jù)安全提出新的挑戰(zhàn)和新的要求。
當(dāng)數(shù)據(jù)由靜止轉(zhuǎn)向動態(tài)流動,數(shù)據(jù)安全場景發(fā)生了改變,保護(hù)對象在發(fā)生變化,數(shù)據(jù)安全不再僅僅是要保護(hù)數(shù)據(jù)實(shí)體,還要在數(shù)據(jù)流轉(zhuǎn)基礎(chǔ)之上做動態(tài)的防護(hù),加工后的數(shù)據(jù)以及數(shù)據(jù)衍生品,包括數(shù)據(jù)模型、數(shù)據(jù)核驗(yàn)產(chǎn)品等都需進(jìn)行切實(shí)有效的保護(hù),為此這需要醫(yī)療行業(yè)采取新的防御措施和手段,做好數(shù)據(jù)安全防護(hù)工作,使這些數(shù)據(jù)發(fā)揮出它應(yīng)有的價值。
解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬國
1.在政策法規(guī)方面:期待醫(yī)療行業(yè)管理部門在國家相關(guān)法律和機(jī)制框架下,加速制定醫(yī)療行業(yè)數(shù)據(jù)安全法規(guī)實(shí)施細(xì)則,更好地承接《數(shù)據(jù)安全法》在行業(yè)的實(shí)施落地。如:對醫(yī)療行業(yè)數(shù)據(jù)明確分類分級,制定重要數(shù)據(jù)目錄,提出具體的保護(hù)技術(shù)和管理要求;對醫(yī)療數(shù)據(jù)采集和使用中的個人知情同意方式進(jìn)行明確;對于醫(yī)療數(shù)據(jù)流通中的數(shù)據(jù)匿名化、去標(biāo)識化要求進(jìn)一步明確;明確醫(yī)療行業(yè)數(shù)據(jù)交易規(guī)則等。
2.在數(shù)據(jù)安全技術(shù)方面:針對醫(yī)療行業(yè)典型業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)利用場景,在數(shù)據(jù)防損壞(如勒索病毒)、防流失、防不正當(dāng)使用、訪問追溯等方面,期望開發(fā)出示范性解決方案;大力發(fā)展和推廣應(yīng)用標(biāo)準(zhǔn)化醫(yī)療數(shù)據(jù)模型和術(shù)語,為分布式數(shù)據(jù)研究提供基礎(chǔ),開發(fā)分布式數(shù)據(jù)統(tǒng)計、建模方法與算法,支持“數(shù)據(jù)可用不可見”的共享利用模式。
3.系統(tǒng)應(yīng)用與建設(shè)方面:面對數(shù)據(jù)安全法規(guī)和行業(yè)規(guī)范,越來越多的醫(yī)療單位會通過改造既有系統(tǒng)強(qiáng)化患者信息保護(hù),同時加強(qiáng)系統(tǒng)性技術(shù)防護(hù),強(qiáng)固安全基礎(chǔ),實(shí)施系統(tǒng)性數(shù)據(jù)安全保護(hù)方案,完善防勒索病毒破壞的數(shù)據(jù)備份機(jī)制,建立數(shù)據(jù)訪問審計、運(yùn)維監(jiān)控審計等系統(tǒng)。
4.數(shù)據(jù)產(chǎn)品化方面:隨著國家、地方就醫(yī)療數(shù)據(jù)要素市場化陸續(xù)出臺相應(yīng)的布局規(guī)劃并逐步落實(shí),在明確了數(shù)據(jù)安全和個人信息保護(hù)要求前提下,將進(jìn)一步調(diào)動醫(yī)療數(shù)據(jù)加工利用的積極性,醫(yī)療數(shù)據(jù)市場有望逐漸形成,數(shù)據(jù)價值將由隱形向顯性轉(zhuǎn)變。
田平
《數(shù)據(jù)安全法》的正式實(shí)施,數(shù)據(jù)安全建設(shè)路徑就發(fā)生了很大變化。原來是以網(wǎng)絡(luò)安全法與等保條例作為數(shù)據(jù)安全建設(shè)的法規(guī)條律,主要以邊界防護(hù)與全面防護(hù)為主,通俗一點(diǎn)講就是“寧可錯殺一千絕不放過一個”,一條數(shù)據(jù)中發(fā)現(xiàn)有敏感數(shù)據(jù)原來的方式就是直接把這條數(shù)據(jù)進(jìn)行阻斷,但從結(jié)果上來說屬于阻住數(shù)據(jù)流動,在《數(shù)據(jù)安全法》實(shí)施后,數(shù)據(jù)作為第五生產(chǎn)要素,讓數(shù)據(jù)依法、有序流動勢不可擋。
因此,對于數(shù)據(jù)安全建設(shè),醫(yī)療機(jī)構(gòu)應(yīng)基于法律要求,開展數(shù)據(jù)分類分級,對級別較高,類別較敏感的數(shù)據(jù),進(jìn)行分級防護(hù)。同時,數(shù)據(jù)安全建設(shè)應(yīng)圍繞應(yīng)用場景進(jìn)行開展,同一份數(shù)據(jù)在不同的應(yīng)用場景進(jìn)行不同顆粒度的安全防護(hù)措施。如:醫(yī)療數(shù)據(jù)出境與醫(yī)療數(shù)據(jù)應(yīng)用于科研屬于兩種不同的應(yīng)用場景,采用的安全防護(hù)也應(yīng)有所差異,數(shù)據(jù)出境累計到一定量后需要向網(wǎng)信辦申報,但當(dāng)數(shù)據(jù)用于醫(yī)療科研,就沒有數(shù)據(jù)量的要求,反而應(yīng)側(cè)重病人個人隱私的保護(hù)。
未來,在整體行業(yè)的倡導(dǎo)下和數(shù)字化轉(zhuǎn)型的大方向下,數(shù)據(jù)分類分級,包括數(shù)據(jù)安全,數(shù)據(jù)安全治理、數(shù)據(jù)治理等工作,一定會在各醫(yī)療機(jī)構(gòu)逐漸地展開,數(shù)據(jù)分類分級是目前也是未來醫(yī)療機(jī)構(gòu)開展數(shù)據(jù)安全工作的基礎(chǔ)工程。
原文來源:CHIMA