欢迎user
9月7日,由中国医院协会信息管理专业委员会举办的CHIMA大讲堂-第79期——“2023网络信息安全技能培训”正式开课。作为国家级继续医学教育项目,本期课堂聚焦医疗行业数据安全建设展开。
本期大讲堂紫光股份旗下新华三集团受邀出席,并由医疗行业资深网络安全架构师宗瑞金作“医院数据安全体系建设思路与实践”主题分享,从医院数据安全建设需求与政策要求出发,同时针对数据安全建设的技术路线与落地实践,全方位介绍了新华三在医疗网络安全领域的先进性和技术点。
大势所趋,医院数据安全建设势在必行
数字经济大潮下,随着智慧医疗的纵深化发展,医疗数据安全作为关系到生命安全与智慧医院建设成效的关键因素,其重要性不言而喻。中共中央、国务院印发的《“健康中国2030”规划纲要》中明确要求各医疗机构需“注重内容安全、数据安全和技术安全,加强健康医疗数据安全保障和患者隐私保护。”此外,2022年在国家卫生健康委、国家中医药局、国家疾控局印发的《医疗卫生机构网络安全管理办法》中也对数据安全做出了进一步能力要求,要求各医疗机构从组织架构、制度优化、能力建设、资产管理等维度出发,构建起数据安全能力体系。
除政策层面的行业标准越发严格外,信息系统在支撑着医院数字化转型业务高效运转的过程中也对数据安全也提出新的要求。新华三认为目前数据安全建设主要存在以下难点,一是缺乏统一数据标准,制约诊疗服务水平进一步提升;二是数据共享管理混乱,存在泄露风险;三是数据安全建设难度较大,改造尺度难以把握;四是数据质量差影响业务使用使用效率;五是数据敏感度高,数据防护与应急处置压力较大;六是内部人员权限管理过于粗放,管理制度还需完善。
新华三表示,医院数据安全建设思路可以归纳为八个字,即“分级保护,技管并重”。一方面,需要对不同级别、不同类别的数据分别设计策略并进行管理,另一方面需要通过技术与管理手段构建起体系化的数据安全能力,实现数据全生命周期的“可视”、“可管”、“可控”。
谈及具体的落地建设,宗瑞金也给出了新华三的经验,即在主动安全的防护思路与基础上,完善数据安全防护体系,同时遵循“服务先行,针对强化”的原则。一方面,医疗机构需通过数据安全治理实现资产发现、业务梳理、分级分类等工作,明确业务系统与数据风险现状;另一方面,需要基于现状针对性的补充安全手段,避免贸然建设对业务系统运行产生影响或较大改动。
四大行动,全方位优化数据安全治理服务
数据安全治理是一项复杂、长期、系统性的大工程。对于医疗机构而言,数据安全治理的要求更为苛刻,需要遵循一整套科学完善的服务流程进行规划与设计。作为智慧医疗的创新引领者和产业实践者,新华三在数据安全治理服务方面,有着自己独特的见解和思考。宗瑞金表示,做好数据安全治理,需同时进行资产梳理、风险筛查、分类分级、标签化管理、制度优化等工作,具体而言,主要是集中做好以下三点:
l 资产梳理方面:梳理数据资产与业务逻辑、实现对数据造册登记与全面的安全风险评估。
l 分类分级方面:基于国家标准与机构实际情况对数据进行分类分级,并利用工具对数据进行标签化管理与针对性的策略设置,通过标签实现原始数据与防护策略的双向映射。
l 制度优化方面:基于分类分级结果,结合机构组织架构与管理制度现状,建立并完善数据安全管理制度,形成四级管理制度体系,自上而下的指导数据安全能力落地。
在数据安全治理完成后,选择合适的落地措施,通过数据防泄漏、数据脱敏、数据库审计、资产管理平台等安全设备或者直接对业务系统进行调整,实现数据安全防护策略的落地。同时做好后续运营工作,将增量数据、新建系统纳入防护范围内,利用每年的安全自检进行复盘检查,持续的提升数据安全防护基线。
知行合一,打造医疗行业数据安全建设标杆
当前,医院信息化正在从IT进入DT时代。数据在智慧医疗变革中扮演的价值将愈发关键,推动医疗行业向着高质量发展的目标稳步迈进。作为中国医疗健康行业的转型推动者和领导者,新华三充分发挥和融合自身技术优势与实践经验,在医疗行业进行了广泛地探索与实践,打造了一系列行业标杆案例。
在某三甲医院数据安全建设中,新华三立足LIS系统,梳理业务流程,制定数据分类分级标准,识别数据资产,明确数据安全责任主体,收敛数据安全风险,为医院数字化转型升级和信息化高质量发展注入强劲动能。截至目前,新华三已经累计服务了全国超过1200家三甲医院的信息化规划与建设,85家百强医院的创新发展。
聚焦数据安全建设,共谋智慧医疗未来。面向未来,新华三集团将始终坚持以“云智原生”战略为指引,秉持“精耕务实,为时代赋智慧”的战略,深耕医疗,携手广大合作伙伴一道,为加快医疗行业数据安全建设,释放更多数据价值添砖加瓦、贡献力量。