在數(shù)字化轉型的浪潮中����,醫(yī)療健康領域正以前所未有的速度融入信息技術的懷抱,為患者帶來更加便捷、高效的醫(yī)療服務體驗��。2022年����,《醫(yī)療機構檢查檢驗結果互認管理辦法》正式施行��,標志著我國在推進醫(yī)療資源合理利用方面邁出了重要一步����。該辦法要求醫(yī)療機構在全國范圍內開展檢查檢驗結果的互認工作,并明確了到2025年底���,所有二級公立醫(yī)院應實現(xiàn)檢查檢驗結果的跨機構調閱����。近日,國家衛(wèi)生健康委相關負責人表示截至目前��,已有超過200個地級市積極響應����,實現(xiàn)了檢驗結果的互通共享。
這一舉措不僅有助于減少不必要的重復檢查���,減輕患者經濟負擔��,還極大地提高了醫(yī)療服務效率�����。但在推進這一進程的同時����,國家衛(wèi)生健康委相關負責人強調�,加強網絡和數(shù)據(jù)安全是至關重要的。醫(yī)療機構必須加強數(shù)據(jù)安全管理��,確保數(shù)據(jù)的全生命周期安全�,并采取措施保護患者的隱私和個人信息�����。
一、國家政策推動醫(yī)療數(shù)據(jù)安全治理
近年來��,國家不斷出臺相關政策��,推動醫(yī)療數(shù)據(jù)安全治理工作�����。從法律法規(guī)的制定到監(jiān)管機制的完善��,都在為醫(yī)療數(shù)據(jù)安全提供堅實的支撐���。
2018年4月�,國家衛(wèi)生健康委發(fā)布《關于印發(fā)全國醫(yī)院信息化建設標準與規(guī)范(試行)的通知》�。對二級及以上醫(yī)院的數(shù)據(jù)中心安全、終端安全��、網絡安全及容災備份提出要求��。
2018年9月13日����,國家衛(wèi)生健康委發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標準��、安全和服務管理辦法(試行)》��,明確責任單位應當落實網絡安全等級保護制度要求���,對健康醫(yī)療大數(shù)據(jù)中心、相關信息系統(tǒng)開展定級��、備案�����、測評等工作�。
2018年9月14日,國家衛(wèi)生健康委發(fā)布《關于印發(fā)互聯(lián)網診療管理辦法(試行)等3個文件的通知》�����,管理辦法要求醫(yī)療機構開展互聯(lián)網診療活動��,應當具備滿足互聯(lián)網技術要求的設施��、信息系統(tǒng)����、技術人員以及信息安全系統(tǒng)��,并實施第三級信息安全等級保護�。
2018年12月21日��,國家衛(wèi)生健康委辦公廳發(fā)文《加快推進電子健康卡普及及應用工作的意見》�����,對重點工作任務進行部署��,要求著力加強電子健康卡應用安全建設及管理�,對電子健康卡管理服務系統(tǒng)��、識讀終端設備���、應用密碼機����、互聯(lián)網醫(yī)療健康服務應用軟件等依據(jù)國家行業(yè)標準實行質量及安全檢測�����,強化個人健康信息安全管理,建立相關安全風險動態(tài)評估管理機制����,同時要求電子健康卡積極采用國密算法和國產自主可控安全技術,確保居民健康信息的安全��。
2019年4月��,國家衛(wèi)生健康委發(fā)布《關于印發(fā)全國基層醫(yī)療衛(wèi)生機構信息化建設標準與規(guī)范(試行)的通知》����,明確了基層醫(yī)療衛(wèi)生機構未來 5-10 年信息化建設的基本內容和要求。其中信息安全部分包括身份認證����、桌面終端安全、移動終端安全�����、計算安全��、通信安全�、數(shù)據(jù)防泄露、可信組網����、數(shù)據(jù)備份與恢復�����、應用容災�����、安全運維等10個方面�。
2019年12月�����,經第十三屆全國人民代表大會常務委員會第十五次會議通過���,我國頒布衛(wèi)生健康領域第一部基礎性、綜合性法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》���,明確國家采取措施推進醫(yī)療衛(wèi)生機構建立健全信息安全制度�����,保護公民個人健康信息安全���,對醫(yī)療信息安全制度���、保障措施不健全,導致醫(yī)療信息泄露和非法損害公民個人健康信息的行為進行處罰���。
2020年2月�����,國家醫(yī)療保障局�、國家衛(wèi)生健康委員會發(fā)布《關于推進新冠肺炎疫情防控期間開展“互聯(lián)網+”醫(yī)保服務的指導意見》�,要求不斷提升信息化水平,同步做好互聯(lián)網醫(yī)保服務有關數(shù)據(jù)的網絡安全工作����,防止數(shù)據(jù)泄露。
2022年9月�����,《醫(yī)療衛(wèi)生機構網絡安全管理辦法》發(fā)布�����,要求基于網絡和數(shù)據(jù)的全生命周期視角,梳理安全策略架構,識別具體業(yè)務場景�����,有針對性的設計安全措施���,實現(xiàn)安全防護�。
二�����、醫(yī)療數(shù)據(jù)安全仍面臨諸多風險
盡管有了較為完善的法律法規(guī)體系�,但醫(yī)療數(shù)據(jù)安全仍然面臨著諸多風險,包括內部員工違規(guī)操作��、外部黑客攻擊�����、數(shù)據(jù)泄露事件頻發(fā)等問題�。這表明現(xiàn)有的防護措施仍有待進一步加強和完善���。
數(shù)據(jù)安全合規(guī)挑戰(zhàn)
我國形成了以《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為代表的數(shù)據(jù)安全頂層監(jiān)管框架����。醫(yī)療行業(yè)也出臺了《醫(yī)療衛(wèi)生機構網絡安全管理辦法》等各項監(jiān)管政策,監(jiān)管要求日趨精細化���,網絡和數(shù)據(jù)安全監(jiān)管要求越來越多��,滿足監(jiān)管的難度越來越大���。
數(shù)據(jù)分類分級是構建完善數(shù)據(jù)要素市場的必要前提?;A制度建設相對滯后,無法有效支撐數(shù)據(jù)分類分級工作�;傳統(tǒng)數(shù)據(jù)分類分級工具在敏感數(shù)據(jù)的寬度、精度識別率不高��;面向海量數(shù)據(jù)的數(shù)據(jù)資產分類分級���,專業(yè)人員數(shù)量缺口巨大�����。
數(shù)據(jù)流動監(jiān)測挑戰(zhàn)
業(yè)務對數(shù)據(jù)流動性要求日益增加�,使得數(shù)據(jù)流動路徑變長,給監(jiān)測帶來困難�。
數(shù)據(jù)泄露和信息安全威脅挑戰(zhàn)
在數(shù)字經濟時代,數(shù)據(jù)泄露和信息安全威脅是最主要的挑戰(zhàn)之一�����。黑客入侵和網絡攻擊頻繁發(fā)生���,企業(yè)面臨著盜竊��、勒索和惡意軟件等多種風險��。
隨著大數(shù)據(jù)�、云計算等新技術的應用��,醫(yī)療數(shù)據(jù)安全面臨新的威脅����。傳統(tǒng)的安全防護措施可能無法應對復雜多變的攻擊手段,如數(shù)據(jù)泄露�����、篡改���、勒索等���。同時,數(shù)據(jù)安全風險感知����、監(jiān)控、預警和應急響應能力不足�,使得在發(fā)生安全事件時,難以及時���、有效地進行處置���。
三、全流程治理體系保障醫(yī)療數(shù)據(jù)安全
面對日益嚴峻的數(shù)據(jù)安全環(huán)境��,道普信息風險管控專家倡導構建全面的構建動態(tài)安全防護體系����,積極跟蹤國內主要政策,切實落實數(shù)據(jù)安全要求�,建立起可信賴的醫(yī)療領域數(shù)據(jù)安全環(huán)境。
01應用數(shù)據(jù)資產發(fā)現(xiàn)工具:部署數(shù)據(jù)發(fā)現(xiàn)產品�,通過預配置數(shù)據(jù)分類分級模板���,自動化識別數(shù)據(jù)業(yè)務類型,對數(shù)據(jù)含義進行標識����,從而全面、準確地掌握醫(yī)療數(shù)據(jù)資產狀況��。
02統(tǒng)一分類分級標準:結合國家和地方發(fā)布規(guī)范���,梳理并制定適用于本地實際情況的分類分級參考規(guī)范��,確保數(shù)據(jù)管理的標準化�����、一致性��。
01建立數(shù)據(jù)安全風險感知平臺:實現(xiàn)數(shù)據(jù)安全的“六個統(tǒng)一”管理��,即統(tǒng)一賬戶����、統(tǒng)一監(jiān)控�、統(tǒng)一展示�����、統(tǒng)一分析、統(tǒng)一告警�����、統(tǒng)一配置�����,提升數(shù)據(jù)安全防護的主動性和整體性��。
02加強技術防護措施:采用數(shù)據(jù)加密�����、訪問控制��、身份鑒別����、數(shù)據(jù)脫敏、安全審計等技術手段����,確保數(shù)據(jù)在采集�、傳輸���、存儲����、處理���、交換��、銷毀等全生命周期各環(huán)節(jié)的安全�。
03完善數(shù)據(jù)安全運營與風險監(jiān)控機制:實施安全合規(guī)管理����,定期進行安全審計,強化醫(yī)療數(shù)據(jù)防泄漏措施��,確保數(shù)據(jù)備份恢復系統(tǒng)的有效性����,以應對潛在安全風險。
規(guī)范數(shù)據(jù)共享與開放流程
01建立健全數(shù)據(jù)共享管理制度:明確數(shù)據(jù)內外共享交換管理細則,嚴格賬號權限管理�����,實施共享操作審計�����,對合作方進行背景資質審查����,確保數(shù)據(jù)在共享過程中的安全可控�。
02嚴格執(zhí)行數(shù)據(jù)去標識化和標簽化:在數(shù)據(jù)對外開放時,嚴格執(zhí)行數(shù)據(jù)脫敏和標簽化處理�,遵循開放流程,加強對合作方的數(shù)據(jù)安全管理�,防范數(shù)據(jù)濫用和隱私泄露風險。
基于網絡安全責任制���、等級保護���、關基保護、密碼應用��、數(shù)據(jù)安全��、個人信息保護等監(jiān)管要求,一次測評�����,多規(guī)滿足�����,針對風險提出改進建議��,實現(xiàn)合規(guī)工作的規(guī)范化�����,降低合規(guī)管理成本��,滿足監(jiān)管部門各項數(shù)據(jù)安全要求��,減少監(jiān)管部門的通報��,實現(xiàn)醫(yī)療領域全面合規(guī)��。
在政策的有力推動下�����,我國醫(yī)療數(shù)據(jù)安全治理正逐步走向成熟。國家衛(wèi)生健康委相關負責人的報告和發(fā)言不斷提醒我們��,要持續(xù)關注醫(yī)療數(shù)據(jù)安全治理的重要性���。數(shù)據(jù)安全治理不僅是醫(yī)療行業(yè)數(shù)字化轉型的基石���,更是健康中國戰(zhàn)略實施的重要保障��。未來����,隨著技術的不斷進步和政策的持續(xù)完善,我們有理由相信���,我國醫(yī)療數(shù)據(jù)安全治理將取得更加顯著的成效����,為人民群眾提供更加安全�、便捷、高效的醫(yī)療服務����。
