隨著“互聯(lián)網(wǎng)+醫(yī)療健康”戰(zhàn)略推進,醫(yī)療數(shù)據(jù)呈現(xiàn)高價值性,安全風險呈“復合型、傳導性、高危害”特征,為解決行業(yè)評估標準不統(tǒng)一、重點不突出等問題,銜接國家標準與地方實踐,支撐行業(yè)數(shù)據(jù)安全治理而編制。
總體概述
編制背景:醫(yī)療衛(wèi)生行業(yè)進入數(shù)據(jù)驅(qū)動階段,醫(yī)療數(shù)據(jù)高價值性帶來復合型等安全風險,依據(jù)相關(guān)國家標準、行業(yè)標準及地方標準,結(jié)合行業(yè)特性形成適配醫(yī)療場景的評估體系。
編制意義:解決行業(yè)痛點,破除評估標準不統(tǒng)一等問題;銜接國家標準與地方實踐,落地風險要素關(guān)系框架;支撐行業(yè)數(shù)據(jù)安全治理,防范跨機構(gòu)數(shù)據(jù)共享泄漏風險。
適用范圍:明確重點評估對象、參考執(zhí)行對象、第三方評估機構(gòu)及主管監(jiān)管部門。
核心術(shù)語定義:界定了醫(yī)療衛(wèi)生機構(gòu)、人工智能+、去標識化、敏感信息、單獨同意等核心術(shù)語的界定標準和示例。
行業(yè)特點
行業(yè)說明:衛(wèi)生健康行業(yè)數(shù)據(jù)處理等具有顯著特殊性,需結(jié)合政策文件、基礎標準、行業(yè)標準及地方標準開展評估,介紹了《衛(wèi)生健康數(shù)據(jù)分類分級要求》的核心要點。
業(yè)務特點:業(yè)務連續(xù)性高,評估需規(guī)避診療影響;業(yè)務場景多元化,涵蓋臨床診療等,每個場景風險點差異顯著;技術(shù)應用情況中,“人工智能+醫(yī)療”和醫(yī)療物聯(lián)網(wǎng)應用需新增技術(shù)適配維度;合規(guī)特殊性,需同時符合通用法規(guī)和行業(yè)規(guī)范。
數(shù)據(jù)特征:敏感程度高,包括診療數(shù)據(jù)、特殊敏感數(shù)據(jù)等;公共屬性,部分數(shù)據(jù)直接影響公共健康;周期長且流轉(zhuǎn)復雜,管控鏈條貫穿“采集-銷毀”。
工作要求
工作目標:數(shù)據(jù)處理者目標包括明確數(shù)據(jù)及處理活動情況、保障數(shù)據(jù)“三性”等;主管監(jiān)管部門目標包括掌握行業(yè)數(shù)據(jù)安全態(tài)勢、促進整改閉環(huán)等。
工作原則:遵循保密性、客觀公正性、科學性、差異化原則。
工作依據(jù):包括法律、行政法規(guī)、行業(yè)法規(guī)、國家標準、地方標準及實踐指南等,并列出具體依據(jù)清單。
工作流程
評估準備:明確評估范圍,采用“全面摸排+重點評估”原則;組建評估團隊,可自行評估或委托第三方,明確團隊構(gòu)成及職責;制定評估方案,包括評估概述等多方面內(nèi)容。
信息調(diào)研:包括數(shù)據(jù)處理者基本情況、業(yè)務和信息系統(tǒng)情況、數(shù)據(jù)資產(chǎn)、數(shù)據(jù)處理活動及安全防護措施調(diào)研,均有對應的調(diào)研表。
風險識別:從數(shù)據(jù)安全管理、數(shù)據(jù)處理活動、數(shù)據(jù)安全技術(shù)、個人信息保護等方面識別風險源,結(jié)合是否涉及醫(yī)療衛(wèi)生AI應用場景動態(tài)調(diào)整,使用人員訪談等多種方法。
綜合分析:進行風險分析,梳理問題清單并納入歷史評估結(jié)果,進行風險歸類;開展風險評價,從危害程度和發(fā)生可能性兩個維度判定風險等級。
評估總結(jié):編制評估報告,內(nèi)容包括評估概述等;制定整改方案,對不同風險問題提出處置建議。


特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容,出于傳遞更多信息而非盈利之目的,同時并不代表贊成其觀點或證實其描述,內(nèi)容僅供參考。版權(quán)歸原作者所有,若有侵權(quán),請聯(lián)系我們刪除。
凡來源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng),轉(zhuǎn)載需獲授權(quán)。
Copyright ? 2022 上海科雷會展服務有限公司 旗下「智慧醫(yī)療網(wǎng)」版權(quán)所有 ICP備案號:滬ICP備17004559號-5