隨著“互聯(lián)網(wǎng)+醫(yī)療健康”戰(zhàn)略推進���,醫(yī)療數(shù)據(jù)呈現(xiàn)高價值性�,安全風險呈“復合型���、傳導性�、高危害”特征��,為解決行業(yè)評估標準不統(tǒng)一��、重點不突出等問題�����,銜接國家標準與地方實踐���,支撐行業(yè)數(shù)據(jù)安全治理而編制。
總體概述
編制背景:醫(yī)療衛(wèi)生行業(yè)進入數(shù)據(jù)驅(qū)動階段��,醫(yī)療數(shù)據(jù)高價值性帶來復合型等安全風險���,依據(jù)相關(guān)國家標準�����、行業(yè)標準及地方標準�,結(jié)合行業(yè)特性形成適配醫(yī)療場景的評估體系。
編制意義:解決行業(yè)痛點����,破除評估標準不統(tǒng)一等問題;銜接國家標準與地方實踐��,落地風險要素關(guān)系框架�����;支撐行業(yè)數(shù)據(jù)安全治理����,防范跨機構(gòu)數(shù)據(jù)共享泄漏風險。
適用范圍:明確重點評估對象�、參考執(zhí)行對象、第三方評估機構(gòu)及主管監(jiān)管部門�。
核心術(shù)語定義:界定了醫(yī)療衛(wèi)生機構(gòu)�����、人工智能+�、去標識化����、敏感信息����、單獨同意等核心術(shù)語的界定標準和示例�。
行業(yè)特點
行業(yè)說明:衛(wèi)生健康行業(yè)數(shù)據(jù)處理等具有顯著特殊性�,需結(jié)合政策文件����、基礎標準�����、行業(yè)標準及地方標準開展評估��,介紹了《衛(wèi)生健康數(shù)據(jù)分類分級要求》的核心要點��。
業(yè)務特點:業(yè)務連續(xù)性高,評估需規(guī)避診療影響���;業(yè)務場景多元化�����,涵蓋臨床診療等�,每個場景風險點差異顯著�;技術(shù)應用情況中���,“人工智能+醫(yī)療”和醫(yī)療物聯(lián)網(wǎng)應用需新增技術(shù)適配維度�;合規(guī)特殊性���,需同時符合通用法規(guī)和行業(yè)規(guī)范�。
數(shù)據(jù)特征:敏感程度高��,包括診療數(shù)據(jù)�����、特殊敏感數(shù)據(jù)等����;公共屬性,部分數(shù)據(jù)直接影響公共健康����;周期長且流轉(zhuǎn)復雜,管控鏈條貫穿“采集-銷毀”�����。
工作要求
工作目標:數(shù)據(jù)處理者目標包括明確數(shù)據(jù)及處理活動情況、保障數(shù)據(jù)“三性”等�;主管監(jiān)管部門目標包括掌握行業(yè)數(shù)據(jù)安全態(tài)勢�����、促進整改閉環(huán)等�����。
工作原則:遵循保密性、客觀公正性����、科學性����、差異化原則。
工作依據(jù):包括法律、行政法規(guī)���、行業(yè)法規(guī)、國家標準�、地方標準及實踐指南等,并列出具體依據(jù)清單�。
工作流程
評估準備:明確評估范圍,采用“全面摸排+重點評估”原則�����;組建評估團隊�����,可自行評估或委托第三方����,明確團隊構(gòu)成及職責����;制定評估方案��,包括評估概述等多方面內(nèi)容�����。
信息調(diào)研:包括數(shù)據(jù)處理者基本情況��、業(yè)務和信息系統(tǒng)情況��、數(shù)據(jù)資產(chǎn)�����、數(shù)據(jù)處理活動及安全防護措施調(diào)研��,均有對應的調(diào)研表��。
風險識別:從數(shù)據(jù)安全管理�、數(shù)據(jù)處理活動��、數(shù)據(jù)安全技術(shù)�、個人信息保護等方面識別風險源����,結(jié)合是否涉及醫(yī)療衛(wèi)生AI應用場景動態(tài)調(diào)整�����,使用人員訪談等多種方法。
綜合分析:進行風險分析,梳理問題清單并納入歷史評估結(jié)果�,進行風險歸類���;開展風險評價���,從危害程度和發(fā)生可能性兩個維度判定風險等級���。
評估總結(jié):編制評估報告���,內(nèi)容包括評估概述等��;制定整改方案,對不同風險問題提出處置建議��。
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容��,出于傳遞更多信息而非盈利之目的,同時并不代表贊成其觀點或證實其描述�����,內(nèi)容僅供參考��。版權(quán)歸原作者所有�����,若有侵權(quán),請聯(lián)系我們刪除��。
凡來源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng)���,轉(zhuǎn)載需獲授權(quán)����。
