文│山石網(wǎng)科通信技術股份有限公司 李蒞
隨著我國信息技術的進步和醫(yī)療衛(wèi)生改革的深入�,數(shù)字化轉(zhuǎn)型已滲透到醫(yī)療體系的各個業(yè)務領域,如病歷電子化����、醫(yī)院上云、遠程問診等��。同時�����,“云、大���、物����、移�����、智”等新概念�����、新方法�����、新技術在醫(yī)療行業(yè)的廣泛應用����,為醫(yī)療服務的高效����、快捷、便民提供了信息化基礎���,但由此也產(chǎn)生了海量的��、高度集中化的�����、敏感的各類健康醫(yī)療數(shù)據(jù)���。這給醫(yī)院帶來了全新的數(shù)據(jù)安全挑戰(zhàn)�����,加大了數(shù)據(jù)安全保障的難度��。
一�、健康醫(yī)療數(shù)據(jù)面臨的風險及挑戰(zhàn)
在醫(yī)療機構(gòu)數(shù)字化轉(zhuǎn)型過程中�,醫(yī)院、患者�、管理者、公衛(wèi)以及科研人員等各方對數(shù)據(jù)利用和共享的需求日益強烈�����,健康醫(yī)療數(shù)據(jù)由“靜態(tài)”轉(zhuǎn)為“動態(tài)”,數(shù)據(jù)共享流通更加頻繁���,數(shù)據(jù)集中處理����、廣泛共享�����、交叉使用成為剛性業(yè)務需求��,數(shù)據(jù)安全新老風險并存����,對醫(yī)療機構(gòu)的數(shù)據(jù)安全防護能力提出新的要求。
一是醫(yī)院內(nèi)部數(shù)據(jù)安全管理體系尚待完善�。隨著《數(shù)據(jù)安全法》的頒布實施,醫(yī)院行業(yè)整體數(shù)據(jù)安全意識逐步增強�,但大部分醫(yī)院數(shù)據(jù)管理機制的建立和完善相對滯后。醫(yī)院內(nèi)部擁有大量內(nèi)部職工和第三方運維人員�����,如果對重要數(shù)據(jù)的訪問權(quán)限管控不足��,將會造成越權(quán)訪問風險����,造成數(shù)據(jù)泄露等后果。
二是數(shù)據(jù)開放共享風險加大��。伴隨著醫(yī)院數(shù)據(jù)中心所存儲的醫(yī)療數(shù)據(jù)快速增長����,同時醫(yī)聯(lián)體的建設也促使醫(yī)療數(shù)據(jù)種類不斷豐富,醫(yī)療機構(gòu)面臨著極高的數(shù)據(jù)安全管理壓力�。關聯(lián)方都在積極尋求與醫(yī)院的合作,實現(xiàn)數(shù)據(jù)的商業(yè)化變現(xiàn)��。醫(yī)院自身也希望能將多年積累的“沉睡”數(shù)據(jù)轉(zhuǎn)換為價值�,獲取更多醫(yī)學研究成果。但未脫敏的健康醫(yī)療數(shù)據(jù)在與第三方共享時可能會導致敏感信息的泄露��,醫(yī)院內(nèi)部工作人員的不當操作也可能會導致敏感信息未經(jīng)授權(quán)的訪問���、修改和泄露����。
三是個人隱私保護要求加強����。健康醫(yī)療數(shù)據(jù)中重要的組成部分是各種患者的個人信息集合����,包括個人基本信息�、個人身份信息、個人生物識別信息��、個人健康生理信息等��,這些數(shù)據(jù)內(nèi)容都涉及個人隱私����。這些個人信息一旦泄露和傳播,將對患者個人生活和精神狀態(tài)造成嚴重影響����。個人隱私保護已成為廣大人民群眾最關心最直接最現(xiàn)實的利益問題之一。
四是外部攻擊風險嚴峻����。據(jù)《2020 年全球高級持續(xù)威脅(APT)年度報告》,2020 年醫(yī)療衛(wèi)生行業(yè)以 23.7% 的占比��,歷史上首次超過政府���、金融�����、國防���、能源、電信等領域���,成為全球 APT活動關注的首要目標?,F(xiàn)階段���,醫(yī)療機構(gòu)重業(yè)務輕安全的態(tài)勢仍然存在�����,眾多醫(yī)療機構(gòu)安全防護的水平相對較低��,例如大量安全漏洞無法及時修復����,難以防范外部攻擊����。
五是合規(guī)要求日益嚴格���。醫(yī)療數(shù)據(jù)涉及國家利益、公共安全、患者隱私、商業(yè)秘密等重要信息����,從《網(wǎng)絡安全法》到行業(yè)出臺的各類法規(guī)標準,從多個維度對醫(yī)療機構(gòu)的信息安全和數(shù)據(jù)安全提出了明確的要求�。
二�����、以健康醫(yī)療數(shù)據(jù)為中心的安全治理體系
健康醫(yī)療數(shù)據(jù)是國家重要的基礎性戰(zhàn)略資源�,關系到國家戰(zhàn)略安全、國家生物安全�、人民生命安全和公民個人隱私安全。從安全管控角度����,對相關數(shù)據(jù)中心的安全管理和個人健康醫(yī)療數(shù)據(jù)的隱私保護,將決定著健康醫(yī)療大數(shù)據(jù)應用發(fā)展的未來��。因此���,建立一套完善的健康醫(yī)療數(shù)據(jù)安全治理體系���,以網(wǎng)絡安全等級保護��、關鍵信息基礎設施安全�、數(shù)據(jù)安全保障措施���、數(shù)據(jù)流轉(zhuǎn)全程留痕、數(shù)據(jù)安全監(jiān)測和預警��、數(shù)據(jù)泄露事故可溯源為中心的防護手段�����,對于醫(yī)療行業(yè)來說迫在眉睫����。
(一)雙維驅(qū)動健康醫(yī)療數(shù)據(jù)安全建設
健康醫(yī)療數(shù)據(jù)安全治理永遠不是從零開始,它一定是基于醫(yī)院現(xiàn)有的安全能力建設現(xiàn)狀��,通過以健康醫(yī)療數(shù)據(jù)為中心的視角��,對現(xiàn)有的體系進行擴展����,以實現(xiàn)對數(shù)據(jù)的安全治理管控���。
大多數(shù)醫(yī)療結(jié)構(gòu)在此前或多或少已有了一定的安全體系,基本上都是圍繞著網(wǎng)絡環(huán)境和信息系統(tǒng)開展的安全防護工作�,主要聚焦在了網(wǎng)絡安全和信息安全兩個方面,如網(wǎng)絡安全等保 2.0 合規(guī)評測標準下的安全能力建設��。而數(shù)據(jù)安全是以健康醫(yī)療數(shù)據(jù)為中心��,圍繞著數(shù)據(jù)全生命周期進行建設�,以提高醫(yī)院數(shù)據(jù)安全保障能力。所以從數(shù)據(jù)安全角度出發(fā)��,醫(yī)療機構(gòu)應當制定符合自身業(yè)務情況的數(shù)據(jù)安全建設思路����,構(gòu)建面向數(shù)字化轉(zhuǎn)型的可持續(xù)安全運營能力。
(二)以健康醫(yī)療數(shù)據(jù)為中心的安全治理體系
健康醫(yī)療數(shù)據(jù)安全治理是從業(yè)務到安全�����、從管理到技術�����,自上而下全方位與體系融合的綜合性專題建設。正是由于數(shù)據(jù)安全所需考慮的范圍廣����、變量多,才需要醫(yī)院管理者綜合思考一套行之有效的體系框架�����,從而使數(shù)據(jù)安全建設做到有章可循����,實現(xiàn)“同步規(guī)劃�����、同步建設���、同步運營”的數(shù)據(jù)安全建設目標�����。
