文│山石網(wǎng)科通信技術(shù)股份有限公司 李蒞
隨著我國(guó)信息技術(shù)的進(jìn)步和醫(yī)療衛(wèi)生改革的深入,數(shù)字化轉(zhuǎn)型已滲透到醫(yī)療體系的各個(gè)業(yè)務(wù)領(lǐng)域��,如病歷電子化����、醫(yī)院上云、遠(yuǎn)程問(wèn)診等�。同時(shí),“云�、大�����、物�、移、智”等新概念�����、新方法���、新技術(shù)在醫(yī)療行業(yè)的廣泛應(yīng)用����,為醫(yī)療服務(wù)的高效、快捷��、便民提供了信息化基礎(chǔ)���,但由此也產(chǎn)生了海量的�����、高度集中化的�����、敏感的各類健康醫(yī)療數(shù)據(jù)���。這給醫(yī)院帶來(lái)了全新的數(shù)據(jù)安全挑戰(zhàn),加大了數(shù)據(jù)安全保障的難度��。
一����、健康醫(yī)療數(shù)據(jù)面臨的風(fēng)險(xiǎn)及挑戰(zhàn)
在醫(yī)療機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過(guò)程中,醫(yī)院���、患者�����、管理者�����、公衛(wèi)以及科研人員等各方對(duì)數(shù)據(jù)利用和共享的需求日益強(qiáng)烈����,健康醫(yī)療數(shù)據(jù)由“靜態(tài)”轉(zhuǎn)為“動(dòng)態(tài)”,數(shù)據(jù)共享流通更加頻繁�,數(shù)據(jù)集中處理、廣泛共享���、交叉使用成為剛性業(yè)務(wù)需求,數(shù)據(jù)安全新老風(fēng)險(xiǎn)并存���,對(duì)醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全防護(hù)能力提出新的要求�����。
一是醫(yī)院內(nèi)部數(shù)據(jù)安全管理體系尚待完善���。隨著《數(shù)據(jù)安全法》的頒布實(shí)施���,醫(yī)院行業(yè)整體數(shù)據(jù)安全意識(shí)逐步增強(qiáng),但大部分醫(yī)院數(shù)據(jù)管理機(jī)制的建立和完善相對(duì)滯后��。醫(yī)院內(nèi)部擁有大量?jī)?nèi)部職工和第三方運(yùn)維人員����,如果對(duì)重要數(shù)據(jù)的訪問(wèn)權(quán)限管控不足,將會(huì)造成越權(quán)訪問(wèn)風(fēng)險(xiǎn)����,造成數(shù)據(jù)泄露等后果。
二是數(shù)據(jù)開(kāi)放共享風(fēng)險(xiǎn)加大����。伴隨著醫(yī)院數(shù)據(jù)中心所存儲(chǔ)的醫(yī)療數(shù)據(jù)快速增長(zhǎng),同時(shí)醫(yī)聯(lián)體的建設(shè)也促使醫(yī)療數(shù)據(jù)種類不斷豐富�����,醫(yī)療機(jī)構(gòu)面臨著極高的數(shù)據(jù)安全管理壓力�����。關(guān)聯(lián)方都在積極尋求與醫(yī)院的合作���,實(shí)現(xiàn)數(shù)據(jù)的商業(yè)化變現(xiàn)�。醫(yī)院自身也希望能將多年積累的“沉睡”數(shù)據(jù)轉(zhuǎn)換為價(jià)值,獲取更多醫(yī)學(xué)研究成果�����。但未脫敏的健康醫(yī)療數(shù)據(jù)在與第三方共享時(shí)可能會(huì)導(dǎo)致敏感信息的泄露���,醫(yī)院內(nèi)部工作人員的不當(dāng)操作也可能會(huì)導(dǎo)致敏感信息未經(jīng)授權(quán)的訪問(wèn)���、修改和泄露。
三是個(gè)人隱私保護(hù)要求加強(qiáng)���。健康醫(yī)療數(shù)據(jù)中重要的組成部分是各種患者的個(gè)人信息集合����,包括個(gè)人基本信息�����、個(gè)人身份信息����、個(gè)人生物識(shí)別信息、個(gè)人健康生理信息等�,這些數(shù)據(jù)內(nèi)容都涉及個(gè)人隱私。這些個(gè)人信息一旦泄露和傳播�����,將對(duì)患者個(gè)人生活和精神狀態(tài)造成嚴(yán)重影響�����。個(gè)人隱私保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題之一�。
四是外部攻擊風(fēng)險(xiǎn)嚴(yán)峻。據(jù)《2020 年全球高級(jí)持續(xù)威脅(APT)年度報(bào)告》�,2020 年醫(yī)療衛(wèi)生行業(yè)以 23.7% 的占比,歷史上首次超過(guò)政府�、金融、國(guó)防�����、能源�、電信等領(lǐng)域,成為全球 APT活動(dòng)關(guān)注的首要目標(biāo)?,F(xiàn)階段,醫(yī)療機(jī)構(gòu)重業(yè)務(wù)輕安全的態(tài)勢(shì)仍然存在�,眾多醫(yī)療機(jī)構(gòu)安全防護(hù)的水平相對(duì)較低�����,例如大量安全漏洞無(wú)法及時(shí)修復(fù)���,難以防范外部攻擊。
五是合規(guī)要求日益嚴(yán)格��。醫(yī)療數(shù)據(jù)涉及國(guó)家利益����、公共安全、患者隱私����、商業(yè)秘密等重要信息,從《網(wǎng)絡(luò)安全法》到行業(yè)出臺(tái)的各類法規(guī)標(biāo)準(zhǔn)����,從多個(gè)維度對(duì)醫(yī)療機(jī)構(gòu)的信息安全和數(shù)據(jù)安全提出了明確的要求。
二�、以健康醫(yī)療數(shù)據(jù)為中心的安全治理體系
健康醫(yī)療數(shù)據(jù)是國(guó)家重要的基礎(chǔ)性戰(zhàn)略資源,關(guān)系到國(guó)家戰(zhàn)略安全�、國(guó)家生物安全���、人民生命安全和公民個(gè)人隱私安全���。從安全管控角度��,對(duì)相關(guān)數(shù)據(jù)中心的安全管理和個(gè)人健康醫(yī)療數(shù)據(jù)的隱私保護(hù)��,將決定著健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的未來(lái)���。因此,建立一套完善的健康醫(yī)療數(shù)據(jù)安全治理體系�,以網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全��、數(shù)據(jù)安全保障措施��、數(shù)據(jù)流轉(zhuǎn)全程留痕�、數(shù)據(jù)安全監(jiān)測(cè)和預(yù)警、數(shù)據(jù)泄露事故可溯源為中心的防護(hù)手段�����,對(duì)于醫(yī)療行業(yè)來(lái)說(shuō)迫在眉睫��。
(一)雙維驅(qū)動(dòng)健康醫(yī)療數(shù)據(jù)安全建設(shè)
健康醫(yī)療數(shù)據(jù)安全治理永遠(yuǎn)不是從零開(kāi)始,它一定是基于醫(yī)院現(xiàn)有的安全能力建設(shè)現(xiàn)狀���,通過(guò)以健康醫(yī)療數(shù)據(jù)為中心的視角���,對(duì)現(xiàn)有的體系進(jìn)行擴(kuò)展,以實(shí)現(xiàn)對(duì)數(shù)據(jù)的安全治理管控����。
大多數(shù)醫(yī)療結(jié)構(gòu)在此前或多或少已有了一定的安全體系,基本上都是圍繞著網(wǎng)絡(luò)環(huán)境和信息系統(tǒng)開(kāi)展的安全防護(hù)工作����,主要聚焦在了網(wǎng)絡(luò)安全和信息安全兩個(gè)方面,如網(wǎng)絡(luò)安全等保 2.0 合規(guī)評(píng)測(cè)標(biāo)準(zhǔn)下的安全能力建設(shè)����。而數(shù)據(jù)安全是以健康醫(yī)療數(shù)據(jù)為中心,圍繞著數(shù)據(jù)全生命周期進(jìn)行建設(shè)�����,以提高醫(yī)院數(shù)據(jù)安全保障能力��。所以從數(shù)據(jù)安全角度出發(fā)��,醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)制定符合自身業(yè)務(wù)情況的數(shù)據(jù)安全建設(shè)思路,構(gòu)建面向數(shù)字化轉(zhuǎn)型的可持續(xù)安全運(yùn)營(yíng)能力�。
(二)以健康醫(yī)療數(shù)據(jù)為中心的安全治理體系
健康醫(yī)療數(shù)據(jù)安全治理是從業(yè)務(wù)到安全�����、從管理到技術(shù)�,自上而下全方位與體系融合的綜合性專題建設(shè)。正是由于數(shù)據(jù)安全所需考慮的范圍廣�����、變量多�����,才需要醫(yī)院管理者綜合思考一套行之有效的體系框架�����,從而使數(shù)據(jù)安全建設(shè)做到有章可循�,實(shí)現(xiàn)“同步規(guī)劃、同步建設(shè)��、同步運(yùn)營(yíng)”的數(shù)據(jù)安全建設(shè)目標(biāo)��。
