本文來自IDC咨詢。
IDC于近日發(fā)布了《IDC PeerScape:中國健康醫(yī)療數(shù)據(jù)安全管理實(shí)踐與案例》(IDC#CHC48582522,2022年9月),IDC通過對(duì)數(shù)家開展數(shù)據(jù)安全升級(jí)工作的醫(yī)療衛(wèi)生機(jī)構(gòu)進(jìn)行訪談,了解機(jī)構(gòu)在固建醫(yī)療數(shù)據(jù)安全中所面臨的挑戰(zhàn),并從各項(xiàng)目的建設(shè)路徑中總結(jié)了成功的實(shí)踐經(jīng)驗(yàn),可供各類醫(yī)療衛(wèi)生機(jī)構(gòu)在完善數(shù)據(jù)安全建設(shè)時(shí)進(jìn)行參考,同時(shí)為數(shù)據(jù)安全服務(wù)商提供參考。
近年來,云計(jì)算、大數(shù)據(jù)、AI等新興技術(shù)與醫(yī)療行業(yè)的結(jié)合逐步深化,“互聯(lián)網(wǎng)+醫(yī)療健康”、“智慧醫(yī)療”、“醫(yī)療健康大數(shù)據(jù)平臺(tái)”等建設(shè)項(xiàng)目需求擴(kuò)增。與此同時(shí),醫(yī)療數(shù)據(jù)的安全問題日益凸顯,面臨著管理和技術(shù)等方面的多重挑戰(zhàn),其中就包括組織制度建設(shè)不完善、數(shù)據(jù)分類標(biāo)準(zhǔn)不統(tǒng)一、人員管理不到位等問題。
政策頻頻發(fā)布,醫(yī)療數(shù)據(jù)安全監(jiān)管日益細(xì)化
國家持續(xù)加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全的監(jiān)管,接連發(fā)布《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全審查辦法》等。醫(yī)療數(shù)據(jù),作為國家重要的基礎(chǔ)性戰(zhàn)略資源,更是受到了行業(yè)內(nèi)外的廣泛關(guān)注,加速了《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》、《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》等與醫(yī)療衛(wèi)生行業(yè)相關(guān)政策的出臺(tái)。
2022年9月4日《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》的發(fā)布,再次將醫(yī)療數(shù)據(jù)安全的重要地位推向新的高度?!掇k法》進(jìn)一步對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)的網(wǎng)絡(luò)及數(shù)據(jù)安全管理基本原則、管理分工、執(zhí)行標(biāo)準(zhǔn)、監(jiān)督及處罰要求做了明確規(guī)定。
《辦法》的發(fā)布對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)的網(wǎng)絡(luò)與數(shù)據(jù)安全管理更為嚴(yán)苛。各機(jī)構(gòu)不僅需要提高安全保障意識(shí),更需要加強(qiáng)建設(shè)的人員及資金投入,完善信息化建設(shè),應(yīng)用新的技術(shù),并結(jié)合業(yè)務(wù),升級(jí)防護(hù)措施與監(jiān)管體系。
醫(yī)療行業(yè)的數(shù)據(jù)安全意識(shí)提升,已積累部分
成功實(shí)踐
當(dāng)前,醫(yī)療行業(yè)的數(shù)據(jù)安全建設(shè)仍處在探索早期,行業(yè)內(nèi)缺乏成功的可參考案例。其中,部分醫(yī)療衛(wèi)生機(jī)構(gòu)意識(shí)到數(shù)據(jù)安全的重要性,開展了相關(guān)的建設(shè)工作,取得了較大的收益,并積累成功的實(shí)踐經(jīng)驗(yàn)。本次報(bào)告中,IDC分別對(duì)湖北省醫(yī)療保障局醫(yī)療保障信息中心、清華大學(xué)附屬北京清華長庚醫(yī)院、濟(jì)南市兒童醫(yī)院、濱州醫(yī)學(xué)院煙臺(tái)附屬醫(yī)院的四個(gè)案例展開了分析。
上述機(jī)構(gòu)開創(chuàng)性地開展了醫(yī)療數(shù)據(jù)安全管理工作,采用了創(chuàng)新的醫(yī)療數(shù)據(jù)安全解決方案,有助于智慧醫(yī)療建設(shè),并促進(jìn)醫(yī)教研等核心工作的開展。同時(shí),機(jī)構(gòu)在建設(shè)過程中獲取的管理和技術(shù)等方面的經(jīng)驗(yàn)將引領(lǐng)醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)的方向,為未來整個(gè)醫(yī)療行業(yè)開展數(shù)據(jù)安全提供參考和指導(dǎo)意見。
IDC通過詳細(xì)探討各機(jī)構(gòu)的數(shù)據(jù)安全建設(shè)過程,從這些成功案例中總結(jié)出了如下實(shí)踐:
•實(shí)踐1:借助數(shù)據(jù)安全技術(shù)提供商對(duì)法規(guī)、規(guī)范的理解,共同定制更為完善的建設(shè)方案。
•實(shí)踐2:參考同行的建設(shè)經(jīng)驗(yàn),結(jié)合醫(yī)療業(yè)務(wù)實(shí)際,組建數(shù)據(jù)安全管理組織,并健全管理制度。
•實(shí)踐3:識(shí)別和統(tǒng)一數(shù)據(jù)資產(chǎn),建立符合自身業(yè)務(wù)需求的內(nèi)部分類分級(jí)標(biāo)準(zhǔn)是數(shù)據(jù)安全管理的關(guān)鍵。
•實(shí)踐4:根據(jù)分類分級(jí)要求,匹配安全策略,通過各種技術(shù)手段限制業(yè)務(wù)和運(yùn)維人員的使用與訪問權(quán)限。
報(bào)告顯示,醫(yī)療衛(wèi)生機(jī)構(gòu)對(duì)數(shù)據(jù)安全的認(rèn)知正逐步提升,尤其是在網(wǎng)絡(luò)安全、數(shù)據(jù)安全相關(guān)的法律法規(guī)的規(guī)范下,機(jī)構(gòu)的安全建設(shè)實(shí)踐進(jìn)程有所提速。在這一過程中,醫(yī)療衛(wèi)生機(jī)構(gòu)同數(shù)據(jù)安全服務(wù)商的合作加深,在頂層設(shè)計(jì)、建設(shè)、運(yùn)維等方面得到服務(wù)商的支持,加速了方案的落地和保障策略的長期執(zhí)行。在管理方面,各類機(jī)構(gòu)都相繼組建管理組織,深入科室的日常工作,洞悉安全風(fēng)險(xiǎn),全面考慮了當(dāng)前的合規(guī)要求與未來的數(shù)據(jù)應(yīng)用等需求。在技術(shù)方面,通過匹配實(shí)施數(shù)據(jù)安全的技術(shù)策略,機(jī)構(gòu)有效提高了防護(hù)的安全性與精準(zhǔn)性。
分析師觀點(diǎn)
醫(yī)療數(shù)據(jù)的價(jià)值在逐步提升,各類醫(yī)療衛(wèi)生機(jī)構(gòu)正在著手建設(shè)醫(yī)療數(shù)據(jù)平臺(tái)。其中,數(shù)據(jù)安全是數(shù)據(jù)應(yīng)用和開放的重要前提。然而,醫(yī)療行業(yè)的數(shù)據(jù)安全建設(shè)普遍處在初期探索階段,各類防范措施尚不健全。隨著政策法規(guī)的不斷完善,以及行業(yè)對(duì)據(jù)安全意識(shí)的關(guān)注度提升,我國醫(yī)療行業(yè)的數(shù)據(jù)安全建設(shè)需求正迎來增長。