关注医疗数据安全 | 怎样为医院信息系统构筑“保护盾”
发布时间:2022-01-10 18:44:22来源:健康报
开栏的话
2021年6月,国务院办公厅印发《关于推动公立医院高质量发展的意见》,明确指出要强化信息化支撑作用,引领公立医院高质量发展新趋势。
2021年10月,国家卫生健康委和国家中医药管理局联合印发《公立医院高质量发展促进行动(2021-2025年)》,也明确提出将信息化作为医院基本建设的优先领域,建设电子病历、智慧服务、智慧管理“三位一体”的智慧医院信息系统。在医院信息化建设中,如何加强数据安全保护,有效实施数据全生命周期安全管理,夯实信息化发展的安全底线,是值得医院管理者们思考的问题。健康报开设“关注医疗数据安全”专栏,邀请业内专家对上述问题进行探讨。
本期嘉宾
北京大学第三医院信息管理与大数据中心
贾末计虹
近年来,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等一系列信息安全相关法律法规的颁布实施,对网络安全建设、数据共享应用、个人信息保护提出了更高的要求。同时,随着互联网医疗的快速发展、互联互通建设的不断深入、临床科研等需求的不断增加,信息系统互联网暴露面日益增大,数据共享的范围和数据量持续扩大,内外网数据交互日益频繁,网络安全、数据安全、个人信息安全风险持续增加,新型网络攻击、程序漏洞、数据库脱库、科研数据流失、个人隐私泄漏风险始终存在。伴随着无线网络的全面覆盖,无线网近源攻击等风险持续增加。各类风险的跨界性、穿透性、关联性、扩散性特征明显增加,系统性风险持续增大。这些因素给医院网络及信息安全建设带来了更大的挑战。构建完善的信息安全保障体系,对于提升整体信息安全保障能力、推动公立医院高质量发展,具有重要的研究价值和现实意义。
强化制度建设规范信息安全行为
制度是规范也是指导,是信息安全工作开展的重要保障。医院层面成立了网络安全领导小组与技术领导小组,科室成立了网络安全技术支持小组,明确岗位职责。以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为基础,不断制定完善各项规章制度。制定标准操作流程,严格落实系统与安全“同步规划、同步建设、同步使用”三同步要求,实现“需求调研、规划设计、项目实施、系统上线、运行维护”全流程的安全监测体系。制定数据使用安全责任书,明确“最小、够用、知情”的数据采集原则,严格落实网络安全每日监测制度,制定《网络安全设备日常巡检表》,通过每日巡检监测,发现问题,解决问题。加强面向不同人群的网络安全意识培训,规范安全行为,完善各类人员安全责任制度,构筑全员安全堡垒,防范网络钓鱼、近源攻击等事件发生。开展数据安全培训,探索科室安全员管理模式。医院不断加强数据安全管理建设,逐步实现数据安全管理的“规范化、制度化、程序化”,最终达到岗位有分工、执行有依据、日常有检查、全员有认知。
夯实安全基础强化网络边界防护
依托预警监测构建综合防御体系
开展实战演练多岗协同联动防御
加强实战化训练,以网络安全大赛、网络安全演练为抓手,网络安全、系统安全、应用安全、终端安全多岗协同,防火墙、WAF、态势感知、服务器深度防护、终端杀毒等全系统联动,访问策略、流量监测、日志分析等全要素综合研判。在实战中不断总结经验,完善应急预案,最终实现“网络入侵拦得住、异常流量识别准、恶意文件消得清、故障原因排查快,应急预案可落地”,不断提升综合防御实战能力。
注重隐私保护提升个人信息安全
根据《数据安全法》《个人信息保护法》的有关要求,医院对数据采集、传输、存储、处理、交换、销毁实施全周期管理。明确“最小、够用、知情”数据采集原则,利用国密算法加强数据传输、存储加密,对数据进行分级分类管理,加强权限管控,逐级授权开放。对数据进行脱敏处理,建立数据安全审查制度,加强对科研等数据使用的监管。利用数据库审计,加大审核分析力度,对可疑数据进行排查,加强数据溯源管理。针对个人信息保护,在程序端增加去隐私化、匿名化处理,对涉及个人隐私的数据,增加知情同意提示。强化审核及个人信息分类管理。制定信息安全事件应急预案,对处理敏感个人信息的情形进行评估。
加强自主研发保障核心数据安全
医院积极培养自主研发人才,开发自主可控的安全管理信息系统,实现对网络安全、数据安全、个人信息保护相关的核心资产信息的管理。通过多因子认证、国密算法以及新技术的自主探索应用,持续提升信息化核心资源的安全管理能力。网络安全建设永远在路上。下一步,医院将持续完善制度建设,保障基础环境安全;加强态势感知和主动预警能力;推动国密算法等安全加密措施的落地实施;持续加强数据监管审计、数据监测和应急能力。另外,对重要数据进行定期风险评估,部署新一代安全保护设备设施,开展实战演习、应急演练,提升网络安全风险应对及应急处置能力;筑牢网络安全防线,为医院高质量发展奠定坚实基础。
文:北京大学第三医院信息管理与大数据中心贾末计虹
编辑:肖薇张漠杨真宇
审核:徐秉楠闫龑
喜欢就告诉我们您“在看”
