品牌建设网站,菏泽网站建设兼职,长沙最好玩的地方排名,深圳品牌设计公司深圳品牌设计公司过去的2022年#xff0c;统筹安全与发展#xff0c;在医疗信息化发展道路中#xff0c;数据安全不可或缺。这一年#xff0c;实施五年多的《网络安全法》迎来首次修改#xff0c;《数据安全法》、《个人信息保护法》实施一周年#xff0c;配套的《数据出境安全评估办法》…过去的2022年统筹安全与发展在医疗信息化发展道路中数据安全不可或缺。这一年实施五年多的《网络安全法》迎来首次修改《数据安全法》、《个人信息保护法》实施一周年配套的《数据出境安全评估办法》、《网络数据安全管理条例征求意见稿》等政策法规和标准规范接连发布在医疗行业数据安全成为《“十四五”全民健康信息化规划》部署的关键领域作为主要任务和优先行动持续推进首个关于网络安全的管理办法《医疗卫生机构网络安全管理办法》重磅出台为医疗机构网络安全和数据安全管理送上了一份开卷答案。转眼来到2023年站在崭新的年份医疗行业数据安全现状如何面临哪些挑战医疗机构又如何开展新一年的安全建设“解读2022展望2023。”日前CHIMA大讲堂医疗行业网络安全与数据安全回顾与前瞻研讨会《中国医院》杂志社社长、CHIMA主任委员王才有解放军总医院医学大数据研究中心原主任薛万国美创科技医疗行业专家田平数说安全分析师史高平一同探讨医疗数据安全建设的现在与未来、困境与破局。现状如何数说安全分析师 史高平从市场来看2022年医疗行业市场空间为48.22亿元受疫情等因素影响相较于 2021年同比下滑3.7%。医疗行业仍重点围绕等级保护进行建设为主防火墙、杀毒软件、上网行为管理等传统产品仍是主流采购项目安全服务和安全运营增幅明显此外勒索病毒频发也提升了相关安全产品采购需求。数说安全《2022医疗行业网络安全报告》在数据安全方面2021年以来《数据安全法》、《个人信息保护法》等法律法规的落地医疗行业对数据安全的关注度空间提升数据安全类产品的需求保持了较高的增长。2022年数说安全发布的《数据安全市场研究报告》显示2021年医疗数据安全采购项目数量是3700个同比增长了28.5%其中专项采购469个同比增长29%。数说安全《2022数据安全市场研究报告》但总体而言相较于医疗信息化的蓬勃发展受主观、客观条件的限制医疗数据安全建设依然相对滞后目前医疗行业主要采购数据库审计、数据泄露防护等单项产品。不过整个行业关于数据安全的理念正在发生改变逐步认识到数据分类分级对于数据安全保障的重要性不再局限于单点防护的安全理念更加关注数据全生命周期的安全防护一些发达地区大型三甲医院已开始从单一的产品采购转向数据安全治理、数据分类分级等安全服务的采购。解放军总医院医学大数据研究中心原主任 薛万国从宏观层面可以看到法律与监管、数字经济与数据要素地位的确立对数据安全保护的要求更加迫切随着医院、患者、管理者、公卫以及科研人员等各方对数据利用和共享的需求日益强烈也催生着大量的数据安全防护需求。同时当前医疗行业数据安全落地实施还存在一些问题一方面医院数据安全在基础防护上尚存在不足。比如数据备份能力是数据安全防护基础但根据CHIMA《2021-2022中国医院信息化状况调查报告》显示仅有四分之一的受调研医院实现了全部系统数据备份大多数医院只能做到核心系统和重点业务系统数据备份其他系统的数据没有做到备份这些数据一旦发生数据的破坏或泄露如勒索病毒将对医院的正常运行以及患者的隐私安全造成损失。而在数据恢复能力上仅有十分之一的医院能够实现全部系统数据能恢复到任意时间点有22.32%的医院仅核心系统数据能恢复到任意时间点。CHIMA《2021-2022中国医院信息化状况调查报告》此外在医院服务器和数据库防护措施上数据库审计、运维堡垒机、防统方作为典型的安全防护产品仅有60-70%左右的使用比例。CHIMA《2021-2022中国医院信息化状况调查报告》另一方面医院数据安全保护工作存在一定困扰和问题。医院信息化业务、系统、软硬件数量非常庞大远超其他行业但技术人员较少尤其专职的安全人员以及数据安全管理运营人员更为稀缺数据安全怎么建如何建大部分医院并不知道适合自己的答案造成建设过程中的“迷茫期”。也因此70%以上的调查者希望有全面的数据安全咨询服务、安全意识培训服务以及数据资产的盘点和分级分类服务等。美创科技医疗行业解决方案专家 田平2021年被称为数据安全元年9月1日《中华人民共和国数据安全法》正式实施落地同年国标委发布首部完全针对健康医疗数据安全的标准—《信息安全技术 健康医疗数据安全指南》。2022年8月国家卫生健康委发布《医疗卫生机构网络安全管理办法》。10月国家卫生健康委规划司发布《卫生健康行业数据分类分级指南》征求意见稿随着征求意见稿的落地未来医疗行业将开启以数据分类分级为起点的数据安全建设。医疗数据安全建设政策背景目前合规升级、监管趋严已成为主旋律国家及相关部门正在通过立法、加强监管、完善标准等多维度方式提升医疗健康数据的整体安全水平2022年国家卫生健康委、国家中医药局、国家疾控局推出了医疗行业首个关于网络安全的管理办法——《医疗卫生机构网络安全管理办法》简称《办法》并对数据安全管理单独成篇做出规制叠加医院数字化转型、数据互联互通催生的安全需求如何保障数据安全与患者隐私将持续成为医疗行业的重要议题和焦点需求。有何难点数说安全分析师 史高平医疗行业数据安全建设从实际成效和结果看之所以尚未呈现人气与市场交替上升局面一方面在现行已颁布的法律法规及标准体系下健康医疗数据安全的顶层设计仍然还存在着交叉和空白配套制度的细则不够完善行业数据分级分类管理、重要数据目录制定等相关工作还在研制。同时供需两端在需求和能力适配方面存在一些短板和问题。数说安全《2022医疗行业网络安全报告》一方面需求侧医疗机构安全基础普遍薄弱各级医疗机构在数据安全方面还处于起步阶段产品采购主要集中在数据库防护和防泄漏等传统产品受限于安全统筹规划能力弱、专业数据安全人才匮乏、资源投入不足、安全管理制度不统一等因素。另一方面在供给侧目前供应商提供的医疗数据安全解决方案和服务的成熟度尚不够高需要累积案例经验不断提高数据安全的解决方案成熟度。在医疗数据互联互通建设的信息化趋势下数据安全与业务高度融合数据安全的基础是数据的分级分类这部分和传统网络安全有很大不同这要求从数据分类分级到相应的数据安全策略的匹配都需要安全厂商对医疗业务有深刻的理解同时也要求供应商提供适配医疗系统的解决方案和产品。解放军总医院医学大数据研究中心原主任 薛万国难点一大数据环境下裸数据利用需求增多数据保护难度增大。在传统模式下数据通过应用系统访问访问权限可通过应用系统控制。而在大数据分析模式下数据利用随机性大研究人员基于裸数据进行处理和分析建模裸数据的授权管理及保护更为困难。难点二随着AI产品研发和合作研究增多外部数据利用需求增加需要特殊技术对数据进行保护。比如医疗机构在对外提供数据时往往通过数据脱敏和匿名化手段但当前医疗数据内容及类型多样、结构复杂有文本数据、医疗影像等非结构化数据数据脱敏和匿名化存在技术难点仅依靠约定进行数据用途限定和数据保护力度不够数据一旦泄露从技术上数据溯源难数据资源不出院、“数据可用不可见”存在数据标准化工程量大、数据分析方法设计难点。难点三应用系统和数据开发平台的技术架构多样化给统一的数据监管审计造成困难。当前医疗机构正面临多样化的数据技术环境既有传统关系型数据库、也有MongoDB、Hbase等NoSQL数据库这要求数据库审计系统必须有强大的协议支持能力。难点四缺乏落实法规的具体遵循。《数据安全法》、《个人信息保护法》作为上位法对医疗行业安全保障工作提出了基本规范和要求但在医疗机构落地实施还需要制定具体的细则如对于医疗行业数据如何分级分类哪些数据是重要数据《个人信息保护法》中知情同意原则如何在医疗行业实施特别是对于医疗活动之外的数据共享利用(科研、单病种上报、管理部门数据采集等)、对于以患者医疗为目的的电子病历共享。探索实践美创科技医疗行业解决方案专家 田平数据安全分类分级是数据安全管理和防护体系建设的基础识别核心数据、重要数据资产并针对性的设计安全管理机制是安全建设的必由之路。针对医疗行业存在的“无标准落地难、数据复杂难梳理、数据安全管理粗放、长效性难保证”等普遍问题和安全建设的实际需求美创科技基于对医疗行业的深入理解和在数据分类分级领域的研究对标参考法律法规、国家行业标准如《数据安全法》、《医疗卫生机构网络安全管理办法》、《国家卫生健康委规划司卫生健康行业数据分类分级指南征求意见稿》、《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》及其他行业地方标准等形成切实可行的核心数据、重要数据识别模型形成基于分类分级的医疗健康行业临床数据合规共享与安全防护建设实践方案。1、基于自研的数据支撑平台实时、准确的将结构化数据半结构化数据、非结构化数据采集抽取至ODS数据湖、以及半结构化、非结构化文件库中数据支撑平台采用基于数据库日志文件的无侵入式增量采集技术采集过程不影响生产系统的稳定运行并保证数据的一致性。2、通过暗数据发现与分类分级系统进行数据的自动化发现和分类分级建立数据目录并提供丰富的API接口实现与资产管理平台、数据安全管控平台、第三方数据安全产品对接为后续数据资产合规管理、数据安全防护提供基础支撑。3、最终整体方案基于数据分类分级结果进行数据合规共享临床业务、敏感资产安全防护内部管理如在临床数据合规共享场景中帮助用户在医生画像、数据合规性检查、临床数据共享、政府数据上报等维度实现数据的合规性应用。在敏感资产安全防护内部管理中依据数据分类分级结果建立相适应的安全管控策略。如在医疗运维侧通过分类分级结果有效管控运维侧工作人员对核心数据、重要数据的访问权限对于一般数据中的敏感人个信息与特殊病种在访问时可以进行差异化访问控制。在医疗审计侧原有数据审计只能审计到表、字段、数据与时间基于数据分类分级结果后除了能满足原有的审计对象外还能审计数据的敏感度对于核心数据、重要数据、敏感个人数据与特殊病种数据能实现更加精确化审计并告警。数据分类分级结果在医疗运维侧应用场景医疗数据天然带有业务属性做好数据安全分类分级工作首先必须是数据安全专家其次也需要是医疗行业的业务专家美创科技已在人社、大数据局、公安、医疗、金融等行业积累了成功的数据分类分级项目落地经验形成专业咨询团队和自动化工具支撑。趋势展望《中国医院》杂志社社长、CHIMA主任委员王才有2022年12月19日中共中央国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》即“数据二十条”。作为关于数据要素资源的基础制度盘活数字经济、推动数据要素市场化创新发展的基础性文件开启了我们国家数据资源开放和流通的闸门。数据基础制度的建立也为破解医疗健康数据开放与保护的“两难困境”带来期望对促进数据的流通和交易活动开展带来动力对数据提供者和开发者提供了新的动能随着我国数据基础制度的建立医疗健康行业部门也必然会根据这个基本制度的要求细化和规范医疗健康数据的制度体系但同时这也对医疗行业数据安全提出新的挑战和新的要求。当数据由静止转向动态流动数据安全场景发生了改变保护对象在发生变化数据安全不再仅仅是要保护数据实体还要在数据流转基础之上做动态的防护加工后的数据以及数据衍生品包括数据模型、数据核验产品等都需进行切实有效的保护为此这需要医疗行业采取新的防御措施和手段做好数据安全防护工作使这些数据发挥出它应有的价值。解放军总医院医学大数据研究中心原主任 薛万国1、在政策法规方面期待医疗行业管理部门在国家相关法律和机制框架下加速制定医疗行业数据安全法规实施细则更好地承接《数据安全法》在行业的实施落地。如对医疗行业数据明确分类分级制定重要数据目录提出具体的保护技术和管理要求对医疗数据采集和使用中的个人知情同意方式进行明确对于医疗数据流通中的数据匿名化、去标识化要求进一步明确明确医疗行业数据交易规则等。2、在数据安全技术方面针对医疗行业典型业务信息系统和数据利用场景在数据防损坏(如勒索病毒)、防流失、防不正当使用、访问追溯等方面期望开发出示范性解决方案大力发展和推广应用标准化医疗数据模型和术语为分布式数据研究提供基础开发分布式数据统计、建模方法与算法支持“数据可用不可见”的共享利用模式。3、系统应用与建设方面面对数据安全法规和行业规范越来越多的医疗单位会通过改造既有系统强化患者信息保护同时加强系统性技术防护强固安全基础实施系统性数据安全保护方案完善防勒索病毒破坏的数据备份机制建立数据访问审计、运维监控审计等系统。4、数据产品化方面随着国家、地方就医疗数据要素市场化陆续出台相应的布局规划并逐步落实在明确了数据安全和个人信息保护要求前提下将进一步调动医疗数据加工利用的积极性医疗数据市场有望逐渐形成数据价值将由隐形向显性转变。美创科技医疗行业解决方案专家 田平《数据安全法》的正式实施数据安全建设路径就发生了很大变化。原来是以网络安全法与等保条例作为数据安全建设的法规条律主要以边界防护与全面防护为主通俗一点讲就是“宁可错杀一千绝不放过一个”一条数据中发现有敏感数据原来的方式就是直接把这条数据进行阻断但从结果上来说属于阻住数据流动在《数据安全法》实施后数据作为第五生产要素让数据依法、有序流动势不可挡。因此对于数据安全建设医疗机构应基于法律要求开展数据分类分级对级别较高类别较敏感的数据进行分级防护。同时数据安全建设应围绕应用场景进行开展同一份数据在不同的应用场景进行不同颗粒度的安全防护措施。如医疗数据出境与医疗数据应用于科研属于两种不同的应用场景采用的安全防护也应有所差异数据出境累计到一定量后需要向网信办申报但当数据用于医疗科研就没有数据量的要求反而应侧重病人个人隐私的保护。未来在整体行业的倡导下和数字化转型的大方向下数据分类分级包括数据安全数据安全治理、数据治理等工作一定会在各医疗机构逐渐地展开数据分类分级是目前也是未来医疗机构开展数据安全工作的基础工程。
