随着全民健康信息化快速发展,数据安全成为行业信息化发展的基础和前提。为落实国家数据安全制度,国家、卫生健康行业主管部门发布一系列政策文件,为行业开展数据安全保护提出了要求和指引。当前,行业机构响应国家法律法规要求还存在巨大的挑战:一是面对诸多的合规要求往往感到无所适从,如何结合实际用数场景和合规要求,制定与业务发展相适应的数据安全治理目标、方针、战略,为其数据安全建设提供指引,仍然是个难题;二是缺乏实施细则的指导,这也一定程度上造成了“数据不敢开放”,制约了数据的共享流通和价值释放。
安华金和作为数据安全领域的领军企业,在卫生健康行业耕耘多年,积累了丰富的实践经验。2024年联合行业领域内专家团队发布的《数据安全治理白皮书6.0》卫生健康行业实践篇对行业的数据安全治理工作进行了深入剖析和总结,阐述了卫生健康行业数据安全分类分级、评估、场景化治理的思路和实践情况,旨在为从业人员提供有价值的参考和借鉴。
数据分类分级是数据安全保护的基础
在实践中,业务环境中敏感信息的颗粒度会到数据项,敏感信息监测和防护的颗粒度也是数据项,数据分类分级需要面向敏感信息使用的最小单位,即数据项,从而满足敏感信息使用和监测防护的需求;另外,在业务环境中经常会有多个数据项组合后使用的情况,多个数据项组合后,它的业务含义会更加丰富,蕴含的信息量也会变大,判断数据项组合后的安全级别更加重要,对于多数据项组合后的级别判定,不能简单按照“单项最高级别”判断,需要结合各个数据项的内容综合考虑。
例如,在医院的科研和教学场景中,我们通常会把患者的可识别信息(病理、诊疗、用药、术后康复等数据项)脱敏处理,即使某一个数据项的安全级别很高,在这些数据项组合后,如果可以确保依然不能识别具体患者,那么该组合则不会被定义为最高安全级别,以便科研教学使用;相反,如果这些数据项与可识别个人信息的数据项进行组合,组合后的安全级别提升了,则相应的管控、防护要求需要同步提升,以免敏感信息泄漏后对患者造成影响。因此,我们通过敏感信息内容和算法处理,对多数据项组合后的级别进行判定,使得敏感信息的管控和监测完全符合实际使用场景的需要。
数据分类分级示意
从“宏观”视角管控核心、重要、一般数据,从“微观”视角对敏感信息进行分级管控,二者相互补充,能够有效落实卫生健康行业对数据进行分类分级和分级管控的要求。
《数据安全治理白皮书6.0》卫生健康行业实践篇给出了卫生健康数据具体的分类分级方法,以及数据脱敏降级处理的方法参考。
数据安全评估是数据安全工作的重要内容
在卫生健康行业的数据安全评估工作中,法律和行政法规要求的“红线”是基线,还需要结合行业规范要求,并考虑机构性质和实际用数场景,量体裁衣制定合适的评估方案。
数据安全评估框架
数据安全管理评估中,侧重于机构是否具有完善的数据安全管理体系,包括安全策略、组织机构、管理制度、操作流程和培训计划等,即管理体系“有没有、全不全”的问题;另一方面,还需要关注这些管理要求如何向机构的各个部门、业务线条进行传递,即关注管理体系“是否有效、好不好”的问题,避免机构制定的一系列规章制度和管理要求形同虚设。
数据安全技术评估中,并不要求技术措施面面俱到,也不追求把所有的数据安全技术风险全部消除,而是要能够及时识别、监控和管控风险,把高风险降为低风险,使数据安全保护水平与技术投入成本达到一个平衡点。在实践中,机构是否具有常见的技术措施,数据安全技术工具的配置、使用、更新和维护是重点评估的内容。
《数据安全治理白皮书6.0》卫生健康行业实践篇给出了行业开展数据安全评估的框架、方法和指标参考。
场景化管控是数据安全治理的核心
在数据安全管理要求向下传导的过程中,针对数据使用场景,可以设计相应的数据使用流程、审批流程、以及针对该场景的管理规范;通过针对性的技术方案设计,可将该场景中的数据保护、风险监测等要求,通过技术工具实现,数据安全技术的运用将更有针对性;针对用数人员,可以根据使用人的业务角色,授予相应的应用系统权限、管控其接触数据的类型、规模、级别等。
医院数据安全治理框架
卫生健康部门数据安全治理框架
《数据安全治理白皮书6.0》卫生健康行业实践篇整理了医疗机构、卫生健康部门典型的业务场景,针对性地提出了管控建议和方案。
订购联系
联系人:白女士
联系电话:15652711706
评论