国家医保局数据保护指导意见来了!如何筑牢医疗行业数据安全防线?
如何实现医疗信息系统互联互通的同时保证数据安全及业务连续性是智慧医疗建设的一大难题。
近日,国家医疗保障局发布《关于加强网络安全和数据保护工作的指导意见》,明确强调了在医疗保障信息化建设中加强数据安全保护,有效实施数据全生命周期安全管理,建立全面的安全审批制度,落实数据分级分类以及重要数据保护目录,完善数据安全评估机制,夯实医疗保障信息化发展的安全底线。
《意见》中关于加强数据安全保护的相关要求:
1. 实施数据全生命周期安全管理
依法依规对数据的产生、传输、存储、使用、共享、销毁等实行全生命周期安全管理,强化个人隐私保护,采用适当的安全控制措施,确保安全合规,运用系统架构、技术手段对数据传输和数据存储进行安全加固,建立数据清除和销毁机制,防止数据泄漏风险。
闪捷“云管端”数据安全解决方案作为立体化的动态数据安全防护体系,可以从数据存储、处理、交换、传输不同阶段解决不同安全问题,全流程、广纵深防护HIS、LIS、PACS、EMR、CDR等医疗业务系统数据,取代单点防护模式,支持结构化和非结构化数据,形成覆盖医疗信息系统工作终端、数据库、大数据、应用程序和医疗机构自助服务终端的全栈数据安全能力,通过深度学习,聚类等人工智能方法进行敏感数据(个人健康信息)识别,协助数据管理员或系统管理员识别潜在安全隐患,如果威胁发生可以帮助溯源。
2. 实施分级分类 加强敏感重要数据保护
结合医疗保障数据特点,按照数据分级分类保护标准、规则,对数据划分安全等级,实行分级分类管理;制定保护目录,对列入目录的数据进行重点保护,涉及国家秘密的数据不予公开,并建立个人隐私数据、参保单位隐私数据、协议机构隐私数据、药品诊疗目录项目隐私数据等敏感数据字段库。
闪捷数据资产安全管理平台内置丰富的敏感数据特征库,同时可以自定义添加特定的敏感数据库,以满足医疗机构实际应用需求,通过敏感数据识别对比,从海量数据中自动发现敏感数据,确定敏感等级、数据类型、归属等,并通过智能算法绘制医疗网络敏感数据分布图谱;通过闪捷数据安全分级分类服务,形成医疗数据系统专属标签库,进而对内部高权限用户进行管理控制,对危险操作进行授权管理与访问控制,从而实现数据资产内部使用过程的风险控制,整体提高医疗系统数据资产安全。
3. 强化数据安全审批管理
严格执行数据处理和使用审批流程,按照“知所必须,最小授权”的原则划分数据访问权限,实施脱敏、日志记录等控制措施,防范数据丢失、泄露、未授权访问等安全风险。加强对数据共享(含交换、导出、开放)环节的安全管控,防止不经审批、不受控制的数据共享行为。
闪捷数据防泄漏系统通过从终端、网络、存储三个维度构建医疗信息系统多点数据安全防护体系,采用流程化的管理机制,对数据存储、使用、共享三大流转过程中的泄漏风险进行智能内容识别,为使用医疗机构核心业务信息系统内的资源时带来的数据安全问题提供防护手段,实时监控和拦截各种泄漏通道,设置黑白名单直接阻断明确的违规行为,控制外接设备敏感数据访问行为,根据目标、内容实现灵活安全管控,并对违规流量进行实时告警、隔离、加密等处置,特殊业务通过流程审批获取明文文件、密文外发文件,审批支持“会签”、“非会签”模式,极大的提高了审批流程的灵活性。
4. 落实数据安全权限 推动数据安全共享
明确各级权限,分离信息系统运维权限和经办业务角色,对不同角色设置不同权限。根据业务人员职责区分设置业务操作和数据查询范围,加强信息系统运维人员和经办业务人员权限管理,落实岗位安全职责;发挥数据生产要素作用,保障数据依法依规有序共享。建立先试点、后推广机制,强化医疗保障大数据运用,更好地服务医保政策制定和医保精细化管理,对于敏感数据需要落地到外部的业务场景,应做好脱敏处理,制定统一数据出口和统一销毁要求,建立严格的审批流程和数据交付流程。
闪捷数据安全治理服务通过环境构建、组织架构、风险评估、管理体系、体系运行、监控稽核等六大步骤,实现数据使用更安全。在保障医疗信息系统内数据资产正常使用,数据在各使用场景安全的前提下,基于数据安全风险管理标准和规范,为医疗机构数据安全建设提供治理体系,实现对数据全面、细颗粒的安全管控,可实现自动化敏感数据发现,并对敏感数据进行脱敏处理,避免敏感信息泄露,全面管理起整个数据系统安全事件的生命周期,满足医疗卫生行业的相关合规要求,保护个人健康信息。
5.建立健全数据安全风险评估机制
定期评估安全系统软硬件运行状况、制度执行情况、数据复制情况、告警或故障设备的数据保护状况、权限的审批收回情况、密码强度、外包服务中的数据保护管理情况、研发测试环境数据保护情况,对发现的问题及时整改。
闪捷数据安全风险评估可以通过提取医疗信息系统中核心数据文件,进行数据资产梳理,了解业务各环节数据流转情况,从资产识别、威胁分类、脆弱性识别、风险计算、处置建议等5个环节进行风险评估,根据评估内容选择安全控制措施,对发现的资产进行安全风险加固,从核心数据机密性、完整性和可用性三个方面对数据资产进行赋值和分析,通过不断持续优化完善,以期实现医疗信息系统基于数据安全风险评估的体系化建设。
关于闪捷信息:
闪捷信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据库审计、数据库防火墙、数据防泄漏、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。
