|
为贯彻国家卫健委《关于印发医疗卫生机构网络安全管理办法的通知》)要求,切实推动阿勒泰地区医疗卫生机构网络安全保护工作有序开展,近日,新疆阿勒泰地区卫生健康委员会组织开展医疗卫生机构网络信息安全、密码应用安全、数据安全专题培训。   美创科技受邀参加,医疗行业解决方案专家田平以《医疗数据分类分级助力医院高质量发展》为主题,分享医疗数据分类分级安全体系建设实践。 培训中,田平提到,数据分类分级是医疗行业数据安全建设的起点,只有明确现有数据哪些是重要数据,哪些是一般数据,才能采取不同的数据安全策略保障,实现按需防护、分级防护,让数据在安全状态下实现有效的利用和价值释放。这不仅是《数据安全法》等法律法规、各省市卫健安全检查监管的明确要求,也是医疗数据广泛应用、互联互通、电子病历分级评价大背景下开展数据安全建设的有效方式。 目前,对于医疗卫生机构来讲,怎么开展、如何开展分类分级工作,普遍受限于缺乏标准指导、自动化工具、专业人才等。尤其在核心数据、重要数据识别与梳理、一般数据分类分级维度选择、数据安全等级定义问题上,医疗卫生机构普遍面临难点。 对此,美创认为做好数据分类分级需要两项专业技能:因为数据分类分级是数据安全建设的基础所以首先需要精通数据安全,其次数据是由业务产生,数据天然带有业务属性,所以想做好数据分类分级工作还必须精通医疗业务。美创科技在医疗行业深耕18年,有丰富的行业经验,结合两种经验已形成一整套方法流程、产品工具及专业安全团队。 数据分类分级实施路径 同时美创科技对标参考法律法规、国家行业标准,如《数据安全法》、《医疗卫生机构网络安全管理办法》、《国家卫生健康委规划司卫生健康行业数据分类分级指南(征求意见稿)》、《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》及其他行业地方标准等,形成切实可行的核心数据、重要数据识别模型。 对于医疗卫生机构普遍关注的分类分级结果如何指导数据安全措施落地实践,美创科技首次提出基于数据分类分级结果的医疗行业数据合规共享与敏感资产防护整体架构,在这个架构体系里,分类分级结果可有效解决数据合规共享(临床业务)以及敏感资产安全防护(内部管理)场景下的数据安全问题。
基于数据分类分级结果的医疗行业数据合规共享与敏感资产防护整体架构 例如:在临床数据合规共享场景中,帮助用户在医生画像、数据合规性检查、临床数据共享、政府数据上报等维度实现数据的合规性应用。
数据分类分级结果在临床数据合规共享应用场景 在敏感资产安全防护(内部管理)中,依据数据分类分级结果,建立相适应的安全管控策略。比如在医疗运维侧,通过分类分级结果有效管控运维侧工作人员对核心数据、重要数据的访问权限,对于一般数据中的敏感个人信息与特殊病种在访问时可以进行差异化访问控制。在医疗审计侧,原有数据审计只能审计到表、字段、数据与时间,基于数据分类分级结果后,除了能满足原有的审计对象外,还能审计数据的敏感度,对于核心数据、重要数据、敏感个人数据与特殊病种数据能实现更加精确化审计并告警。
数据分类分级结果在医疗运维侧应用场景 在新冠疫情数据安全防护方面,通过数据分类分级系统与数据库防火墙联动,解决网络边界被攻破后的业务边界的安全防护,以防止涉疫数据的泄漏。与数据库防水坝联动解决内部管理员与第三方维护人员对涉疫数据滥用与误用。与数据脱敏系统的联动解决涉疫数据在流动过程中的安全防护问题。
数据分类分级结果在涉疫数据安全防护应用场景 |
|
|
