🔥 热搜 🔥
11'"1'123456kN朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻张靓颖抖音鱿鱼游戏朱令
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
11'"1'123456kN朱令去世一周年,清华学子控诉清华在朱令案中的冷血和无耻张靓颖抖音鱿鱼游戏朱令
分类
社会娱乐国际人权科技经济其它
查看原文
其他

数据安全和数据治理是医院数据资源利用的“两翼”

孙鹏 HIT专家网官微 2022-11-03
收录于合集
#网络安全 61 个
#数据安全 25 个
#数据治理 12 个
导读

从医院IT治理到数据治理,医院信息化正从以建设信息系统和业务应用为主,转变为以数据资源利用为关注焦点。


CHIMA副主任委员薛万国致辞
“与各行各业一样,医疗机构本身就是依托数据开展业务的单位。医疗数据已从一种资源上升到资产。那么如何把数据的价值发挥出来?其中两件事非常重要,一是怎样保证资产的安全,二是如何通过一系列开发、管理把资产价值发挥出来。因此,如果把医院整个数据资源利用比作一架飞机,那么数据安全和数据治理就是飞机的两翼。”解放军总医院医疗大数据中心主任薛万国说。
11月8日,中国信息协会信息安全专业委员会2019年年会暨首届中国数据安全和治理高峰论坛在京举行。该峰会由中国信息协会信息安全专委会主办,杭州美创科技有限公司(简称:美创科技)承办,中国医院协会信息专业委员会(CHIMA)、《信息网络安全》杂志、安全牛、《信息安全与通信保密》杂志社机构协办。来自中央部委、专家学者、金融、医疗、能源等行业机构的CIO、CSO等500余位代表就“数据安全和数据治理”话题展开多维度探讨。
CHIMA副秘书长、解放军总医院计算机室主任刘敏超主持论坛
除上午主论坛外,下午还设置了5个平行分论坛。其中,在由CHIMA协办的“医院数据安全和数据治理论坛”上,七位嘉宾围绕医院数据治理和数据安全展开经验分享。该论坛由解放军总医院计算机室主任刘敏超主持,CHIMA副主任委员薛万国发表致辞。

医疗健康数据是国家“重要数据”组成部分之一

“在医院场景下,患者数据都是高度敏感的。除了含有大量个人信息外,从国家数据安全管理角度而言,有很大一部分健康医疗数据还关系到国家公共安全。但是目前我国对这些‘重要数据’还没有一个清晰的定义,对包括健康医疗数据在内的重要数据资源进行管理时,还缺少必要的标准和规范。”中国信息安全研究院副院长左晓栋表示,我国颁布的《网络安全法》第三十七条最早出现了“重要数据”,相应的管理制度是“数据出境安全评估制度”。而在2018年,国家卫生健康委发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》(国卫规划发〔2018〕23号)中提出的数据境内存储要求,就是来源于《网络安全法》第三十七条。除此之外,一些新出台的数据安全国家政策也都对“重要数据”提出了相关管理规定。同时,越来越多的行业监管政策和网络安全政策也都指向了“重要数据”的概念。
中国信息安全研究院副院长左晓栋
据介绍,国家相关部门正在推动《重要数据识别指南》制定工作。2019年3月,中央网信办网络安全协调局提出要求,制定《重要数据识别指南》,为国家数据安全管理工作提供支持。2019年9月,全国信息安全标准化技术委员会下达了具体任务。“我们的研究目标是给出各类重要数据对国家安全、公共利益之所以重要的理由。例如,地图信息是如何影响国家安全的?信息系统拓扑图是如何影响国家安全的?重要场所的安保信息是如何影响公共利益的?”左晓栋表示,制定的标准更倾向于说理,即解释这些数据与国家安全、公共利益的关系,总计类型应当小于28种。同时,“重要数据”将不会按照行业划分,而是按照数据的作用划分,因为行业划分并不能体现重要数据的“重要性”。

医院数据安全建设要面向全业务场景

“从我认为医院信息安全和数据安全能够在自己掌握范围内,到开始感觉我们正行走在刀尖上和正处于高危行业,开展医院数据安全工作已经到了不得不做的地步。我们需要借助第三方工具或提高自身防护能力。”盛京医院计算机中心主任全宇表示,该院数据量很大,电子病历数据将近50TB,影像数据达到500TB,随着持续推进无纸化工作,医疗数据越来越多,这给医院信息化建设造成“内忧外患”。一方面,IT运维问题越来越突出,数据库管理手段缺失,容灾也出现很多问题;另一方面,医院业务系统的测试开发环境下的敏感数据安全无法保障。据了解,在美创科技帮助下,该院上线了运维平台,实现了资源全面监控、故障精准定位、异常实时告警等功能。在数据库管理方面,采用运维授权和审计到人的模式。同时,采用数据库日志同步、物理复制等灾备技术手段,部署容灾切换系统,进行有效的容灾演练。在数据脱敏方面,也实现了数据脱敏后依然保持业务数据间的逻辑关系。
盛京医院计算机中心主任全宇(左)、美年大健康集团信息中心副总经理刘中常
“100%的安全现在是不存在的,这是一种矛与盾的交锋,我们要更多注重的是成本和安全收益的平衡。”美年大健康集团信息中心副总经理刘中常表示,美年大健康的信息安全此前存在诸多痛点,比如多网点连锁机构、多数据中心、网络链路复杂、应用系统多、海量数据、人员流动情况较多等。在此背景下,在美创科技的帮助下,美年大健康规划形成了整体解决方案,并部署了信息安全主动感知平台、数据库管控平台等。具体来看,首先建立了信息安全体系,包括信息安全组织机制、培训、审计、安全响应机制、应急预案、奖惩制度等。然后再具体落实到终端安全、网络安全、应用安全、数据安全以及数据中心本身的安全等方面。目前,美年大健康的信息安全重点落实在两端,一方面是总部数据中心和云端数据中心,包括勒索病毒防护、核心文档保护、数据库防攻击、大屏监控、渗透测试等;另一方面是门店端,包括勒索病毒防护、核心文档保护、数据库防攻击、数据库文档保护。同时,考虑到美年大健康具有医疗机构和服务机构的双重属性,所以在门店端进行了三网隔离。
解放军总医院医疗大数据中心主任薛万国(左)、美创科技技术总监张建林
“数据流动才会产生价值,但一旦流动起来,面临的风险也更高。如何去保证医院动态数据安全?”美创科技技术总监张建林表示,医院的数据流动存在于10个业务场景,在院内相对可控,包括开发测试、培训教育、临床数据中心、运营管理中心、向终端流动等场景;而院外风险更大、相对失控,包括数据交换、数据上报、远程医疗、远程运维、增值业务等场景。这些场景可以总结为数据流动的六大风险,即敏感数据认知、敏感数据在非安全网络传输、敏感数据流动到弱安全区域、从非安全区域直接访问敏感数据、身份盗用、假冒和验证绕过、数据泄露很难追踪等。针对风险,美创科技用4个流动数据保护应对策略:一是数据安全治理,二是内置安全,三是源端控制,四是审计溯源。基于4个策略采取不同的场景化保护方案。

医院数据治理要建立“技术+管理”体系

“我们在医疗大数据的开发利用过程中经常听到对数据治理的描述,但在不同语境下,其实大家所讲的数据治理的内涵并不一样。关于数据治理本身的概念也是众说纷纭。”解放军总医院医疗大数据中心主任薛万国表示,从医院IT治理到数据治理,医院信息化正从以建设信息系统和业务应用为主,转变为以数据资源利用为关注焦点。同时,医疗数据资源很大程度上以临床科研利用为主,也包括医疗质量、绩效评价等管理应用。数据治理的概念很多,但从根本讲,其核心内涵是以数据资产为中心,维护和提升数据资产的价值。从语境上看,又可以分为狭义治理和广义治理,分别侧重于技术和战术,以及管理和战略层面。其中,医疗大数据的狭义治理是应用技术手段经过一系列过程,把原始数据转变为可分析利用的数据。具体内容包括数据整合、数据规范化、错误纠正、特征提取等,这一过程不是一蹴而就,而是随研究的开展逐步进行。医疗大数据的广义治理则是从组织架构、管理制度、系统建设、操作规范、绩效考核等多个方面建立管理体系,目的是提高数据质量、保证数据安全、促进数据共享利用,主要内容包括组织架构、数据权益、数据安全、患者隐私保护、数据质量等。
暨南大学附属第一医院信息科科长吴庆斌(左)、美创科技资深产品经理杭亮
“数据管理不只是搭建一个数据管理平台,实现一个软件功能,而是建立一个服务的体系,要通过人、流程以及制度来实现。”暨南大学附属第一医院信息科科长吴庆斌表示,数据管理包含数据治理,治理是整体数据管理的一部分。数据管理是业务部门与IT部门共同的职责,需要有明确的组织框架。对于医院数据管理而言,需要建立起整个服务体系,通过数据质量管理的整个顶层设计,按照PDCA不断持续改进数据的质量。首先,要进行数据的规划,结合医院信息化的规划,做三年、五年甚至以后的战略规划以及落地结构。其次,要建立一些节约式计算的数据中心,把基础打牢,而且要把不同的数据资源和计算资源进行合并。再次是管理,要有标准、规矩、制度和服务。而在把数据质量做好后,还要考虑如何去深化加工,挖掘数据更大的价值。最后要在安全的基础上公开数据和共享数据,以数据开放驱动应用创新。
“随着医院信息化不断推进,医院所面临的数据安全风险也越来越大。医疗数据安全与其他行业相比有其特殊性,它是唯一一个内部数据安全风险大于外部数据安全风险的行业。事实上,在医院里85%的数据都是暗数据。”美创科技资深产品经理杭亮表示,暗数据是指组织在常规的业务活动中收集、处理和存储,但通常无法用于其他用途的信息资产。那么,如此之多的暗数据存在,就意味着医院其实对于数据不能建立全面的认知。美创科技的理念是通过数据去认识数据。暗数据发现流程有4个步骤:探查和定位数据、扫描并发现数据、梳理数据关系和数据分类分级。与之对应的,美创科技的数据安全治理核心理念主要是场景化安全、角色授权、数据分类分级等三部分,可提供暗数据发现、可视化报表、系统对接等解决方案。
达梦数据库、深信服、深圳联软、天地合兴等企业一同出席此次峰会。同时,在由主办方组织的“2019大数据安全优秀案例评选”中,奇安信、深信服、卫士通、美创科技等12家安全企业,经专家集体评议获得最佳实践案例及创新应用案例奖项。
美创科技总经理柳遵梁表示:“数据安全是数字经济发展过程中无法回避的问题,随着国内外几次重大安全事件的爆发,现在越来越多的机构已经认识到数据安全问题的重要性,开始防微杜渐,防患于未然。在过去几年里,我们接到的客户咨询呈几何级增长,这促使我们开始尝试站在更高维度,以全局性目光看待问题,帮助客户寻找解决方案。我们呼吁产业链上下游更多力量一起协同作战,尽可能为用户提供符合政策要求,满足行业监管要求、解决用户业务问题的解决方案。



近期热门文章


HIT专家网∣致力推进中国卫生信息化

想加入HIT专家网专业交流群吗?

请添加“HIT专家网”小助手微信好友

(请务必注明姓名、单位名称、职务、主管技术或产品领域等实名信息)

微信订阅号:HIT180com

微信服务号:chinaHIT

投稿:tan_xiao@hit180.com

商务合作:(010)82373062



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存