浅谈医保行业合规视角下的数据安全建设思考
近日,国家医保局官网发布《医疗保障法(征求意见稿)》向社会公开征求意见,加之4月6日印发《加强网络安全和数据安全工作指导意见》,都体现出医保法制建设不断加快、数据安全合规要求不断明确。
《医疗保障法(征求意见稿)》第四十七条明确指出:“国家建立全国统一的医疗保障信息系统,推动数据有效共享、运用,实施大数据实时动态智能监控,规范数据管理和应用权限,保护信息和数据安全。定点医药机构有关信息系统应当与医疗保障信息系统进行对接。”可以预见,伴随着全国范围医保信息互联互通,数据大量汇聚以及高质量数据产生的价值必将吸引更多的攻击威胁。而定点机构与医保系统之间进行对接产生的数据共享场景也将面临非法访问、数据泄漏等风险。
01
围绕数据全生命周期的安全管理
依法依规对数据的产生、传输、存储、使用、共享、销毁等实行全生命周期安全管理。强化个人隐私保护,采用适当的安全控制措施,确保数据的产生、采集和汇集过程合规、安全。采用适当的系统架构、技术手段对数据传输和数据存储进行安全加固,确保数据安全和高效可用。建立数据清除和销毁机制,防止因存储介质上数据内容的恶意恢复而导致的数据泄露风险。
数据安全是个复杂的问题,单靠技术手段无法完整解决,需要用数据安全治理的理念进行体系化建设。多年来,天融信在实践中逐步完善以数据为核心的安全体系架构 ,从“治理评估、组织建设、管理建设、技防建设、人员管理”等多角度入手,围绕数据的全生命周期,将数据安全分类分级、数据标签、数据加密、数据访问控制、数据防泄漏、数据脱敏、容灾备份等多种数据安全技术措施与现有安全防护手段相结合,构建全方位的数据防护体系,为众多医保局客户提供先进、可行的数据安全体系咨询及方案落地服务。
02
分级分类管理、落实数据安全权限
建立健全数据安全风险评估机制
建立数据清除和销毁机制,防止因存储介质上数据内容的恶意恢复而导致的数据泄露风险。制定统一的分级分类管理制度,按照数据分级分类保护标准、规则,对数据划分安全等级,实行分级分类管理。
明确各级权限,分离信息系统运维权限和经办业务角色,对不同角色设置不同权限。根据经办业务人员职责区分设置业务操作和数据查询范围。设置安全保密管理员、安全审计员和系统管理员等岗位。加强信息系统运维人员和经办业务人员权限管理。
定期评估安全系统软硬件运行状况、制度执行情况、数据复制情况、告警或故障设备的数据保护状况、权限的审批收回情况、密码强度、外包服务中的数据保护管理情况、研发测试环境数据保护情况,对发现的问题及时整改。
03
重要数据和敏感字段的保护
共享交换过程数据安全风险
制定重要数据保护目录,对列入目录的数据进行重点保护,涉及国家秘密、工作秘密的数据应严格保密,不予共享及公开。建立敏感数据字段库,包含但不限于个人隐私数据、参保单位隐私数据、协议机构隐私数据、药品诊疗目录项目隐私数据等。
在保障数据安全的前提下,稳妥推动数据资源开发利用,发挥数据生产要素作用,保障数据依法依规有序共享。对于敏感数据需要落地到外部的业务场景,应做好脱敏处理,制定统一数据出口和统一销毁要求,建立严格的审批流程和数据交付流程。
《数据安全法》中明确规定“各部门应当按照数据分类分级保护制度,确定本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
04
强化数据安全审批管理
按照“知所必须,最小授权”的原则划分数据访问权限,实施脱敏、日志记录等控制措施,防范数据丢失、泄露、未授权访问等安全风险。
落地数据访问权限控制,防范数据丢失、泄露、未授权访问等安全风险需要考虑网络、终端和数据库等不同区域。天融信网络数据防泄漏系统通过纯透明代理、正/反向代理、路由模式、探针形式等多种部署形态,对SMTP、Http/Https、FTP、SMB、IM等网络传输协议以及Restful接口传输数据进行抓取,内置关键字、指纹库、数据标识符、权重词典、机器聚类等多种敏感数据定义手段,基于深度内容识别技术,对传输数据进行过滤,对违规传输行为进行告警、审计、阻断、审批等多种响应动作。
相·关·阅·读·
1
2
《数据安全法》表决通过!
3
天融信携手盈科,共推数据安全合规治理
4
天融信入选 IDC 2021年《中国数据安全市场研究》报告
5