如何保障数据安全?|医院信息化百问百答

发布时间:2022-10-21
浏览次数:

  目前,CHIMA正在开展“百问百答”活动,根据已收集到的医院信息化管理者聚焦的关键问题,邀请CHIMA委员进行解答,以期通过专家的“分布式智慧大脑”,寻求破题思路。

  随着医院信息系统建设的深入,医院数据安全越来越重要,已成为当前非常紧迫的话题。对于数据安全保障问题,专家进行了解读。

  医院如何保障数据安全,守住安全底线?

  "专家A:

  数据安全因其具有隐秘性,出现问题被发现具有一定滞后性,导致看似安全底线不好守得住。其实不然,数据安全管理也是有其方法和流程的。首先,我们必须要清楚需要保护的数据资源有哪些、在哪里、谁负责、谁管理、管理措施有什么、措施是否有效,通过这些调研我们才能清楚当前的数据资产状况。

  其次,要明确哪些需要管,需要怎么管。这既是技术问题,也是管理问题,因此需要医院形成管理规定和文件,对各部门的责权利进行明确。当前很好的是卫生健康委下发了制度,明确了责任,有利于我们开展工作。

  第三,必须要有技术管理措施,也就是花钱买设备,花钱找技术人员来实施。这就是在前期调研基础上形成本单位数据安全管理技术方案,分步实施,最终通过一段时间的努力,达到最初的设计目标。

  第四,数据安全还是个动态管理的过程,我们要定期进行安全评估,分析当前的安全威胁,这样才能做到心中有数。这个动态管理既是每三个月进行,也需要在上新系统、结构发生变化等时刻进行新的安全评估。

  第五,要有固定的人员去做日常管理,这个人可以是信息科自己的工程师,也可以是购买的外包服务人员。无论是谁,对于这个人日常工作和能力的管理也是我们的工作。

  "专家B:

  数据安全保障需要设计一整套体系化的数据安全建设方案,从战略(法律法规、行业标准)、管理(制度、人员)、产品&技术、运维、服务多个方面综合考虑,落实数据安全建设工作,保障数据不被攻击和泄露。产品/技术包括:入侵防护、访问控制、动态脱敏、防勒索、审计。数据分类分级:加密、静态脱敏、水印、容灾备份等。

  "专家C:

  做好账户权限管理;做好双活、灾备和离线备份;安装数据库审计系统;终端准入管理;上安全设备达到等保2.0级别。

  "专家D:

  首先,针对数据存储过程中面临的未经授权访问数据、修改或破坏数据等安全问题,可通过高效的加密算法对数据进行加密,以保障数据的安全性;通过密钥管理服务,实现密匙全生命周期安全管理;通过存储复制、数据冗余和硬盘保护等多种策略保障数据安全。

  其次,针对数据传输过程中的安全问题,可采用数据基因技术构建完整的数据基因体系,确保数据传输过程中可溯源、可追踪、可关联,以保障传输数据的正确性;可利用加密传输,对数据进行加密传输并通过安全传输协议,保障数据传输安全。

  再次,针对数据访问环节中出现的恶意攻击与解密算法多样等情况,有可能造成数据的恶意非法访问,引发数据泄露、窃取、滥用等严重后果,可采用基于区块链等的新型访问控制及多因子认证机制对用户身份进行验证和授权。

  最后,针对数据使用的安全问题,可采用数据匿名化、数据脱敏等技术,保障数据在授权范围内被访问、处理,防止数据窃取、隐私泄露、损毁等安全问题发生。在数据销毁环节,常用的方法易造成数据销毁不彻底、数据内容被恶意恢复等情况,导致数据泄露等严重安全风险,因此,可采用数据关联销毁、软销毁与硬销毁结合的方式,彻底销毁或删除数据。

  "专家E:

  数据安全建设是一个体系建设,现在更多的是某个点上的要求。虽然国家、行业都出台了许多数据安全的文件要求,但针对医院数据安全,落地可实操的内容较少。需要从各方面共同发力。第一,要建立数据安全建设的组织架构,信息科有专人负责;第二,建立数据安全相关制度及技术规范要求,指导各业务系统进行相应改造,保障数据安全;第三,重点是把控好数据应用的流程。要建立相应的数据应用管理制度,数据应用有严格的审批流程,外出的数据要有脱敏、安全保密协议、回溯等相关机制约束。

  "专家F:

  做好信息科及全院的数据安全管理,按照《数据安全法》的规范来管理。同时,做好第三方公司的准入调研,签署保密协议。

  "专家G:

  做好数据备份和数据加密。

  "专家H:

  1.定期对员工进行培训,加强安全意识;2.对电脑等终端进行定期升级,减少漏洞,加强个体防护;3.加强服务器安全防护,对核心设备定期巡检、维护。