李巍:刍议医疗信息安全

　　伴随医疗信息化系统的广泛应用，数据已成为医院等医疗机构发展的重要资产，同时，医疗数据因包含病例、处方等大量医患信息，也面临着敏感信息管理方面的重重难题。医院信息安全建设有一个基本原则，那就是目标导向，要对结果和效果负责。基于这一原则，安全建设要围绕核心业务和核心数据展开。与同行有过一些讨论，觉得有几个点可能比较容易忽视(或者是做起来很容易有概念混淆)，因此分享出来、以飨读者。

信息安全架构与产品思考

　　国内安全行业中，无论甲乙方，很多人对待各种安全理论框架的态度，似乎都是一种产品思维，而不是架构思维的。

　　产品思维，多是基于现有的产品、解决方案、技术措施、管控流程等，寻找可以“套”进去的理论体系，来证明自己的可行性、先进性，是有理论指导实践的，再对应的做一些差距补齐。

　　架构思维，讲的是一个事情应该怎么想，应同时在做规划过程中，该怎么做，哪些可以做，哪些优先做，是一个逐层解构、逐项分工、滚动落地、持续改进的PDCA过程。这个过程中，理论体系的真正作用，更多是一个内部认可的统一方法论，而非一个功能、流程的映射表。

　　这种对待理论框架的态度偏向性，导致我们看到的安全产品、工具、管控措施、运营机制、流程制度，甚至是人员的培养等等，普遍存在很明显的体系化程度低、适应性能力差等问题。院方安全建设买了一大堆产品，用了一大堆服务，做了一大堆事，却总是感觉实际成效不可证明、不可解释，最终沦为“救火队员”，还常被乙方吐槽啥也不懂，就知道不能出事，出事背锅，难伺候。

　　笔者的理解，用架构思维解决一系列的基础性问题，用产品思维，用工具去解决几个特定场景的问题。

　　毫无疑问，产品思维更受欢迎，因为风险更小，成本更低，场景更聚焦，成功机会自然也越高，这也是越来越受推崇的，所谓的“快速试错、先做后说”的文化：如果失败了，那就快速转向，再试一次。

　　而架构思维的劣势在于，做一个平台架构并不会马上带来成功，平台需要杀手级应用才能体现它的优势，或是等到产品到天花板。

　　在做具体场景的快速落地的同时，我们如何做抉择?

理解业务需求

　　信息安全工作是为业务服务、为业务增长服务的。这个理念很多人都认同，但实际做起来可能千差万别。我不止一次地回答过这类问题：“我们医院要做信息安全了，大家有什么产品推荐吗?”一定要把“一上来就想着用什么产品”这个观念从脑海中摒弃掉。首先要厘清医院信息系统的业务本质是以各科室业务需求为导向，以病人为中心，以“质量，安全、服务、效率”四个关键维度为核心的信息化建设项目，促进临床诊疗、医疗管理与质量控制的可持续改善，建立健全医院运营管理体系，实现运营与医疗的高效协同。医院的业务系统有哪些，需要我们统筹规划顶层设计信息安全时，自己心中有数。为了更好的理解，我们首先厘清概念，什么是信息安全、网络安全、数据安全。

安全术语及适用场景

　　1.基于IATF框架医院的业务网络规划

　　信息保障技术框架(Information Assurance Technical Framework，IATF)是由美国国家安全局(NSA)制定并发布的，一系列保证信息和信息设施安全的指南，为建设信息保障系统及其软硬件组件定义了一个过程，依据所谓的纵深防御策略，提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。限于篇幅原因，这里不做深入赘述。基于某院的业务场景，初步梳理了业务网络参考图。

业务网络参考图

　　业务域在划分时要遵循以下安全原则。

　　(1)等级保护原则：业务域的划分要做到每个域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。

　　(2)生命周期原则：域的划分不仅要考虑静态设计，还要考虑未来的变化，要预留扩展空间。

　　(3)结构简化原则：域划分的直接目的和效果是要将整个网络变得更加简单，简单的网络便于设计防护体系。

　　(4)业务保障原则：划分域的根本目标是更好地保障承载的业务能够正常进行。在安全的同时，还要保障业务的正常运行和运行效率。

　　依据医院信息化建设项目的业务域的划分，结合在医疗行业的IT建设经验，将医院业务系统重新划分，总体安全网络拓扑图所示。

　　2.数据安全治理

　　在医疗机构数字化转型过程中，医护、患者、公卫以及科研人员等各方对于数据利用和共享的需求日益强烈，数据共享流通更加频繁，数据集中处理、广泛共享、交叉使用成为刚性业务需求。同时对医疗机构的数据安全防护能力提出新的要求。医疗数据安全治理是从业务到安全、从管理到技术、自上而下全方位与体系融合的综合性专题建设。那么数据安全在医院中怎么做?我的建议如下：

　　(1) 无纸化

　　将所有业务过程推上系统，先完成信息化过程。信息科作为医院的信息枢纽，有优势完成医院数字化转型，提升工作有效性。

　　(2) 流程化

　　在第一步的基础上，配合、推动医院的流程标准化、规范化进程，实现各种数据流转、存储、应用、备份、销毁的流程化、标准化。

　　(3) 安全嵌入

　　在各类系统、服务中嵌入安全手段、工具，实现数据安全控制措施的服务化，实现系统、服务的架构标准化，提升数据安全控制措施的效率。

　　(4) 数据分类

　　通过对医疗有效分级分类，避免一刀切的控制方式，对数据安全管理更加精细。参考《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)。

数据分类与范围

　　(5) 数据分级

　　根据医疗数据重要程度、风险级别、可能造成的损害以及影响的级别，可以将数据分为以下五个安全级别，五级数据的安全防护要求最高。

　　参考模板如下：

小结

　　信息安全建设之路任重而道远，包含的内容实在是非常的多和广。由于篇幅原因，下篇文章将继续讨论，安全文化建设、安全项目建设、安全基准等，希望信息人在做事时，要尊重客观事实，要多换位思考，要对实际环境的复杂性有所敬畏。大家一起脚踏实地做事，努力修成正果。

　　作者简介

　　李巍，秦皇岛市妇幼保健院医疗设备与计算机服务中心副主任，河北省信息学会委员，河北省中医信息学会委员。作者观点仅代表个人，纯属技术交流，与供职单位无关。