李巍:刍议医疗信息安全
伴随医疗信息化系统的广泛应用,数据已成为医院等医疗机构发展的重要资产,同时,医疗数据因包含病例、处方等大量医患信息,也面临着敏感信息管理方面的重重难题。医院信息安全建设有一个基本原则,那就是目标导向,要对结果和效果负责。基于这一原则,安全建设要围绕核心业务和核心数据展开。与同行有过一些讨论,觉得有几个点可能比较容易忽视(或者是做起来很容易有概念混淆),因此分享出来、以飨读者。
信息安全架构与产品思考
国内安全行业中,无论甲乙方,很多人对待各种安全理论框架的态度,似乎都是一种产品思维,而不是架构思维的。
产品思维,多是基于现有的产品、解决方案、技术措施、管控流程等,寻找可以“套”进去的理论体系,来证明自己的可行性、先进性,是有理论指导实践的,再对应的做一些差距补齐。
架构思维,讲的是一个事情应该怎么想,应同时在做规划过程中,该怎么做,哪些可以做,哪些优先做,是一个逐层解构、逐项分工、滚动落地、持续改进的PDCA过程。这个过程中,理论体系的真正作用,更多是一个内部认可的统一方法论,而非一个功能、流程的映射表。
这种对待理论框架的态度偏向性,导致我们看到的安全产品、工具、管控措施、运营机制、流程制度,甚至是人员的培养等等,普遍存在很明显的体系化程度低、适应性能力差等问题。院方安全建设买了一大堆产品,用了一大堆服务,做了一大堆事,却总是感觉实际成效不可证明、不可解释,最终沦为“救火队员”,还常被乙方吐槽啥也不懂,就知道不能出事,出事背锅,难伺候。
笔者的理解,用架构思维解决一系列的基础性问题,用产品思维,用工具去解决几个特定场景的问题。
毫无疑问,产品思维更受欢迎,因为风险更小,成本更低,场景更聚焦,成功机会自然也越高,这也是越来越受推崇的,所谓的“快速试错、先做后说”的文化:如果失败了,那就快速转向,再试一次。
而架构思维的劣势在于,做一个平台架构并不会马上带来成功,平台需要杀手级应用才能体现它的优势,或是等到产品到天花板。
在做具体场景的快速落地的同时,我们如何做抉择?
理解业务需求
信息安全工作是为业务服务、为业务增长服务的。这个理念很多人都认同,但实际做起来可能千差万别。我不止一次地回答过这类问题:“我们医院要做信息安全了,大家有什么产品推荐吗?”一定要把“一上来就想着用什么产品”这个观念从脑海中摒弃掉。首先要厘清医院信息系统的业务本质是以各科室业务需求为导向,以病人为中心,以“质量,安全、服务、效率”四个关键维度为核心的信息化建设项目,促进临床诊疗、医疗管理与质量控制的可持续改善,建立健全医院运营管理体系,实现运营与医疗的高效协同。医院的业务系统有哪些,需要我们统筹规划顶层设计信息安全时,自己心中有数。为了更好的理解,我们首先厘清概念,什么是信息安全、网络安全、数据安全。
安全术语及适用场景
1.基于IATF框架医院的业务网络规划
信息保障技术框架(Information Assurance Technical Framework,IATF)是由美国国家安全局(NSA)制定并发布的,一系列保证信息和信息设施安全的指南,为建设信息保障系统及其软硬件组件定义了一个过程,依据所谓的纵深防御策略,提供一个多层次的、纵深的安全措施来保障用户信息及信息系统的安全。限于篇幅原因,这里不做深入赘述。基于某院的业务场景,初步梳理了业务网络参考图。
业务网络参考图
业务域在划分时要遵循以下安全原则。
(1)等级保护原则:业务域的划分要做到每个域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。
(2)生命周期原则:域的划分不仅要考虑静态设计,还要考虑未来的变化,要预留扩展空间。
(3)结构简化原则:域划分的直接目的和效果是要将整个网络变得更加简单,简单的网络便于设计防护体系。
(4)业务保障原则:划分域的根本目标是更好地保障承载的业务能够正常进行。在安全的同时,还要保障业务的正常运行和运行效率。
依据医院信息化建设项目的业务域的划分,结合在医疗行业的IT建设经验,将医院业务系统重新划分,总体安全网络拓扑图所示。
2.数据安全治理
在医疗机构数字化转型过程中,医护、患者、公卫以及科研人员等各方对于数据利用和共享的需求日益强烈,数据共享流通更加频繁,数据集中处理、广泛共享、交叉使用成为刚性业务需求。同时对医疗机构的数据安全防护能力提出新的要求。医疗数据安全治理是从业务到安全、从管理到技术、自上而下全方位与体系融合的综合性专题建设。那么数据安全在医院中怎么做?我的建议如下:
(1) 无纸化
将所有业务过程推上系统,先完成信息化过程。信息科作为医院的信息枢纽,有优势完成医院数字化转型,提升工作有效性。
(2) 流程化
在第一步的基础上,配合、推动医院的流程标准化、规范化进程,实现各种数据流转、存储、应用、备份、销毁的流程化、标准化。
(3) 安全嵌入
在各类系统、服务中嵌入安全手段、工具,实现数据安全控制措施的服务化,实现系统、服务的架构标准化,提升数据安全控制措施的效率。
(4) 数据分类
通过对医疗有效分级分类,避免一刀切的控制方式,对数据安全管理更加精细。参考《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)。
数据分类与范围
(5) 数据分级
根据医疗数据重要程度、风险级别、可能造成的损害以及影响的级别,可以将数据分为以下五个安全级别,五级数据的安全防护要求最高。
参考模板如下:
小结
信息安全建设之路任重而道远,包含的内容实在是非常的多和广。由于篇幅原因,下篇文章将继续讨论,安全文化建设、安全项目建设、安全基准等,希望信息人在做事时,要尊重客观事实,要多换位思考,要对实际环境的复杂性有所敬畏。大家一起脚踏实地做事,努力修成正果。
作者简介
李巍,秦皇岛市妇幼保健院医疗设备与计算机服务中心副主任,河北省信息学会委员,河北省中医信息学会委员。作者观点仅代表个人,纯属技术交流,与供职单位无关。
下一篇: 马丽明:顺生而行 向阳而生(下)