刘炜：武汉协和医院数据安全建设探索与思考

　　医疗数据的价值与风险并存，当前在全民健康信息化蓬勃发展的同时，医疗卫生行业面临的数据安全风险也逐日增多。华中科技大学同济医学院附属协和医院(简称“武汉协和医院”)信息与数据中心副主任刘炜在CHIMA 2024演讲中谈及数据安全时指出，“数据作为新型生产资料、生产要素，具有非消耗性、可共享性、自增值性的特点，数据资产可无限循环利用、价值可持续，并且数据的复制没有成本，数据越共享越挖掘价值越大，但安全就越复杂。”他强调，和传统网络安全不同，数据流动性决定了，我们不能把数据圈起来防护，数据安全的工作是打开数据流动限制，是为了更好的发展。医疗行业面临的不仅是传统的数据资产安全，而是多结构、多形式复杂流动的信息的安全保护集合。

　　近年来，国家陆续出台了多项数据安全相关法规与制度，主要包括《网络安全法》《数据安全法》《个人信息保护法》等。对此，刘炜认为：“三大法不分家，互为补充形成整体。数据安全本身是网络安全不可分割的一部分，在防范外部攻击方面是完全一致的。另外，我们做数据安全的时候要综合考虑数据的重要性和敏感性，对个人隐私数据的保护是其中最为重要的考量。”

探索数据安全治理

　　在刘炜看来，数据安全治理的关键点是通过一群有技能的人，遵循标准化的制度和流程，使用技术、工具和平台，保障运营中数据的安全，主要遵循以下5方面原则：遵循法律法规、行业需求；符合整体的数据发展战略；了解医院的业务现状和发展；清晰医院数据安全治理能力现状；实现安全、性能和成本间的平衡。

　　在进行数据安全治理规划设计时，武汉协和医院以网络安全为基础，加强了网络安全等保2.0标准下的安全能力建设和以“数据”为中心的安全治理体系建设，开展了数据安全制度建设、组织建设和人员能力建设，提升面向业务的可持续安全运营能力。

　　在数据安全治理框架方面，武汉协和医院按照ISO 27000系列标准要求，以网络安全等级保护2.0标准下的安全能力为基座，结合MSG及SDP纳管数据通信网络，设计了数据安全技术防护体系，开展基于实际业务场景和数据全生命周期的数据安全治理。

　　刘炜指出：“数据安全治理的最终目标是面向组织的全域数据资产开展，以实现对数据的充分利用、有效流通，以及最大程度发挥数据要素价值。但基于市场环境、组织现状、资源投入、技术因素等，组织需要分阶段、分层次地进行数据安全治理工作。”

七大步骤推进数据安全治理落地

　　刘炜介绍，在推进数据安全治理落地过程中，武汉协和医院采取了以下7个步骤。

　　第一步：组织建设。人是一切项目建设实施的必要条件，数据的流动性要求数据安全治理必须跨部门协作。武汉协和医院数据安全治理组织架构包括决策层、管理层、执行层、员工和合作伙伴、监督层。各业务部门通力合作，确保数据安全治理的有效实施。

　　第二步：现状摸底。这块工作主要包括两个重要内容：创建《数据资产台账》，这是开展数据安全治理的首要环节，通过分析发现医院的HIS、EMR、OA和官微等系统产生的数据是医院核心数据的典型代表；绘制《数据业务场景表》，对业务系统、业务流程、业务数据、用户权限等内容全面梳理，有效掌握数据流转情况。

　　第三步：数据分类分级。整个数据分级分类过程包括目标框定、资产调研、方法确立、标准制定、分类定级、成果输出等步骤，按照国家标准要求进行。数据分类分级参考依据包括国家层面文件、医疗行业层面文件、团体/地方层面文件和其他行业参考文件。武汉协和医院已完成HIS、EMR、官微等核心系统的分类分级工作，分类方面一、二类参考国家标准，三、四类结合业务现状；分级方面从医院维度和行业维度对数据分级，1-3级为一般数据，4-5级为重要数据，五级是参考国家标准的数据。

　　第四步：风险评估。以“数据”为视角，对数据处理活动风险(包括采集、传输、存储、处理、交换、销毁等环节)、数据安全技术风险、数据安全管理风险、个人信息保护风险等开展识别、分析和评价，形成《数据安全风险评估报告》。

　　第五步：核心能力建设。数据安全治理的核心在于持续改进，而持续改进的核心是能力建设。能力建设的关注点是数据治理的三个核心要素，分别是管理、技术和运营：建立制度规范体系，武汉协和医院共出台了11大核心制度文件；加强技术防护体系，主要包括通用技术和数据安全相关的技术；提升运营能力，加强运营安全的组织建设、能力提升和运行流程标准化。

　　第六步：支撑体系建设。通过建设数据安全监督审查管理体系和数据安全应急响应体系，提高数据安全的感知能力，通过建设数据安全态势感知和监测预警平台，保障数据安全措施的持续有效。

　　第七步：数据安全培训。《数据安全法》 要求每年至少进行一次全员数据安全意识培训，《网络数据安全管理条例》要求各机构每年进行20小时的数据安全培训，医院持续开展分层次的培训工作，培训对象包括决策层、安全管理团队、业务及运维团队和全体医护人员等，让大家明确数据安全的价值，重视数据安全，才能更好地保障数据安全。

　　在刘炜看来，数据安全治理不仅是保证安全，还能规范数据处理和使用的行为。不仅仅是在院内进行数据应用，更应该实现跨机构的数据安全开发利用。他建议：“对数据要素的开发利用，首要是开放。目前以机构为中心进行数据共享的方式，在实践中存在安全、隐私保护、确权等一系列问题。我们可以转变一种思路，以患者为中心，建立工业互联网+区块链的分布式可信数据开放体系把过去孤立、分散的私有化数据变成共权的公有数据，且完全由个人来管理，且可以跟踪到数据共享的全周期全流程，推动跨机构的数据安全开放共享。”

　　在演讲的最后，刘炜强调：“数据开发利用和保障安全要并重，不仅要促进数据的使用，更要保障安全。”