刘炜:武汉协和医院数据安全建设探索与思考

发布时间:2024-06-13
浏览次数:

  医疗数据的价值与风险并存,当前在全民健康信息化蓬勃发展的同时,医疗卫生行业面临的数据安全风险也逐日增多。华中科技大学同济医学院附属协和医院(简称“武汉协和医院”)信息与数据中心副主任刘炜在CHIMA 2024演讲中谈及数据安全时指出,“数据作为新型生产资料、生产要素,具有非消耗性、可共享性、自增值性的特点,数据资产可无限循环利用、价值可持续,并且数据的复制没有成本,数据越共享越挖掘价值越大,但安全就越复杂。”他强调,和传统网络安全不同,数据流动性决定了,我们不能把数据圈起来防护,数据安全的工作是打开数据流动限制,是为了更好的发展。医疗行业面临的不仅是传统的数据资产安全,而是多结构、多形式复杂流动的信息的安全保护集合。

1.jpg

  近年来,国家陆续出台了多项数据安全相关法规与制度,主要包括《网络安全法》《数据安全法》《个人信息保护法》等。对此,刘炜认为:“三大法不分家,互为补充形成整体。数据安全本身是网络安全不可分割的一部分,在防范外部攻击方面是完全一致的。另外,我们做数据安全的时候要综合考虑数据的重要性和敏感性,对个人隐私数据的保护是其中最为重要的考量。”

探索数据安全治理

  在刘炜看来,数据安全治理的关键点是通过一群有技能的人,遵循标准化的制度和流程,使用技术、工具和平台,保障运营中数据的安全,主要遵循以下5方面原则:遵循法律法规、行业需求;符合整体的数据发展战略;了解医院的业务现状和发展;清晰医院数据安全治理能力现状;实现安全、性能和成本间的平衡。

  在进行数据安全治理规划设计时,武汉协和医院以网络安全为基础,加强了网络安全等保2.0标准下的安全能力建设和以“数据”为中心的安全治理体系建设,开展了数据安全制度建设、组织建设和人员能力建设,提升面向业务的可持续安全运营能力。

  在数据安全治理框架方面,武汉协和医院按照ISO 27000系列标准要求,以网络安全等级保护2.0标准下的安全能力为基座,结合MSG及SDP纳管数据通信网络,设计了数据安全技术防护体系,开展基于实际业务场景和数据全生命周期的数据安全治理。

  刘炜指出:“数据安全治理的最终目标是面向组织的全域数据资产开展,以实现对数据的充分利用、有效流通,以及最大程度发挥数据要素价值。但基于市场环境、组织现状、资源投入、技术因素等,组织需要分阶段、分层次地进行数据安全治理工作。”

七大步骤推进数据安全治理落地

  刘炜介绍,在推进数据安全治理落地过程中,武汉协和医院采取了以下7个步骤。

  第一步:组织建设。人是一切项目建设实施的必要条件,数据的流动性要求数据安全治理必须跨部门协作。武汉协和医院数据安全治理组织架构包括决策层、管理层、执行层、员工和合作伙伴、监督层。各业务部门通力合作,确保数据安全治理的有效实施。

  第二步:现状摸底。这块工作主要包括两个重要内容:创建《数据资产台账》,这是开展数据安全治理的首要环节,通过分析发现医院的HIS、EMR、OA和官微等系统产生的数据是医院核心数据的典型代表;绘制《数据业务场景表》,对业务系统、业务流程、业务数据、用户权限等内容全面梳理,有效掌握数据流转情况。

  第三步:数据分类分级。整个数据分级分类过程包括目标框定、资产调研、方法确立、标准制定、分类定级、成果输出等步骤,按照国家标准要求进行。数据分类分级参考依据包括国家层面文件、医疗行业层面文件、团体/地方层面文件和其他行业参考文件。武汉协和医院已完成HIS、EMR、官微等核心系统的分类分级工作,分类方面一、二类参考国家标准,三、四类结合业务现状;分级方面从医院维度和行业维度对数据分级,1-3级为一般数据,4-5级为重要数据,五级是参考国家标准的数据。

  第四步:风险评估。以“数据”为视角,对数据处理活动风险(包括采集、传输、存储、处理、交换、销毁等环节)、数据安全技术风险、数据安全管理风险、个人信息保护风险等开展识别、分析和评价,形成《数据安全风险评估报告》。

  第五步:核心能力建设。数据安全治理的核心在于持续改进,而持续改进的核心是能力建设。能力建设的关注点是数据治理的三个核心要素,分别是管理、技术和运营:建立制度规范体系,武汉协和医院共出台了11大核心制度文件;加强技术防护体系,主要包括通用技术和数据安全相关的技术;提升运营能力,加强运营安全的组织建设、能力提升和运行流程标准化。

  第六步:支撑体系建设。通过建设数据安全监督审查管理体系和数据安全应急响应体系,提高数据安全的感知能力,通过建设数据安全态势感知和监测预警平台,保障数据安全措施的持续有效。

  第七步:数据安全培训。《数据安全法》 要求每年至少进行一次全员数据安全意识培训,《网络数据安全管理条例》要求各机构每年进行20小时的数据安全培训,医院持续开展分层次的培训工作,培训对象包括决策层、安全管理团队、业务及运维团队和全体医护人员等,让大家明确数据安全的价值,重视数据安全,才能更好地保障数据安全。

  在刘炜看来,数据安全治理不仅是保证安全,还能规范数据处理和使用的行为。不仅仅是在院内进行数据应用,更应该实现跨机构的数据安全开发利用。他建议:“对数据要素的开发利用,首要是开放。目前以机构为中心进行数据共享的方式,在实践中存在安全、隐私保护、确权等一系列问题。我们可以转变一种思路,以患者为中心,建立工业互联网+区块链的分布式可信数据开放体系把过去孤立、分散的私有化数据变成共权的公有数据,且完全由个人来管理,且可以跟踪到数据共享的全周期全流程,推动跨机构的数据安全开放共享。”

  在演讲的最后,刘炜强调:“数据开发利用和保障安全要并重,不仅要促进数据的使用,更要保障安全。”