首 页徐州医科大学附属医院:基于DSMM数据安全能力成熟度模型的医疗数据安全建设与应用
导语
徐州医科大学附属医院(简称“徐医附院”)荣获中国信息通信研究院及泰尔实验室颁发的数据安全能力成熟度模型(DSMM)二级认证,成为全国首家通过国家级数据安全能力建设认证的医疗机构。
构建安全高效的医疗数据环境
在医疗数字化不断进步的当下,确保健康医疗数据的安全性和隐私保护显得至关重要。随着“互联网+医疗健康”和智慧医疗的迅猛发展,新服务和新应用不断涌现,健康医疗数据在数据生命周期的每一个环节都面临着前所未有的安全考验,这些安全挑战要求徐医附院采取相应的措施来应对。目前,国内各家医院均在积极加强数据安全能力建设,但在整体的数据安全建设理念和方法上仍处于探索阶段,特别是在HIS、EMR、PACS、CDR等医疗核心业务系统的全生命周期保护方面,缺乏全面的防护方案。
对此,徐医附院信息处处长祖洁强调:网络安全和数据安全是一切医疗行为的基础,抛开安全谈业务都是空中楼阁。
徐医附院积极响应国家的号召,以《GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型》作为行动的指导和评估准则,致力于全方位提升医院的医疗数据安全水平。通过实施这一策略,徐医附院不仅确保了患者信息的安全,而且在推动国家医疗数据安全进程中起到了示范作用,成为行业的典范。
在本项目实施过程中,徐医附院遵循国家标准中提出的数据安全能力成熟度模型(DSMM),结合医院实际情况,从组织建设、制度流程、技术工具和人员能力四个维度进行综合考量,帮助医院构建一个更加安全、高效的医疗数据环境。
建设全方位数据安全体系
为了遵循落实DSMM数据安全能力成熟度模型标准要求的数据安全建设能力,徐医附院数据安全体系建设整体框架如下:
建设内容包含四部分:数据安全制度体系、数据安全全生命周期保护、数据级容灾架构和数据安全运行监控能力,它们以徐医附院医疗数据资产为中心,访问身份为边界,实现数据安全、容灾备份、运行管理的整体数据安全全域建设。
(1)构建规范化的数据安全制度管理体系
在不断探索数据潜力以提升服务质量、工作效率及满足发展需求的同时,徐医附院亦致力于确保健康医疗数据在使用过程中的合法性与合规性。医院重视保护个人信息安全、维护公众利益以及保障国家安全。为此,医院通过建立标准化的制度和管理体系来加强数据安全。作为健康医疗数据的管理者,医院必须实施合理且恰当的管理措施和技术保障,以确保健康医疗数据的保密性、完整性和可用性。
(2)构建基于分类分级的数据安全全生命周期保护能力
作为数据安全建设的基石,分类分级工作至关重要。徐医附院参照《卫生健康行业数据分类分级指南》,对HIS、EMR、CDR等核心信息系统进行了详细的数据资产梳理。通过这一过程,徐医附院确定了不同数据字段和表格之间的关系,形成了数据画像,解析了数据的具体含义,并分析了数据的业务类型。这些工作为实施数据分类分级保护奠定了坚实的基础,有助于在确保数据安全的同时,释放数据的潜在价值。此外,这些信息还为数据采集、传输加密、存储、脱敏处理等数据安全措施的精细化策略制定提供了重要的参考依据。
(3)构建数据级容灾架构
为确保医院在医疗信息化建设中的基础安全保障和容灾建设,徐医附院遵循电子病历系统应用水平分级评价、互联互通标准化成熟度测评以及智慧管理分级评估等相关要求,对高耦合性的医疗业务系统实施了数据级容灾架构,制定了详尽的核心业务系统的容灾方案,以最大程度地减少因外部不可抗力因素导致的数据损失和业务中断,确保数据安全和业务连续性。同时,徐医附院还具备灾备库的可用性验证能力,通过桌面演练功能,在不影响生产数据库的情况下,验证灾备库的可用性。此外,徐医附院通过定期的容灾演练,为院内医疗系统的切换流程提供了改进和优化的依据,确保在灾难发生时能够迅速且有效地进行切换。
(4)构建数据安全运行监控的感知能力
徐医附院搭建了数据安全统一管控体系,实现对各类安全设备集中管控和策略联动,对数据安全态势进行分析和呈现,为数据安全运营管理提供支撑,推动数据安全策略、机制持续改进。通过完善数据分类分级、内部风险操作管控、外部入侵防御、业务连续性保护、流动数据安全等场景下的数据安全保护技术手段,有效保障医院数据资产的安全和业务系统持续稳定运行。
构建医疗数据安全防护生态
经过此项目的实施,徐医附院建成了切实可行的数据安全能力体系。同时,通过数据分类分级、风险评估、能力建设等,医院全面摸清院内的数据现状,实现了对敏感数据的精准保护,能够根据医疗卫生健康数据的敏感程度、重要程度进行分级保护,方便医院更有针对性地保护医疗敏感信息,减少数据安全风险,满足国家政策以及行业合规的要求。徐医附院基于该项目申报了工信部2024年网络安全技术应用典型案例,获试点示范单位,在全国率先实现了围绕医疗信息系统、电子病历系统的标准化数据安全全生命周期流程管理,建立了医疗数据安全防护生态,从制度上、技术上、人员上、管理上推动了全院乃至医疗行业的健康发展,也为其他医疗机构提供了科学数据安全能力建设方法。
作者简介
李满堂,徐州医科大学附属医院信息处工程师
