此前一则新闻显示加利福尼亚州的一个学术医疗保健系统数据泄露,暴露近50万患者、员工和学生的信息,其中一名癌症患者的律师就数据泄露向健康中心提起诉讼,指控医疗保健系统违反合同、疏忽和违反加州消费者隐私与医疗保密法。
还有一名医护人员利用其在妇幼保健院工作的便利,在为新生儿办理出生证时,非法下载新生儿和产妇的个人信息,总量达8.9万多条,并将信息“转卖”给开设母婴服务中心以及经营摄影店的人,非法收取“好处费”5.64万元。
随着医疗信息化进程的推进、互联互通建设的深入、临床科研等需求的不断增加,医疗数据共享的范围和数据量持续扩大,无形中增加了医疗数据安全隐患,网络攻击、个人隐私泄漏等风险始终存在,如何加强数据安全保护,有效进行数据安全管理,夯实医疗信息化安全,是医疗机构应该考虑的问题。
加强制度建设,规范信息安全行为
一些医疗机构的内部人员缺乏合规意识,对数据安全责任不清晰,在系统使用过程中,容易导致患者数据泄露。为此,加强机构内部数据安全制度建设,规范医疗系统使用规范很有必要。
医疗机构应该以《网络安全法》《数据安全法》《个人信息保护法》等法律法规为基础,不断完善各项规章制度,严格规范系统使用行为;并注重内部人员的网络安全意识培训,完善各类人员安全责任制度,构筑全员安全堡垒,尽可能减少系统数据泄露等事件发生的可能性。医疗机构通过健全规章制度、责任制度,不断加强数据安全管理建设,才能逐步实现数据安全管理的“规范化、制度化、程序化”。
夯实系统运行基础,强化安全防护
大数据的实时处理和分析,提高了医疗机构的服务能力和工作效率,但机构若因为采用的系统不符合网络安全、核心数据管理的要求,也可能让医疗机构面临违规、受罚的风险。所以医疗机构要从源头上保证系统的安全,推动构建可信的信息安全体系。
医疗机构可以借助尚医智信医疗信息系统,构建安全、可靠的运行体系。医疗信息系统所有前端访问均采用安全网络协议https,这就保证了浏览器和服务之间能使用一种非对称加密的方式通信,有效保护数据隐私以及信息安全。而且所有接口都必须携带加密凭证才能访问后端。为了实现所有接口的高安全性,系统后端采用微服务网关控制,审计所有接口访问权限,防止客户端盗用链接后,直接通过爬虫等工具获取后端敏感数据。
系统的数据范围及数据字段访问权限可根据应用场景灵活配置,赋予不同人不同权限,确保数据传输网络安全。研发人员没有访问客户环境的权限,杜绝了通过公司内部人访问客户环境和数据的可能性。而且客户生产环境和公司内部测试研发环境网络隔离,保障客户环境的安全稳定。系统还支持多种敏感数据识别规则,保证医疗机构所有患者的数据更安全。
精准定位系统问题,构建问题解决方案
为确保能在第一时间发现并解决好医疗数据安全问题,借助大数据分析平台,实现威胁监测、预警、响应处置、可视化决策一体化管理,也是重要的手段。
THC Dashboard监控仪表盘,可以精准筛查客户端在指定时间段内的异常状态,通过综合分析用户请求状态及响应延时,精确锁定客户端的问题,并做出快速响应。SaaS服务采用多云容器化架构部署,能通过可视化方式展示资源的分布及使用率,平台可根据租户的业务量快速进行资源调度,保障业务系统运行稳定。THC Dashboard & Monitor正在开发危机预警功能,将为医疗机构构建起强大的问题解决方案。
请求实时分析
当前,医疗信息安全建设尚在路上。医疗机构应该持续完善制度建设,加强系统安全防护,保障基础环境安全。另外,机构还要提升网络安全风险应对及应急处置能力,筑牢医疗信息技术安全防线,推动医疗机构高质量发展。
