医疗行业是关系国计民生的重要领域,由于其特殊属性,我国对医疗信息安全历来重视,数据安全与个人信息保护的合规性要求也比其他行业更高。随着《数据安全法》表决通过,并于2021年9月1日起施行,《数据安全法》背景下,医疗机构如何加强数据合规体系建设,有哪些关键措施?成为热议话题。
近日,湖南省医学会医学信息学专业委员会 2021 年学术年会暨湖南省医院信息化质控中心 2021 年度培训会召开,美创科技资深数据安全顾问王彦翔出席进行《数据安全法背景下的合规实践》演讲。
当前,医疗行业数字化进程加速,整个行业产生的数据体量呈爆发式增长,数据流动、存储、价值、使用方都在变化,安全问题也随之而来,医疗数据安全建设面临着新的挑战,如:技术更新迭代快、热点安全事件频、标准制度规范多、合规处罚力度大等。
新背景、新形式下,医疗行业如何开展数据合规工作,王彦翔分享了医疗行业针对《数据安全法》的快速应对措施,包括五大步骤:
01明现状
在进行数据安全合规建设时,建立健全数据安全治理体系,摸清数据资产情况(数据发现和分类分级),充分了解自身数据安全合规情况(合规性评估和安全风险评估)是首要环节。
《数据安全法》明确要求建立健全数据安全治理体系,提高数据安全保障能力,那么如何建立?如何提高?需要借助一定的方法论和模型,例如参照国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T37988-2019),实现数据安全管理流程中的每个阶段的可控,落实到数据全生命周期每个阶段的数据安全。
数据发现与分类分级:我国个人信息方面有独立的法律,与数据安全有一定的连接。均明确安全保护过程中要建立数据分类分级的制度,落实数据分类分级,至少把个人信息、敏感数据、普通数据等区分出来,针对敏感数据的安全保护措施一定是最到位的。对此,组织、机构需要通过相应的工具去识别信息化环境中所有数据的分类分级,输出相应的报告。美创科技在安全建设实践中形成了一套可操作落地的方法论和配套软件工具,从前期咨询、项目实施和产品沉淀三步实现有效的数据分类分级,满足数据安全治理的长远发展需求。
实施交付效果-数据分类分级报告
合规性评估和安全风险评估:风险评估结合分类分级的结果,对识别出的高风险高敏感数据重点优先处置,低风险低敏感数据滞后处理,对后续安全建设有重大指导意义。数据和其他信息系统不同,虽然可借鉴信息安全的风险评估相应的标准规范,但是数据价值难以定义,数据安全风险难以评估,美创科技根据相关法规标准要求,风险分析的方法,提供专业的合规性评估和安全风险评估,并基于评估结果给出风险处置建议的服务方案。
完成以上步骤后需要对整体合规进行梳理,组织单位自省是否符合《数据安全法》或后续其他各类法律法规,不符合即需相应整改。《数据安全法》9月1日就要开始执行,合规判断非常关键。
02订规划
数据安全体系规划是基于前面各阶段的成果,量体裁衣。数据安全是全局性的,甚至可以上升到组织战略层面,需要以业务需求为导向,采用层次化、开放式、SOA耦合架构,利用数据安全相关技术和理念定制化构建的安全体系。
医院数据安全Gap分析规划与选型
美创科技提供定制化的安全体系规划,美创专家团队将充分结合合规要求和风险现状,依照前期数据安全咨询项目的评估差距进行补足,着眼于数据全生命周期安全,针对不同的阶段提供技术加固方案,充分考虑企业数据安全紧迫性,分为短期和长期建设规划,包括数据安全防护可用的产品或技术手段、建设周期、先后顺序,以及建设完成后差距评估。
03立组织
数据安全法对数据安全责任人提出明确要求,但目前来看,大多数医院、组织尚未设立数据安全的团队,或者明确数据安全的责任人,这需要尽快落地,尽快建立健全的组织架构,包括部门职责与人员角色确定及动态协同机制。
比如:在了解部门信息,明确敏感信息组成、特征、范围及流转情况的基础上,明确数据的使用部门和角色,对于部门、人员角色梳理更多在于管理规范文件中体现;对于数据资产使用角色的梳理,明确不同受众的分工、权力和职责。
04定制度
《数据安全法》里明确有要求,“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度”。当前,医疗行业网络安全制度各组织可能已建全,但数据安全制度相比之下较为缺失。此外,《数据安全法》里提到了安全教育培训的问题,很多安全事件都是源自员工的数据安全薄弱,导致数据丢失、数据泄露等,所以在加强数据安全意识教育也是当前医疗组织迫切需要落地的事情。
美创数据安全意识教育培训示例
05建立内部标准
数据安全法规定“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律。”医疗行业机构应积极数据安全相关标准制定工作,共建共创数据安全技术与能力。
「美创科技数据安全治理体系:纵向来看顶层是组织战略,中间是安全管理保障,底层是数据安全资源措施。横向来看则分成两个环节,左侧是管理和技术保障,右侧是安全建设运营。」
最后,王彦翔介绍,医疗行业始终是美创科技重点关注的行业之一,美创科技也已在医疗领域深耕十余年,基于医疗数据安全建设现状,美创科技提供包括数据安全咨询、数据安全治理体系建设、数据安全能力建设等完善的产品与服务。而通过以上五个阶段的工作部署,医疗用户能进一步完善数据安全保护流程,满足《数据安全法》等法律法规的要求,为数字化转型保驾护航。
