华中地区头部医院某医院是一所集医疗、教学、科研于一体的国家卫生健康委员会直管的大型综合性教学医院，是某省急救中心、某省远程医学中心挂靠单位，国家首批三级甲等医院,曾获得全国百佳医院,荣获全国医院管理先进集体、全国五一劳动奖和全国文明单位等国家级荣誉。

该头部医院大规模，正规化信息化建设始于2002年5月，以成立计算机网络中心为标志。其核心业务系统包括：门诊收费网络系统 、住院结算网络系统、住院药房管理系统、财务核算网络系统等，现在基本形成了多院区互联互通，全部楼宇计算机网络与无线网络全覆盖的构建，初步完成医院运行数字化、数字信息共享化、临床服务全国化的现代化大型综合性数字化医院模式。

医疗数据安全防护面临全方位挑战

随着我国信息技术的进步和医疗卫生改革的深入，数字化转型已渗透到医疗体系的各个业务领域，如病历电子化、医院上云、远程问诊等。同时，医院、患者、管理者、公卫以及科研人员等各方对于数据利用和共享的需求日益强烈，健康医疗数据由“静态”转为“动态”，数据共享流通更加频繁，数据集中处理、广泛共享、交叉使用成为刚性业务需求，这给某头部医院带来了全新的数据安全挑战，同时医疗业务数字化转型的进程也加大了数据安全保障的难度。因此某头部医院数据安全管理者需要找到适合自身业务发展的数据安全体系化建设参考模型。

医疗数据安全合规建设滞后

由于医疗行业缺乏完备的数据安全标准文件指导以及可借鉴的成功经验，某头部医院的数据安全合规工作尚处于“摸石头过河”的初级起步阶段，数据安全策略、机制、措施还未落实，数据安全防护技术不够完善，加之近几年国家持续发布系列数据安全法律法规，对数据安全保护提出了新的要求，某头部医院的数据安全合规建设工作任重道远。

单一的技术防护维度难以构建数据安全保障

某医院在数据安全防护过程中发现数据安全建设涉及问题众多，不再是单一的技术维度问题，迫切需要通过完整体系化建设构建数据安全防线。

合规需求：在整个数据安全治理体系的建设过程中，用户需要首先应遵从的国家法律、法规，了解需要遵循的数据安全防护要点，指导某医院后续建设工作。

体系化建设需求：用户认为在数据安全建设工作开启前需要首先了解数据安全建设的整体规划和体系化建设思路，以防在建设过程中出现遗漏和浪费资源

数据全生命周期安全防护需求：用户要求整体数据安全防护应围绕数据的全生命周期开展，在采集、传输、处理、存储、交换、销毁等各个环节，通过安全控制措施实现数据的保密性、完整性、可用性、可控性和不可否认性的安全目标，做到对外部攻击、信息泄漏、篡改、越权和抵赖等威胁的有效防范。

某医院数据安全治理体系的构建以国家的相关政策和国内外数据安全的标准规范和最佳实践为指导，主要包括数据安全战略保障、数据安全医疗机构管理、数据安全制度规程、数据安全技术措施、数据安全运营保障、数据基础设施安全几个方面。

具体建设思路如下：

全面的管理制度

某医院为保证本次项目顺利实施，配合建立了配套的数据安全管理制度体系，以支撑医院的数据安全管理工作。相关数据安全管理制度和规范包括：

一级文档：制定了医院内部《数据安全管理策略》主要内容包括：数据安全管理的目标、愿景、方针等；数据及数据资产定义；数据安全管理基本原则；数据生命周期阶段划分和整体策略；数据安全违规处理等。

二级文档：主要建设医院内部数据安全管理制度和办法，主要包括：《数据安全管理规定》《数据安全检查规定》《数据全生命周期安全管理制度》。

三级文档：数据安全各生命周期及具体某个安全域的操作流程、规范，主要建设有《医院健康医疗数据分类分级规范》《数据安全评估规范》《重要数据识别与管理规范》《健康医疗数据脱敏规范》《移动介质管理规范》《第三方人员管理规范》《数据运维管理操作流程》等。

四级文档：指执行数据安全管理制度产生的相应计划、表格、报告、各种检查记录、日志文件等。本次项目建设有《移动介质使用申请》《数据使用申请》《数据脱敏白名单申请》《数据运维操作申请》《第三方人员保密协议》等。

完善的组织架构

为更好的制定和执行数据安全相关要求，某医院成立了专门的数据安全管理领导小组并以《医院数据安全管理制度》加以明确。按照“边界分明、权责清晰”原则进一步明确数据安全各相关方职责，形成部门横向协同有力的工作机制。

数据安全管理领导小组，下设数据安全管理小组、数据安全执行小组和数据安全监管小组。同时，便于落实网络安全工作党委负责制，各个科室参与形成各自KPI考核，便于数据安全治理体系落地。

覆盖数据全生命周期的技术防护体系

数据安全技术支撑是数据安全工具的实施与应用，数据结构和形态会在整个生命周期中不断变化，需要釆用多种安全工具支撑安全策略的实施，确保数据安全治理需求 和数据保护合理有效执行落地，达到最佳实践。

体系化建设思路，科学有效构建数据安全防护框架
通过科学有效的数据安全治理框架，协助某医院构建科学有效的数据安全体系，对标数据安全建设目标，有针对性完成确实能力建设，通过数据安全治理框架的完整落地，逐步完善某医院在数据安全防护能力，为后续数据安全能力的持续提升打下坚实基础。

全面满足医疗数据安全合规要求，缓解院方合规压力。
在政策法规层面，某头部医院通过数据安全治理对《网络安全法》、《数据安全法》、《个人信息保护法》和网络安全等级保护要求实现了全方位的响应，促进整体数据安全防护能力和规范管理水平不断提升，极大地缓解了院方数据安全合规压力。

提高数据安全使用效率，降低人力成本
通过某医院数据安全治理建设，对现有数据安全运维模式进行了整合，全面提升数据开发运维效率。在数据需求量不变的前提下，有效减少数据开发人力成本 30%，相同复杂性开发时间缩减 20%；实现组件、作业以及租户操作等信息的实时采集，在此基础上实现统一采集、统一存储、统一监控告警等功能，上线 3个月后，降低运维人员数量 40%，减少无效告警数量近 55%，平均问题响应时间从 60 分钟缩短为 20 分钟，极大地提升问题定位和解决的效率，降低业务中断风险，助力业务高效、稳定和顺畅运行。

全面提升数据安全水平，降低安全风险造成的损失
本项目重点在对数据全生命周期安全防护，将应用系统、主机、应用等各个模块可能存在的安全隐患消灭在萌芽状态，从而极大的提高某医院目前的数据安全整体防护水平，保障医院数据稳定使用，从而有效降低由于各类安全风险可能导致数据外泄，也降低了医院可能承受经济损失的风险。