《中国信息安全》杂志收录

山石网科文章《数字化转型背景下的健康医疗

数据安全治理体系构建与场景实践》

山石网科数据安全治理体系
为健康医疗保驾护航

【中国信息安全】随着我国信息技术的进步和医疗卫生改革的深入，数字化转型已渗透到医疗体系的各个业务领域，如病历电子化、医院上云、远程问诊等。同时“云、大、物、移、智”等新概念、新方法、新技术在医疗行业的广泛应用也为医疗服务的高效、快捷、便民提供了信息化基础。但由此也产生了海量的、高度集中化的、敏感的各类健康医疗数据，这给医院带来了全新的数据安全挑战，同时医疗业务数字化转型的进程也加大了数据安全保障的难度。

图注：《中国信息安全》杂志收录山石网科文章

一、健康医疗数据面临的风险及挑战

在医疗机构数字化转型过程中，医院、患者、管理者、公卫以及科研人员等各方对于数据利用和共享的需求日益强烈，健康医疗数据由“静态”转为“动态”，数据共享流通更加频繁，数据集中处理、广泛共享、交叉使用成为刚性业务需求，对医疗机构的数据安全防护能力提出新的要求，数据安全防护任务更加艰巨。具体健康医疗数据面临的风险及挑战如下：

（一）医院内部数据安全管理体系缺失

随着《数据安全法》的颁布实施，医院整体数据安全意识逐步增强，但大部分医院数据管理机制的建立和完善相对滞后。同时，医院内部拥有大量内部职工和第三方运维人员，如果对重要数据的访问权限管控不足，将会造成越权访问风险，这些人员可以随意接触病患信息，重则造成数据泄露，加之数据使用审计手段不足，后续追溯也会发生取证难的问题。

（二）数据开放共享风险

伴随着医院数据中心所存储的医疗数据快速增长，同时医联体的建设也促使医疗数据种类不断丰富，医疗机构面领着极高的数据安全管理压力。体量庞大、种类丰富的健康医疗数据受到了社会的极大关注，包括健康医疗信息系统厂商、健康医疗数据分析公司、辅助诊疗解决方案公司、商业保险机构、药企等都在积极寻求与医院的合作，实现数据的商业化变现。医院自身也希望能将多年积累的“沉睡”数据转换为价值，获取更多医学研究成果。但是，这些数据在合作共享前没有数据的安全性和合规性保障，将存在极大的数据安全隐患。

未脱敏的健康医疗数据在共享时可能会导致敏感信息的泄露，医院内部工作人员的不当操作也可能会导致敏感信息未经授权的访问、修改和泄露。而医疗机构与第三方合作的过程中，如果未进行充分的合规审查也会增加敏感信息的安全风险，比如未对第三方的资质进行评估、未对双方数据对接的方案进行安全评估、未对数据传输的方式进行安全性控制等。

（三）个人隐私保护

健康医疗数据很大一部分的组成是各种患者的个人信息集合，其中包括个人基本信息、个人身份信息、个人生物识别信息、个人健康生理信息等，所有的这些数据内容都涉及个人隐私。这些个人信息一旦泄露和传播，将对患者个人生活和精神状态造成严重影响。个人隐私保护已成为广大人民群众最关心最直接最现实的利益问题之一。

（四）外部攻击风险

医疗机构所存储的健康医疗数据有着得天独厚的价值。据《2020年全球高级持续威胁(APT)年度报告》，2020年医疗卫生行业以23.7%的占比，历史上首次超过政府、金融、国防、能源、电信等领域，成为全球APT活动关注的首要目标。现阶段，医疗机构对于安全的重视程度相对还是不足的，从而导致了安全防护的水平相对较低，大量安全漏洞无法及时修复，会为外部攻击提供途径，因此需要采取有效措施应对外部攻击风险。

此外，越来越多的医疗机构通过移动终端应用和互联网诊疗来提供更加便捷的诊疗服务，但由于移动终端应用安全保障机制和系统纵深防御不足，医院内部部分应用服务(如数据库 服务、FTP 服务、打印机服务等)端口暴露在公共互联网, 对于黑客来说，如通过互联网能够轻易获取到这些应用服务的控制权,可能会引发重大数据泄露事件。

（五）合规风险

推动“互联网+健康医疗”服务是大势所趋，但加强数据安全保障体系建设、制定完善医疗数据应用发展的法律法规、强化居民健康信息服务规范管理、明确数据使用权限、切实保护相关各方合法权益，也是现实需求。医疗数据涉及国家利益、公共安全、患者隐私、商业秘密等重要信息，中央、各部委、地方政府出台的法律、法规、标准中对其也有相应的特别规定。

在我国目前的法律体系下，医疗数据安全相关的法律法规有《网络安全法》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《医疗机构病历管理规定》、《人口健康信息管理办法（试行）》、《互联网诊疗管理办法（试行）（征求意见稿）》、《电子病历基本规范》、《处方管理办法》、《卫生行业信息安全等级保护工作的指导意见》以及各地方出台的《促进和规范健康医疗大数据应用发展的实施意见》等。

另外，在互联网诊疗活动规则方面，对于医疗卫生人员和医疗卫生机构有着明确要求：需要建立可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用，实现服务留痕、诊疗数据安全运行。作为医疗数据的收集者与使用者，医疗机构应当保证所收集的信息的真实准确，同时还应当根据现行的信息安全等级保护要求履行一定的安全保护义务，不得泄露患者医疗数据信息，要求医疗数据必须合法收集，严格执行信息安全和医疗数据保密制度，在使用时注意脱敏清洗和标准化处理，不得侵犯患者隐私和商业秘密。

二、以健康医疗数据为中心的安全治理体系

健康医疗数据是国家重要的基础性战略资源，关系到国家战略安全、国家生物安全、人民生命安全和公民个人隐私安全。从安全管控角度，对相关数据中心的安全管理和个人健康医疗数据的隐私保护，将决定着健康医疗大数据应用发展的未来。因此，建立一套完善的健康医疗数据安全治理体系，以网络安全等级保护、关键信息基础设施安全、数据安全保障措施、数据流转全程留痕、数据安全监测和预警、数据泄露事故可溯源为中心的防护手段，对于医疗行业来说迫在眉睫。

（一）双维驱动健康医疗数据安全建设

健康医疗数据安全治理永远不是从零开始的，它一定是基于医院现有的安全能力建设现状，通过以健康医疗数据为中心的视角，对现有的体系进行扩展，以实现对数据的安全治理管控。大多数医疗结构在此前或多或少已有了一定的安全体系，基本上都是围绕着网络环境和信息系统开展的安全防护工作，主要聚焦在了网络安全和信息安全两个方面，如等保2.0合规新评测标准下的安全能力建设。而数据安全是以健康医疗数据为中心，围绕着数据全生命周期进行建设，以提高医院数据安全保障能力。所以从数据安全角度出发，医疗机构应当制定符合自身业务情况的数据安全建设思路，构建面向数字化转型的可持续安全运营能力。

图注：双维驱动健康医疗数据安全建设

（二）以健康医疗数据为中心的安全治理体系

健康医疗数据安全治理是从业务到安全、从管理到技术、自上而下全方位与体系融合的综合性专题建设。正是由于数据安全所需考虑的范围广、变量多，才需要医院管理者综合思考一套行之有效的体系框架，从而使数据安全建设做到有章可循，实现“同步规划、同步建设、同步运营”的数据安全建设目标。

通过建立“制度规范体系”、“技术防护体系”、“运营管理体系”、“监督审计体系”及“应急响应体系”，可帮助医疗机构构建以健康医疗数据为中心的安全治理体系，全面提升整体数据安全治理能力：

图注：以健康医疗数据为中心的安全治理体系

制度规范体系建设：综合法律法规、医疗机构的重要信息防护需求及风险现状制定健康医疗数据安全治理的相关制度及规范，如组织架构建设规划、数据安全业务流程、数据安全制度考核标准等，从而指引技术工具的部署和运营管理建设。

技术防护体系：通过态势感知、权限管控、数据脱敏、数据加密、数据泄露防护、数据水印溯源等安全技术手段，加强健康医疗数据安全监测和风险预警，全面提升健康医疗数据安全防护能力，筑牢健康医疗数据安全防线。

运营管理体系：三分靠技术，七分靠管理。一个好的运营管理体系可帮助医疗机构实现健康医疗数据安全治理的最终落地与可持续化运转。建立数据安全治理专业团队，提升数据安全管理、技术、合规能力，加强医护数据安全意识，实现健康医疗数据安全运营的可视、可控、可持续。

监督审计体系：医院需要针对健康医疗数据全生命周期的各阶段的安全管理情况进行监控与审计，以保证健康医疗数据安全治理可以有效、持续产生价值。在监督审查体系中可以着重于预警通报、安全监测和综合评价。

应急响应体系：常态化开展健康医疗数据安全攻防演练、应急演练、全员安全培训，组建专家队伍和支撑力量，提升全天侯、全场景、常态化、实战化的网络安全应急处置水平。

以健康医疗数据为中心的安全治理体系内部相互依存、彼此关联。通过制度规范体系建设，指引医疗机构在技术防护体系中的构建方向，也指引着运营管理体系中的组织建设和人员能力建设的方向；运营管理体系的建立也确保了制度规范体系的落地执行和技术防护体系发挥实际作用；而技术防护体系作为关键工具，为制度规范体系和运营管理体系提供了实际的工具抓手；同时，通过数据安全应急响应体系、数据安全监督审计体系对整体框架进行支撑，为医疗机构构筑以健康医疗数据为中心的可持续安全治理体系。

三、基于健康医疗数据内外部调阅应用场景的安全治理最佳实践

健康医疗数据安全治理的首要任务便是对数据资产现状进行清查摸底，通过多种方式来发现数据所有者、责任人、存储位置、整体系统流程等信息。因此首先需要调研健康医疗数据内外部调阅场景所涉及的业务系统的开放形式、访问方式、交互方式，业务系统相关数据是否涉及个人隐私信息，数据存储的形式、位置及访问的方式，数据的重要性、影响范围和影响程度，现有系统建设及数据安全建设情况等。

其次，基于行业标准与安全实践经验制定合理、有效的数据分类分级规则，对健康医疗数据进行全盘梳理，为实现“核心数据安全优先，其余效率优先”的差异化防护打下基础。通过访谈方式、文件审核、查看系统、查看数据库等方式，梳理健康医疗数据内外部调阅场景覆盖的数据范围并形成数据目录结构；依据数据分类分级指南，通过分类分级工具结合人工的方式，对医疗机构的数据进行标签管理，明确数据的类别级别；同时随着政策变化和日常实际运营情况，及时对数据的分类分级指南、工具内策略及时调整更新。

完成数据的分级分类后，结合风险评估和数据安全能力成熟度模型发现健康医疗数据内外部调阅场景中安全管控能力方面，技术与管理的脆弱性及产生的威胁性，从而发现自身数据安全问题和短板，明确数据安全保护需求，为数据安全治理的建设指明方向。

从制度规范、技术防护、运营管理的维度，形成健康医疗数据内外部调阅场景下数据安全共享和开发利用模式，规范健康医疗数据安全管理。

通过细粒度数据授权控制、数据审批、计算审批等，实现数据所有权和使用权分离。当健康医疗数据被第三方使用时，保障数据拥有者具备知情和拒绝的权利，让参与各方都可以安全、便捷、灵活地进行数据共享和交换，保证数据安全和保护隐私。

对于核心诊疗业务的梳理，需要基于数据类别和级别对身份鉴别和访问控制进行严格要求，应对于授权分配、变更等行为和操作进行明确要求，防止因权限混乱导致越权访问事件的发生，保障敏感数据的访问合规。细节主要包含并不限于：

（1）制定身份鉴别、访问控制与权限管理规范，明确对身份标识与鉴别、访问控制及权限的分配、变更、撤销等权限管理的要求。

（2）按照最少够用、职权分离等原则，授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

（3)建立数据权限授权审批流程，对数据权限申请和变更进行审核。

（4）定期审核数据访问权限，及时删除或停用多余的、过期的账户和角色，避免共享账户和角色权限冲突的存在。

（5）对外包人员和实习生的数据访问权限进行严格控制。

图注：健康医疗数据内部调阅权限体系

图注：健康医疗数据外部调阅管理

具体到技术层面，将人员、时间、操作、习惯、应用、网络、介质、主机等多个环节精细管理，为用户构建可信的安全环境。以现有安全基础设施、等级保护技术措施为基础，作为健康医疗数据内外部调阅场景的保障。并针对性的将数据加密、数据访问控制、数据防泄漏、数据脱敏、容灾备份等多种数据安全技术措施与现有安全防护手段相结合，构建全方位的健康医疗数据防护体系。还可结合领先的大数据分析技术，建立健康医疗数据安全治理平台，实现数据安全态势感知。

在监督审计方面，定期开展健康医疗数据内外部调阅场景下的数据安全专项审计工作，对规章制度体系，技术防范体系，以及数据安全运营体系的实际运转情况进行检查；同时配合主管、监管部门开展健康医疗数据审查工作，对组织运作、技术系统、算法原理、数据处理等数据活动进行过程审核和汇报，根据审查结果对医疗机构的数据安全治理情况进行综合评估，确保数据安全运营的有效性和可持续性。

在应急响应方面，针对健康医疗数据安全事件落实重大事件报告制度和突发事件应急响应制度，建立健全安全应急预案、应急处置工作指南和处置流程。同时，与上级网络安全信息共享平台对接，构建应急预警平台，对健康医疗数据内外部调阅场景下的安全事件与安全风险进行取证与分析，高效精准地进行安全事件处置与预防，打造医疗数据安全防控生态。

以健康医疗数据为中心的安全治理体系可帮助正处在数字化转型背景下的医疗机构提升整体数据安全防护能力和数据安全管理水平。围绕数据生命周期全过程，融合技术、管理和运营，确保医疗数据的采集、传输、存储、使用、共享安全，做到医疗数据不被截获、篡改、窃取，促进数智医疗高速安全发展。

本文刊登于《中国信息安全》第7期 59页（2022.07 总 第152期）