时间:2023-07-27
2023年7月26日,吉林省卫生健康信息中心组织开展“数字素养提升工程”第26期活动,由奇安信集团卫生行业技术总监高升宇做“卫生健康数据安全体系如何构建”专题讲座。
高升宇从卫生健康行业数据安全风险、国家政策频繁出台牵引数据安全加速建设、卫生健康行业数据安全体系思路三个方面进行了介绍。随着智慧医疗及数据互通共享的发展,数据安全隐患不断凸显。典型的数据风险场景包括数据存储运转环境风险、数据访问源环境风险、跨安全域数据交互风险、合法身份非法使用数据风险、数据安全在科研环节失控风险等。数据风险的存在提示了加强卫生健康数据安全的必要性。
高升宇说,网络安全发展的趋势是以数据为中心的安全,国家在不断强化数据安全监管。《网络安全法》《数据安全法》《个人信息保护法》确定了数据保护责任与义务。要求以数据分类分级为保护基本要求,构建完善的数据安全管理制度,结合数据生命周期、数据流转等因素对数据进行安全管控,建立完善的数据安全运营机制。《医疗卫生机构网络安全管理办法》要求建立数据安全组织架构、明确数据安全生命周期责权、建立数据安全责任制度、落实数据安全分级分类。每年对数据资产进行全面梳理,形成数据安全资产目录;建立健全数据安全管理制度、操作规程及技术规范,每年至少修订一次;每年对本单位的数据进行数据安全风险评估,及时掌握数据安全状态等。数据采集要明确业务部门和管理部门的主体责任、采取数据脱敏、数据加密、链路加密等防控措施。数据存储要在境内存储、涉及云存储要评估风险、重要数据加密存储。数据传输要加强传输接口安全控制、数据要加密传输。数据处理要采取安全防控措施、数据上报安全可控。数据使用要在可控范围内使用、防止越权使用、加强日志留存及管理。数据交换要求对外提供数据需严格审核、数据共享遵循最小化原则。数据销毁要求销毁数据确保彻底清除、关注数据残留及备份风险。
高升宇还介绍了健康医疗大数据安全体系建设思路。一是先理后治、补短固底。盘点好自己的家底,梳理清楚业务,识别重要数据资产,夯实基础安全防护。补数据安全短板是首要任务。二是系统治理,体系规划。要对数据分类分级,针对不同级别的数据,制定不同的安全策略。三是精细防护,保障数据持续安全状态。建立高防区,重点防护重要数据;围绕数据治理结果,做整体的安全管控策略;围绕数据流转过程做纵深防御部署;围绕应用场景做针对性防御部署;基于数据生命周期视角,构建以数据为中心的纵深防御体系。
李兵报道 孙黎春摄影
审核:武金玲
编辑:石丽丽
主办单位:吉林省卫生健康信息中心
运维:吉林省卫鉴文化传媒有限公司 吉林省星广传媒有限公司 网站访问数:4864824
地址:吉林省长春市建政路971号 联系电话:0431-85006627