9月7日，由中國醫院協會信息專業委員會舉辦的CHIMA大講堂【技術分享課】正式開課。作為國家級繼續醫學教育項目，本期課堂圍繞醫療行業數據安全建設展開。

　　本期大講堂的分享嘉賓為新華三集團醫療資深安全架構師宗瑞金，分享主題為“醫院數據安全體系建設思路與實踐”。宗瑞金從醫院數據安全建設需求與政策要求出發，介紹了數據安全建設的技術路線與落地實踐。

大勢所趨，醫院數據安全建設勢在必行

　　數字經濟大潮下，隨著智慧醫療的縱深化發展，醫療數據安全作為關系到生命安全與智慧醫院建設成效的關鍵因素，其重要性不言而喻。中共中央、國務院印發的《“健康中國2030”規劃綱要》中明確要求各醫療機構需“注重內容安全、數據安全和技術安全，加強健康醫療數據安全保障和患者隱私保護。此外，2022年國家衛生健康委、國家中醫藥局、國家疾控局印發的《醫療衛生機構網絡安全管理辦法》中也對數據安全做出了進一步能力要求，要求各醫療機構從組織架構、制度優化、能力建設、資產管理等維度出發，構建起數據安全能力體系。

　　除政策層面的行業標準越發嚴格外，信息系統在支撐著醫院數字化轉型業務高效運轉的過程中也對數據安全也提出新的要求。宗瑞金指出，目前數據安全建設主要存在以下難點，一是缺乏統一數據標準，制約診療服務水平進一步提升;二是數據共享管理混亂，存在泄露風險;三是數據安全建設難度較大，改造尺度難以把握;四是數據質量差影響業務使用效率;五是數據敏感度高，數據防護與應急處置壓力較大;六是內部人員權限管理過于粗放，管理制度還需完善。

　　宗瑞金表示，醫院數據安全建設思路可以歸納為八個字，即“分級保護，技管并重”。一方面，需要對不同級別、不同類別的數據分別設計策略并進行管理，另一方面需要通過技術與管理手段構建起體系化的數據安全能力，實現數據全生命周期的“可視”“可管”“可控”。

四大流程，全方位優化數據安全治理服務

　　數據安全治理是一項復雜、長期、系統性的大工程。對于醫療機構而言，數據安全治理的要求更為苛刻，需要遵循一整套科學完善的服務流程進行規劃與設計。宗瑞金介紹，做好數據安全治理，需同時進行資產梳理、風險篩查、分類分級、標簽化管理、制度優化等工作。

　　具體而言，主要是集中做好以下三點：

　　● 資產梳理方面：梳理數據資產與業務邏輯、實現對數據造冊登記與全面的安全風險評估。

　　● 分類分級方面：基于國家標準與機構實際情況對數據進行分類分級，并利用工具對數據進行標簽化管理與針對性的策略設置，通過標簽實現原始數據與防護策略的雙向映射。

　　● 制度優化方面：基于分類分級結果，結合機構組織架構與管理制度現狀，建立并完善數據安全管理制度，形成四級管理制度體系，自上而下的指導數據安全能力落地。

　　在數據安全治理完成后，選擇合適的落地措施，通過數據防泄漏、數據脫敏、數據庫審計、資產管理平臺等安全設備或直接對業務系統進行調整，實現數據安全防護策略的落地。同時做好后續運營工作，將增量數據、新建系統納入防護范圍內，利用每年的安全自檢進行復盤檢查，持續的提升數據安全防護基線。

　　當前，醫院信息化正在從IT進入DT時代。數據在智慧醫療變革中扮演的價值將愈發關鍵，推動醫療行業向著高質量發展的目標穩步邁進。醫療機構需全方位做好優化數據安全治理服務，為數據安全豎立堅固的屏障。

　　點擊此處可查看本期CHIMA大講堂回放