隨著信息技術(shù)的快速發(fā)展,國(guó)內(nèi)越來(lái)越多的醫(yī)院正加速實(shí)施基于信息化的醫(yī)療管理平臺(tái),常見(jiàn)的醫(yī)院信息系統(tǒng)包括HIS、PACS、DIP以及合理用藥和病歷管理等。其中數(shù)據(jù)作為醫(yī)院信息系統(tǒng)中重要的生產(chǎn)資料,是現(xiàn)代化醫(yī)保治理體系和治理能力的基礎(chǔ),因此,如何防范和降低醫(yī)療保障體系中的數(shù)據(jù)安全風(fēng)險(xiǎn),保護(hù)公民個(gè)人醫(yī)療信息隱私,是我國(guó)醫(yī)療行業(yè)面臨的重要課題。
國(guó)家醫(yī)保局“放大招”
近日,國(guó)家醫(yī)療保障局發(fā)出《關(guān)于印發(fā)加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見(jiàn)的通知》,通知中明確了網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)未來(lái)5-10年發(fā)展方向,并要求到2022年,基本建成基礎(chǔ)強(qiáng)、技術(shù)優(yōu)、制度全、責(zé)任明、管理嚴(yán)的醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護(hù)工作體制機(jī)制。
通知針對(duì)網(wǎng)絡(luò)安全管理和數(shù)據(jù)安全保護(hù),提出幾點(diǎn)關(guān)鍵措施:
建立并完善入侵檢測(cè)與防御、防病毒、防拒絕服務(wù)攻擊、防信息泄露、異常流量監(jiān)測(cè)、網(wǎng)頁(yè)防篡改、域名安全、漏洞掃描、集中賬號(hào)管理、數(shù)據(jù)加密、安全審計(jì)等網(wǎng)絡(luò)安全防護(hù)技術(shù)手段。
明確各級(jí)權(quán)限,分離信息系統(tǒng)運(yùn)維權(quán)限和經(jīng)辦業(yè)務(wù)角色,對(duì)不同角色設(shè)置不同權(quán)限。根據(jù)經(jīng)辦業(yè)務(wù)人員職責(zé)區(qū)分設(shè)置業(yè)務(wù)操作和數(shù)據(jù)查詢范圍。按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度要求,結(jié)合實(shí)際設(shè)置安全保密管理員、安全審計(jì)員和系統(tǒng)管理員等崗位。加強(qiáng)信息系統(tǒng)運(yùn)維人員和經(jīng)辦業(yè)務(wù)人員權(quán)限管理,落實(shí)崗位安全職責(zé)。
定期評(píng)估安全系統(tǒng)軟硬件運(yùn)行狀況、制度執(zhí)行情況、數(shù)據(jù)復(fù)制情況、告警或故障設(shè)備的數(shù)據(jù)保護(hù)狀況、權(quán)限的審批收回情況、密碼強(qiáng)度、外包服務(wù)中的數(shù)據(jù)保護(hù)管理情況、研發(fā)測(cè)試環(huán)境數(shù)據(jù)保護(hù)情況,對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)整改。
嚴(yán)格執(zhí)行數(shù)據(jù)處理和使用審批流程,按照“知所必須,最小授權(quán)”的原則劃分?jǐn)?shù)據(jù)訪問(wèn)權(quán)限,實(shí)施脫敏、日志記錄等控制措施,防范數(shù)據(jù)丟失、泄露、未授權(quán)訪問(wèn)等安全風(fēng)險(xiǎn)。
從此次醫(yī)保局通知來(lái)看,伴隨智慧醫(yī)療和互聯(lián)網(wǎng)的快速發(fā)展,防范化解醫(yī)療保障系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn),促進(jìn)數(shù)據(jù)合理安全開(kāi)發(fā)利用勢(shì)在必行。數(shù)據(jù)安全治理是一項(xiàng)系統(tǒng)性工程,過(guò)程、方法和架構(gòu)都很重要。在醫(yī)療大數(shù)據(jù)、健康云、智慧醫(yī)療等新業(yè)態(tài)下,用戶數(shù)字身份安全成為構(gòu)建醫(yī)療保障安全體系中關(guān)鍵環(huán)節(jié),重要程度不容忽視。
醫(yī)療數(shù)據(jù)安全治理如何進(jìn)行?
派拉軟件作為國(guó)內(nèi)數(shù)字身份安全領(lǐng)域的領(lǐng)導(dǎo)者,率先將零信任、持續(xù)自適應(yīng)、微隔離等前沿技術(shù)導(dǎo)入產(chǎn)品的研發(fā)與實(shí)踐中,融合微服務(wù)、人工智能、大數(shù)據(jù)等技術(shù),提供全場(chǎng)景數(shù)字身份治理解決方案,實(shí)現(xiàn)了:
01
構(gòu)建統(tǒng)一用戶數(shù)據(jù)集中管理平臺(tái),對(duì)全場(chǎng)景的所有類型用戶賬號(hào)進(jìn)行集中管理;自動(dòng)匹配員工人事生命周期,實(shí)現(xiàn)“入”“轉(zhuǎn)”“調(diào)”“離”自動(dòng)化運(yùn)維,無(wú)須人工干預(yù);
02
統(tǒng)一應(yīng)用訪問(wèn)入口,實(shí)現(xiàn)各個(gè)異構(gòu)系統(tǒng)之間的單點(diǎn)登錄,同時(shí)基于風(fēng)險(xiǎn)管理引擎,自動(dòng)識(shí)別用戶訪問(wèn)場(chǎng)景的風(fēng)險(xiǎn)等級(jí),提供多因素認(rèn)證,并且針對(duì)密碼的存儲(chǔ)和傳輸,支持多種加密方式,包括:AES、3DES、國(guó)密等,且滿足《等保2.0》和《密碼法》等法律法規(guī)的合規(guī)性要求;
03
基于業(yè)務(wù)角色模型和權(quán)限管理策略,提供分級(jí)管理授權(quán)和細(xì)顆粒度授權(quán),同時(shí)權(quán)限的管控通過(guò)流程標(biāo)準(zhǔn)化和規(guī)范化,符合“知所必須,最小授權(quán)”的原則,滿足等保2.0制度中授權(quán)管控的要求;
04
對(duì)用戶身份、賬號(hào)管理和訪問(wèn)行為進(jìn)行集中審計(jì),并提供用戶賬戶統(tǒng)計(jì)分析,用戶登錄應(yīng)用行為分析和用戶訪問(wèn)軌跡分析等多種統(tǒng)計(jì)分析類日志,便于事后溯源,滿足審計(jì)合規(guī)性要求。
中國(guó)醫(yī)療信息化經(jīng)過(guò)近二十年的發(fā)展,進(jìn)入轉(zhuǎn)型換擋器,從過(guò)去的以醫(yī)療服務(wù)信息化為中心的階段,過(guò)渡到醫(yī)保信息化和醫(yī)藥信息化快速發(fā)展階段。從長(zhǎng)遠(yuǎn)的發(fā)展趨勢(shì)來(lái)看,醫(yī)療信息化市場(chǎng),醫(yī)聯(lián)體、醫(yī)共體建設(shè)、電子病歷升級(jí)等需求穩(wěn)定增長(zhǎng),“互聯(lián)網(wǎng)+醫(yī)療”建設(shè)將迎來(lái)新的一輪建設(shè)潮。