如今，醫療行業數字化進程加速，伴隨電子病歷系統、臨床醫藥管理、病理大數據分析等醫療數字化系統的持續建設和運營，整個行業產生的數據體量呈爆發式增長。這些醫療數據中包含著大量敏感信息，關乎個人隱私、公共利益，甚至國家安全，一旦遭遇破壞或泄露，將給患者、醫院帶來很大影響和損失。

數據安全意識薄弱，監管政策持續收緊

目前，醫療行業數據安全建設過程中依然存在著安全意識薄弱、安全防護措施不足的問題。Verizon數據泄露調查報告顯示，近年來有超過93%的醫療相關機構經歷了數據泄露，受疫情影響2020年醫療行業已確認的數據泄露事件同比增加了58%。另據賽迪《醫療行業網絡安全白皮書2020》對35家醫療信息系統的調查結果，在數據保護方面，38%的系統沒有數據庫審計，只有2%的單位具有災備服務器，大部分醫療信息系統沒有完善的數據保護機制。

鑒于醫療數據安全的重要性，我國近年來先后出臺了多部法規條例規范醫療數據的安全使用和管理。例如，2018年4月，國家衛生健康委發布《關于印發全國醫院信息化建設標準與規范（試行）的通知》，對二級及以上醫院的數據中心安全、終端安全、網絡安全及容災備份提出具體要求。2019年4月，國家衛生健康委發布《關于印發全國基層醫療衛生機構信息化建設標準與規范（試行）的通知》，其中在信息安全方向明確了數據防泄露、數據備份與恢復、應用容災等十個方面的要求。

2021年4月，國家醫療保障局下發《關于印發加強網絡安全和數據保護工作指導意見的通知》，從實施數據全生命周期安全管理、實施分級分類管理、加強重要數據和敏感字段保護、強化數據安全審批管理、落實數據安全權限、推動數據安全共享和使用、建立健全數據安全風險評估機制等方面，明確指出國家對醫療數據安全的監管要求，落實基礎性安全措施，建立完善的安全管控機制，確保醫療數據安全有序融合共享、開放應用。

落實數據安全監管要求  這三個建議請收好

為落實國家醫療行業數據安全監管要求，我們建議，醫療機構可從以下維度著手。

1.健全數據安全管理組織體系。雖然，在國家《網絡安全法》和系列醫療行業數據安全監管政策要求下，不少醫療機構建立了相應的數據安全組織，但相較于網絡安全，數據安全在業務應用場景深度、涉及組織范圍、影響程度和合規要求方面有很大不同，醫療機構需要在合規、業務、管理和技術等層面綜合考慮數據安全組織體系的建設，才能有效保障醫療數據安全的責任管理和措施的落實。

2.梳理醫療行業數據資產并定期開展安全風險評估。在數據安全生命周期范圍內，開展數據的分類分級識別，充分了解本機構數據資產規模和類型、數據收集方式、分布范圍、存儲形式、使用過程，以及已采取的安全管控措施與有效性等。在此基礎上，采用國內外先進成熟的風險評估方式，對遠程醫療、臨床研究等各業務場景進行醫療數據安全評估，合理評估各類數據安全風險，按照風險發生的可能性和影響大小確定風險處置優先級。

3.落實數據安全風險處置措施。針對評估檢查出來的數據安全風險，醫療機構可列出相應的安全控制措施，根據需要采取相應處置措施，并將風險降低到可接受范圍內，應注意從醫療行業的業務場景出發，在落實合規要求、措施選擇、實施推進等方面統籌考慮，需要明確遵從的技術標準，嚴格按照風險管理和處置流程來綜合解決數據安全問題。

中國金融認證中心（CFCA）是一家以網絡安全綜合服務為核心的科技企業，多年來服務的客戶覆蓋金融機構、政府和大型企事業集團。CFCA在醫療信息安全領域深耕多年，可提供從咨詢、評測到產品和綜合解決方案的一站式數據安全解決方案，助力醫療機構全面提升數據安全能力。

責任編輯：韓希宇