'医疗行业数据库安全管控思路' - 思维世纪—

当前位置：首页 > 安全中心 > 技术分享

返回列表

医疗行业数据库安全管控思路

创建时间：2022-07-29 浏览次数：1049

医疗行业数据安全现状分析

我国医疗机构的信息化程度越来越高，全面向数字化医疗、智慧医疗发展，但发展的同时也带来了新的安全风险！医疗数据的高价值特性、同行业的恶性竞争，吸引大量攻击者尝试通过窃取、买卖医疗敏感数据牟取暴利。

Verizon《2021年数据泄漏调查报告》分析结果显示，从总体上来看，医疗、住宿行业、公共事务管理、零售和金融，依然是数据泄露事件较多的行业。

医疗机构对于医疗健康数据的处理，涉及到政府、医院、企业、个人等多个主体。目前的医疗数据主要产生并存储在医疗机构和政府平台上，实践中医疗机构往往会与第三方合作开发利用医疗数据，这大大增加了数据泄露的风险。

医疗行业数据安全监管要求逐步加强

近年，国家相关部门相继出台针对数据安全的法规要求，《数据安全法》、《个人信息保护法》也落地实施，同时，医疗行业数据安全的相关法规和要求也在不断出台，对医疗数据安全保护提出了更加细致的要求：

	政策 2018年04月28日国务院办公厅关于促进“互联网+医疗健康”发展的意见 (国办发[2018] 26号）：要求制定医疗服务、数据安全、个人信息保护、信息共享等基础标准。
	2018年08月28日国家卫⽣健康委员会医政医管局发布了《关于进一步推进以电子病历为核心的医疗机构信息化建设工作的通知》：要求制定人口健康网络与信息安全规划及健康医疗大数据安全管理办法，加快健康医疗大数据安全体系建设。
	2018年9月13日，国家卫生健康委员会正式发布了《关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）》，办法中从管理到技术措施对数据安全提出了相应的要求。
	2021年4月6日，《国家医疗保障局关于印发加强网络安全和数据保护工作指导意见的通知》（医保发〔2021〕23号，以下简称《通知》）印发，通知中对数据安全在全生命周期管理、分类分级管理、重要数据和敏感数据保护、数据安全权限、数据安全共享、数据安全风险评估等方面提出了更加明确的工作要求。

2021年7月1日，医疗行业国家标准《信息安全技术—健康医疗数据安全指南》（GB/T 39725-2020）开始实施，对于健康医疗数据的定义、分类体系、使用披露、安全措施、安全管理、安全技术指南以及八种典型场景数据安全制定了体系标准。健康医疗数据的安全合规管理及利用也就迈入新的阶段，数据的共享、利用和传输有了相应的规范和约束。

医疗数据保护技术措施难点分析

医疗行业自身业务特点及数据复杂性，面临的数据安全管控难点也更多：

（1）部门、人员权责交互不清，数据差异化管控措施落地实施难度大。

（2）医疗数据共享化趋势，如何才能安全、合规开放数据访问？

（3）分类分级、权限控制落实较差，数据资产不清晰、管控措施不明确。

（4）数据保护技术措施太分散，难以实施一体化协同的数据安全策略。

（5）业务云化、数据集中化，对数据保护和审计技术提出新挑战。

医疗行业对数据安全保护提出了更高的要求，如何围绕医疗核心数据进行有效的保护？如何对医疗数据各应用场景进行差异化管控？是数据安全技术手段落地需要思考的问题。

以“数据为中心”的数据安全一体化管控思路

面向医疗系统业务核心数据库，针对内、外部人员数据访问场景，建立数据安全一体化管控措施，融合多种数据安全原子能力，以“敏感数据资产目录”为中心，实现多种数据保护措施和审计能力，同时满足数据分类分级、敏感数据发现、数据访问控制、数据操作审计、数据动态脱敏等数据安全管控手段，满足数据安全保护相关需求。