• 回到顶部
  • 400-158-6822
  • QQ客服
  • 微信二维码

医疗行业数据库安全管控思路

创建时间:2022-08-03 10:48

 

医疗行业数据安全现状分析

我国医疗机构的信息化程度越来越高,全面向数字化医疗、智慧医疗发展,但发展的同时也带来了新的安全风险!医疗数据的高价值特性、同行业的恶性竞争, 吸引大量攻击者尝试通过窃取、买卖医疗敏感数据牟取暴利。

Verizon《2021年数据泄漏调查报告》分析结果显示,从总体上来看,医疗、住宿行业、公共事务管理、零售和金融,依然是数据泄露事件较多的行业。

医疗机构对于医疗健康数据的处理,涉及到政府、医院、企业、个人等多个主体。目前的医疗数据主要产生并存储在医疗机构和政府平台上,实践中医疗机构往往会与第三方合作开发利用医疗数据,这大大增加了数据泄露的风险。

 

 

医疗行业数据安全监管要求逐步加强

近年,国家相关部门相继出台针对数据安全的法规要求,《数据安全法》、《个人信息保护法》也落地实施,同时,医疗行业数据安全的相关法规和要求也在不断出台,对医疗数据安全保护提出了更加细致的要求:

_

 

政策

2018年04月28日 国务院办公厅关于促进“互联网+医疗健康”发展的意见 (国办发[2018] 26号):要求制定医疗服务、数据安全、个人信息保护、信息共享等基础标准。

_

 

2018年08月28日 国家卫⽣健康委员会医政医管局发布了《关于进一步推进以电子病历为核心的医疗机构信息化建设工作的通知》:要求制定人口健康网络与信息安全规划及健康医疗大数据安全管理办法,加快健康医疗大数据安全体系建设。

_

 

2018年9月13日,国家卫生健康委员会正式发布了《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)》,办法中从管理到技术措施对数据安全提出了相应的要求。

_

 

2021年4月6日,《国家医疗保障局关于印发加强网络安全和数据保护工作指导意见的通知》(医保发〔2021〕23号,以下简称《通知》)印发,通知中对数据安全在全生命周期管理、分类分级管理、重要数据和敏感数据保护、数据安全权限、数据安全共享、数据安全风险评估等方面提出了更加明确的工作要求。

 

2021年7月1日,医疗行业国家标准《信息安全技术—健康医疗数据安全指南》(GB/T 39725-2020)开始实施,对于健康医疗数据的定义、分类体系、使用披露、安全措施、安全管理、安全技术指南以及八种典型场景数据安全制定了体系标准。健康医疗数据的安全合规管理及利用也就迈入新的阶段,数据的共享、利用和传输有了相应的规范和约束。

 

 

医疗数据保护技术措施难点分析

医疗行业自身业务特点及数据复杂性,面临的数据安全管控难点也更多:

1)部门、人员权责交互不清,数据差异化管控措施落地实施难度大。

(2)医疗数据共享化趋势,如何才能安全、合规开放数据访问?

3)分类分级、权限控制落实较差,数据资产不清晰、管控措施不明确。

(4)数据保护技术措施太分散,难以实施一体化协同的数据安全策略。

5)业务云化、数据集中化,对数据保护和审计技术提出新挑战。

医疗行业对数据安全保护提出了更高的要求,如何围绕医疗核心数据进行有效的保护?如何对医疗数据各应用场景进行差异化管控?是数据安全技术手段落地需要思考的问题。

 

 

以“数据为中心”的数据安全一体化管控思路

面向医疗系统业务核心数据库,针对内、外部人员数据访问场景,建立数据安全一体化管控措施融合多种数据安全原子能力,以“敏感数据资产目录”为中心,实现多种数据保护措施和审计能力,同时满足数据分类分级、敏感数据发现、数据访问控制、数据操作审计、数据动态脱敏等数据安全管控手段,满足数据安全保护相关需求。

     数据安全一体化管控包含以下能力:

 
 

医疗数据自动化分类分级管理

基于自动化和机器学习的智能数据分类分级系统,取代低效人工操作方式,实现重要数据识别效率的本质提升

 
 

敏感数据的持续、自动化发现

在应用程序访问数据源的日常使用过程中,持续、自动化发现医疗敏感数据,掌握数据使用情况。

 
 

医疗数据资产可视化呈现

对医疗数据资产进行全面测绘,形成医疗数据资产地图、资产态势视图、资产分析报告、资产清单等,帮助企业全面梳理数据资产。

 
 

细粒度数据访问控制与自助授权

基于用户和数据集配置细粒度数据访问控制策略,实现医疗数据权限最小化,拦截高风险访问操作。

 
 

规则灵活的敏感数据动态脱敏

应用程序运行时通过配置实现应用前端展示数据动态脱敏,无感知实现数据前端脱敏。

 
 

数据安全审计与风险分析

通过全面的医疗数据访问日志,基于异常事件、行为模型进行数据安全风险分析。

 
 
 

数据安全管控平台接入方式:数据库用户或应用通过接入数据安全管控平台实现医疗业务数据库访问,从而实现医疗数据访问的全方位管控和审计。

 

思维世纪经过多年的数据安全管控实战积累,具备覆盖数据资产管理、数据安全风险监测、数据安全管控以及数据安全治理服务的多项数据安全原子能力,公司坚持数据安全监管核心技术能力,坚守以服务效果为导向的理念,为客户提供“懂得起、信得过、靠得住“的数据安全能力支撑。

 

往期回顾

 

浅谈网络资产探测技术

 

喜报|思维世纪强势上榜“2022年网络安全产业链图谱”十七大领域

 

电信行业案例解析 | 构建先审后发的信息安全核管平台