隨著信息技術(shù)的快速發(fā)展,國內(nèi)越來越多的醫(yī)院正加速實施基于信息化的醫(yī)療管理平臺,常見的醫(yī)院信息系統(tǒng)包括HIS、PACS、DIP以及合理用藥和病歷管理等。其中數(shù)據(jù)作為醫(yī)院信息系統(tǒng)中重要的生產(chǎn)資料,是現(xiàn)代化醫(yī)保治理體系和治理能力的基礎(chǔ),因此,如何防范和降低醫(yī)療保障體系中的數(shù)據(jù)安全風(fēng)險,保護公民個人醫(yī)療信息隱私,是我國醫(yī)療行業(yè)面臨的重要課題。
國家醫(yī)保局“放大招”
近日,國家醫(yī)療保障局發(fā)出《關(guān)于印發(fā)加強網(wǎng)絡(luò)安全和數(shù)據(jù)保護工作指導(dǎo)意見的通知》,通知中明確了網(wǎng)絡(luò)安全和數(shù)據(jù)保護未來5-10年發(fā)展方向,并要求到2022年,基本建成基礎(chǔ)強、技術(shù)優(yōu)、制度全、責(zé)任明、管理嚴的醫(yī)療保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全保護工作體制機制。
通知針對網(wǎng)絡(luò)安全管理和數(shù)據(jù)安全保護,提出幾點關(guān)鍵措施:
建立并完善入侵檢測與防御、防病毒、防拒絕服務(wù)攻擊、防信息泄露、異常流量監(jiān)測、網(wǎng)頁防篡改、域名安全、漏洞掃描、集中賬號管理、數(shù)據(jù)加密、安全審計等網(wǎng)絡(luò)安全防護技術(shù)手段。
明確各級權(quán)限,分離信息系統(tǒng)運維權(quán)限和經(jīng)辦業(yè)務(wù)角色,對不同角色設(shè)置不同權(quán)限。根據(jù)經(jīng)辦業(yè)務(wù)人員職責(zé)區(qū)分設(shè)置業(yè)務(wù)操作和數(shù)據(jù)查詢范圍。按照網(wǎng)絡(luò)安全等級保護2.0制度要求,結(jié)合實際設(shè)置安全保密管理員、安全審計員和系統(tǒng)管理員等崗位。加強信息系統(tǒng)運維人員和經(jīng)辦業(yè)務(wù)人員權(quán)限管理,落實崗位安全職責(zé)。
定期評估安全系統(tǒng)軟硬件運行狀況、制度執(zhí)行情況、數(shù)據(jù)復(fù)制情況、告警或故障設(shè)備的數(shù)據(jù)保護狀況、權(quán)限的審批收回情況、密碼強度、外包服務(wù)中的數(shù)據(jù)保護管理情況、研發(fā)測試環(huán)境數(shù)據(jù)保護情況,對發(fā)現(xiàn)的問題及時整改。
嚴格執(zhí)行數(shù)據(jù)處理和使用審批流程,按照“知所必須,最小授權(quán)”的原則劃分數(shù)據(jù)訪問權(quán)限,實施脫敏、日志記錄等控制措施,防范數(shù)據(jù)丟失、泄露、未授權(quán)訪問等安全風(fēng)險。
從此次醫(yī)保局通知來看,伴隨智慧醫(yī)療和互聯(lián)網(wǎng)的快速發(fā)展,防范化解醫(yī)療保障系統(tǒng)數(shù)據(jù)安全風(fēng)險,促進數(shù)據(jù)合理安全開發(fā)利用勢在必行。數(shù)據(jù)安全治理是一項系統(tǒng)性工程,過程、方法和架構(gòu)都很重要。在醫(yī)療大數(shù)據(jù)、健康云、智慧醫(yī)療等新業(yè)態(tài)下,用戶數(shù)字身份安全成為構(gòu)建醫(yī)療保障安全體系中關(guān)鍵環(huán)節(jié),重要程度不容忽視。
醫(yī)療數(shù)據(jù)安全治理如何進行?
派拉軟件作為國內(nèi)數(shù)字身份安全領(lǐng)域的領(lǐng)導(dǎo)者,率先將零信任、持續(xù)自適應(yīng)、微隔離等前沿技術(shù)導(dǎo)入產(chǎn)品的研發(fā)與實踐中,融合微服務(wù)、人工智能、大數(shù)據(jù)等技術(shù),提供全場景數(shù)字身份治理解決方案,實現(xiàn)了:
01
構(gòu)建統(tǒng)一用戶數(shù)據(jù)集中管理平臺,對全場景的所有類型用戶賬號進行集中管理;自動匹配員工人事生命周期,實現(xiàn)“入”“轉(zhuǎn)”“調(diào)”“離”自動化運維,無須人工干預(yù);
02
統(tǒng)一應(yīng)用訪問入口,實現(xiàn)各個異構(gòu)系統(tǒng)之間的單點登錄,同時基于風(fēng)險管理引擎,自動識別用戶訪問場景的風(fēng)險等級,提供多因素認證,并且針對密碼的存儲和傳輸,支持多種加密方式,包括:AES、3DES、國密等,且滿足《等保2.0》和《密碼法》等法律法規(guī)的合規(guī)性要求;
03
基于業(yè)務(wù)角色模型和權(quán)限管理策略,提供分級管理授權(quán)和細顆粒度授權(quán),同時權(quán)限的管控通過流程標(biāo)準(zhǔn)化和規(guī)范化,符合“知所必須,最小授權(quán)”的原則,滿足等保2.0制度中授權(quán)管控的要求;
04
對用戶身份、賬號管理和訪問行為進行集中審計,并提供用戶賬戶統(tǒng)計分析,用戶登錄應(yīng)用行為分析和用戶訪問軌跡分析等多種統(tǒng)計分析類日志,便于事后溯源,滿足審計合規(guī)性要求。
中國醫(yī)療信息化經(jīng)過近二十年的發(fā)展,進入轉(zhuǎn)型換擋器,從過去的以醫(yī)療服務(wù)信息化為中心的階段,過渡到醫(yī)保信息化和醫(yī)藥信息化快速發(fā)展階段。從長遠的發(fā)展趨勢來看,醫(yī)療信息化市場,醫(yī)聯(lián)體、醫(yī)共體建設(shè)、電子病歷升級等需求穩(wěn)定增長,“互聯(lián)網(wǎng)+醫(yī)療”建設(shè)將迎來新的一輪建設(shè)潮。