《“健康中國(guó)2030”規(guī)劃綱要》的印發(fā)表明健康醫(yī)療大數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源����,隨著云計(jì)算與大數(shù)據(jù)等新技術(shù)賦能智慧醫(yī)療領(lǐng)域�,醫(yī)療云應(yīng)運(yùn)而生�。由于醫(yī)療數(shù)據(jù)與生命健康強(qiáng)相關(guān)、內(nèi)容高度敏感�,數(shù)據(jù)一旦泄漏,無(wú)論對(duì)患者��、醫(yī)療機(jī)構(gòu)���,還是相關(guān)生態(tài)產(chǎn)業(yè)都可能帶來(lái)威脅�。為了更好地保護(hù)醫(yī)療云數(shù)據(jù)安全�����,規(guī)范和推動(dòng)健康醫(yī)療數(shù)據(jù)的融合共享�����、開(kāi)放應(yīng)用��,亟需構(gòu)建醫(yī)療云數(shù)據(jù)防護(hù)體系。
醫(yī)療云數(shù)據(jù)的安全現(xiàn)狀
在醫(yī)療數(shù)據(jù)上云過(guò)程中�,新技術(shù)在各個(gè)環(huán)節(jié)帶來(lái)便捷的同時(shí)增加了醫(yī)療數(shù)據(jù)與云環(huán)境相關(guān)的風(fēng)險(xiǎn)范圍。綜合起來(lái)��,醫(yī)療云數(shù)據(jù)安全不僅包含原有安全問(wèn)題�,還包含云環(huán)境安全問(wèn)題。
1.數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)缺失���。醫(yī)療機(jī)構(gòu)工作人員可直接接觸患者健康診療數(shù)據(jù)���,近期發(fā)生的患者病歷泄露事件反映出醫(yī)護(hù)人員對(duì)患者隱私保護(hù)意識(shí)淡薄,折射出醫(yī)療機(jī)構(gòu)可能未向全體人員宣貫《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等內(nèi)容�����。
2.醫(yī)療信息系統(tǒng)建設(shè)水平參差不齊���。醫(yī)療云提供多個(gè)API聯(lián)結(jié)各個(gè)醫(yī)療機(jī)構(gòu)的信息系統(tǒng)��,由于醫(yī)療機(jī)構(gòu)管理體制參差不齊�����,存在系統(tǒng)更新較為滯后且網(wǎng)絡(luò)開(kāi)放程度高的醫(yī)療機(jī)構(gòu)�,攻擊者很容易進(jìn)入此類機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò),進(jìn)而對(duì)云平臺(tái)進(jìn)行攻擊����。
3.云特性帶來(lái)的額外風(fēng)險(xiǎn)。醫(yī)療云資源的池化存在多用戶共享相同存儲(chǔ)空間�����,存在數(shù)據(jù)的隱私性以及完整性被破壞的風(fēng)險(xiǎn)��。醫(yī)療云數(shù)據(jù)的分布式存儲(chǔ)和異地備份機(jī)制提高了數(shù)據(jù)的管理難度�����、擴(kuò)大了數(shù)據(jù)被泄露的風(fēng)險(xiǎn)�����、增加了被攻擊的可能性���。
4.云解決方案選型能力不足。信息化高級(jí)人才大量涌入互聯(lián)網(wǎng)行業(yè)��,使得醫(yī)療行業(yè)普遍缺少IT技術(shù)骨干,醫(yī)療利益相關(guān)者無(wú)法對(duì)云平臺(tái)提供的數(shù)據(jù)安全保護(hù)能力進(jìn)行評(píng)估�,最終導(dǎo)致很難選擇符合其安全需求的醫(yī)療云平臺(tái)。
DSMM賦能醫(yī)療云數(shù)據(jù)安全體系建設(shè)
目前缺乏專門的醫(yī)療云數(shù)據(jù)安全相關(guān)指南���,現(xiàn)有的云安全指南(例如:標(biāo)準(zhǔn)GB/T 31168-2014)主要以云服務(wù)產(chǎn)品為主體�����,對(duì)數(shù)據(jù)安全保護(hù)要求的描述不夠全面����,導(dǎo)致基于云的醫(yī)療保健服務(wù)存在一定的風(fēng)險(xiǎn)���,阻礙了醫(yī)療云的發(fā)展���。因此,亟需使用針對(duì)數(shù)據(jù)安全能力進(jìn)行評(píng)價(jià)的標(biāo)準(zhǔn)��,對(duì)醫(yī)療云服務(wù)機(jī)構(gòu)以及相關(guān)利益方進(jìn)行測(cè)評(píng)�。作為第三方評(píng)估機(jī)構(gòu),建議醫(yī)療云服務(wù)相關(guān)利益方采用DSMM標(biāo)準(zhǔn)“以評(píng)促建”�,是當(dāng)前提升醫(yī)療云數(shù)據(jù)安全體系建設(shè)的可行解決方案。
1. DSMM評(píng)估要素
GB/T 37988-2019 《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(簡(jiǎn)稱DSMM)可圍繞組織數(shù)據(jù)采集�����、傳輸、存儲(chǔ)�、處理、交換和銷毀的數(shù)據(jù)全生命周期進(jìn)行分析�����,在每個(gè)階段從組織建設(shè)�����、制度流程����、技術(shù)工具和人員能力四個(gè)維度進(jìn)行能力成熟度等級(jí)評(píng)估�����,從而得到組織數(shù)據(jù)安全能力結(jié)果���。
2. DSMM評(píng)估價(jià)值
DSMM評(píng)估是從數(shù)據(jù)安全管理的角度����,以組織的數(shù)據(jù)為核心,圍繞數(shù)據(jù)全生命周期進(jìn)行分析��、發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)�����。專業(yè)團(tuán)隊(duì)通過(guò)DSMM評(píng)估可幫助組織定位自身數(shù)據(jù)安全短板�����,有針對(duì)性地提出數(shù)據(jù)安全能力提升路徑�����,能夠在一定程度上解決目前醫(yī)療云在數(shù)據(jù)安全方面存在的問(wèn)題:
(1)組織建設(shè)落實(shí)醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全責(zé)任
構(gòu)建數(shù)據(jù)安全決策層�、管理層、執(zhí)行層三層管理結(jié)構(gòu)�,確定職責(zé)分配和溝通協(xié)作機(jī)制,為增強(qiáng)醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)做基礎(chǔ)��。
(2)制度流程細(xì)化醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全策略
建設(shè)各項(xiàng)數(shù)據(jù)安全理制度體系���,依據(jù)DSMM標(biāo)準(zhǔn)���、GB/T 39725-2020等醫(yī)療數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)從上層得數(shù)據(jù)安全方針和總綱到中層的數(shù)據(jù)安全管理規(guī)范���,最終到數(shù)據(jù)安全合規(guī)操作指南和作業(yè)指導(dǎo)。在建設(shè)制度體系過(guò)程中����,不斷提升各崗位角色數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)。
(3)技術(shù)工具統(tǒng)一信息系統(tǒng)建設(shè)水平
梳理醫(yī)療云中的各信息系統(tǒng)���,提出統(tǒng)一建設(shè)要求�,使得系統(tǒng)本身和輔助工具均有效執(zhí)行數(shù)據(jù)安全策略�。
(4)人員能力提升專業(yè)數(shù)據(jù)安全水平
制定相關(guān)人員參與提升計(jì)劃,為醫(yī)療云以及相關(guān)利益方培養(yǎng)核心人員數(shù)據(jù)安全管理能力���、數(shù)據(jù)安全運(yùn)營(yíng)能力�、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力�,為理解�、使用云解決方案做人才儲(chǔ)備。
