《“健康中國2030”規(guī)劃綱要》的印發(fā)表明健康醫(yī)療大數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源�,隨著云計算與大數(shù)據(jù)等新技術(shù)賦能智慧醫(yī)療領(lǐng)域��,醫(yī)療云應(yīng)運(yùn)而生����。由于醫(yī)療數(shù)據(jù)與生命健康強(qiáng)相關(guān)����、內(nèi)容高度敏感,數(shù)據(jù)一旦泄漏����,無論對患者����、醫(yī)療機(jī)構(gòu)�����,還是相關(guān)生態(tài)產(chǎn)業(yè)都可能帶來威脅��。為了更好地保護(hù)醫(yī)療云數(shù)據(jù)安全��,規(guī)范和推動健康醫(yī)療數(shù)據(jù)的融合共享���、開放應(yīng)用��,亟需構(gòu)建醫(yī)療云數(shù)據(jù)防護(hù)體系����。
醫(yī)療云數(shù)據(jù)的安全現(xiàn)狀
在醫(yī)療數(shù)據(jù)上云過程中�,新技術(shù)在各個環(huán)節(jié)帶來便捷的同時增加了醫(yī)療數(shù)據(jù)與云環(huán)境相關(guān)的風(fēng)險范圍。綜合起來���,醫(yī)療云數(shù)據(jù)安全不僅包含原有安全問題���,還包含云環(huán)境安全問題�����。
1.數(shù)據(jù)安全風(fēng)險意識缺失���。醫(yī)療機(jī)構(gòu)工作人員可直接接觸患者健康診療數(shù)據(jù),近期發(fā)生的患者病歷泄露事件反映出醫(yī)護(hù)人員對患者隱私保護(hù)意識淡薄����,折射出醫(yī)療機(jī)構(gòu)可能未向全體人員宣貫《數(shù)據(jù)安全法》《個人信息保護(hù)法》等內(nèi)容。
2.醫(yī)療信息系統(tǒng)建設(shè)水平參差不齊�。醫(yī)療云提供多個API聯(lián)結(jié)各個醫(yī)療機(jī)構(gòu)的信息系統(tǒng),由于醫(yī)療機(jī)構(gòu)管理體制參差不齊�����,存在系統(tǒng)更新較為滯后且網(wǎng)絡(luò)開放程度高的醫(yī)療機(jī)構(gòu)�,攻擊者很容易進(jìn)入此類機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)����,進(jìn)而對云平臺進(jìn)行攻擊。
3.云特性帶來的額外風(fēng)險�����。醫(yī)療云資源的池化存在多用戶共享相同存儲空間,存在數(shù)據(jù)的隱私性以及完整性被破壞的風(fēng)險�。醫(yī)療云數(shù)據(jù)的分布式存儲和異地備份機(jī)制提高了數(shù)據(jù)的管理難度、擴(kuò)大了數(shù)據(jù)被泄露的風(fēng)險���、增加了被攻擊的可能性���。
4.云解決方案選型能力不足。信息化高級人才大量涌入互聯(lián)網(wǎng)行業(yè)��,使得醫(yī)療行業(yè)普遍缺少IT技術(shù)骨干�,醫(yī)療利益相關(guān)者無法對云平臺提供的數(shù)據(jù)安全保護(hù)能力進(jìn)行評估,最終導(dǎo)致很難選擇符合其安全需求的醫(yī)療云平臺�。
DSMM賦能醫(yī)療云數(shù)據(jù)安全體系建設(shè)
目前缺乏專門的醫(yī)療云數(shù)據(jù)安全相關(guān)指南,現(xiàn)有的云安全指南(例如:標(biāo)準(zhǔn)GB/T 31168-2014)主要以云服務(wù)產(chǎn)品為主體�����,對數(shù)據(jù)安全保護(hù)要求的描述不夠全面�����,導(dǎo)致基于云的醫(yī)療保健服務(wù)存在一定的風(fēng)險,阻礙了醫(yī)療云的發(fā)展����。因此,亟需使用針對數(shù)據(jù)安全能力進(jìn)行評價的標(biāo)準(zhǔn)����,對醫(yī)療云服務(wù)機(jī)構(gòu)以及相關(guān)利益方進(jìn)行測評。作為第三方評估機(jī)構(gòu)����,建議醫(yī)療云服務(wù)相關(guān)利益方采用DSMM標(biāo)準(zhǔn)“以評促建”,是當(dāng)前提升醫(yī)療云數(shù)據(jù)安全體系建設(shè)的可行解決方案�。
1. DSMM評估要素
GB/T 37988-2019 《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(簡稱DSMM)可圍繞組織數(shù)據(jù)采集、傳輸����、存儲、處理�、交換和銷毀的數(shù)據(jù)全生命周期進(jìn)行分析,在每個階段從組織建設(shè)�����、制度流程�、技術(shù)工具和人員能力四個維度進(jìn)行能力成熟度等級評估����,從而得到組織數(shù)據(jù)安全能力結(jié)果�����。
2. DSMM評估價值
DSMM評估是從數(shù)據(jù)安全管理的角度�����,以組織的數(shù)據(jù)為核心�,圍繞數(shù)據(jù)全生命周期進(jìn)行分析���、發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險����。專業(yè)團(tuán)隊通過DSMM評估可幫助組織定位自身數(shù)據(jù)安全短板�����,有針對性地提出數(shù)據(jù)安全能力提升路徑���,能夠在一定程度上解決目前醫(yī)療云在數(shù)據(jù)安全方面存在的問題:
(1)組織建設(shè)落實醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全責(zé)任
構(gòu)建數(shù)據(jù)安全決策層�����、管理層��、執(zhí)行層三層管理結(jié)構(gòu)����,確定職責(zé)分配和溝通協(xié)作機(jī)制,為增強(qiáng)醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險意識做基礎(chǔ)���。
(2)制度流程細(xì)化醫(yī)療機(jī)構(gòu)數(shù)據(jù)安全策略
建設(shè)各項數(shù)據(jù)安全理制度體系�����,依據(jù)DSMM標(biāo)準(zhǔn)�����、GB/T 39725-2020等醫(yī)療數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)從上層得數(shù)據(jù)安全方針和總綱到中層的數(shù)據(jù)安全管理規(guī)范���,最終到數(shù)據(jù)安全合規(guī)操作指南和作業(yè)指導(dǎo)。在建設(shè)制度體系過程中�,不斷提升各崗位角色數(shù)據(jù)安全風(fēng)險意識。
(3)技術(shù)工具統(tǒng)一信息系統(tǒng)建設(shè)水平
梳理醫(yī)療云中的各信息系統(tǒng)�����,提出統(tǒng)一建設(shè)要求��,使得系統(tǒng)本身和輔助工具均有效執(zhí)行數(shù)據(jù)安全策略�。
(4)人員能力提升專業(yè)數(shù)據(jù)安全水平
制定相關(guān)人員參與提升計劃,為醫(yī)療云以及相關(guān)利益方培養(yǎng)核心人員數(shù)據(jù)安全管理能力�����、數(shù)據(jù)安全運(yùn)營能力��、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力����,為理解、使用云解決方案做人才儲備�����。
