美創科技受邀為阿勒泰地區醫療衛生機構開展醫療資料安全培訓

為貫徹國家衛健委《關於印發醫療衛生機構網路安全管理辦法的通知》)要求，切實推動阿勒泰地區醫療衛生機構網路安全保護工作有序開展，近日，新疆阿勒泰地區衛生健康委員會組織開展醫療衛生機構網路資訊保安、密碼應用安全、資料安全專題培訓。

美創科技受邀參加，醫療行業解決方案專家田平以 《 醫療資料分類分級助力醫院高質量發展》為主題，分享醫療資料分類分級安全體系建設實踐。

培訓中，田平提到， 資料分類分級是醫療行業資料安全建設的起點， 只有明確現有資料哪些是重要資料，哪些是一般資料，才能採取不同的資料安全策略保障，實現按需防護、分級防護，讓資料在安全狀態下實現有效的利用和價值釋放。這不僅是《資料安全法》等法律法規、各省市衛健安全檢查監管的明確要求，也是醫療資料廣泛應用、互聯互通、電子病歷分級評價大背景下開展資料安全建設的有效方式。

 

目前，對於醫療衛生機構來講， 怎麼開展、如何開展分類分級工作，普遍受限於缺乏標準指導、自動化工具、專業人才等。尤其在核心資料、重要資料識別與梳理、一般資料分類分級維度選擇、資料安全等級定義問題上，醫療衛生機構普遍面臨難點。

對此， 美創認為做好資料分類分級需要兩項專業技能： 因為資料分類分級是資料安全建設的基礎所以首先需要精通資料安全，其次資料是由業務產生，資料天然帶有業務屬性，所以想做好資料分類分級工作還必須精通醫療業務。美創科技在醫療行業深耕18年，有豐富的行業經驗，結合兩種經驗已形成一整套方法流程、產品工具及專業安全團隊。

 

資料分類分級實施路徑

同時美創科技對標參考法律法規、國家行業標準，如《資料安全法》、《醫療衛生機構網路安全管理辦法》、《國家衛生健康委規劃司衛生健康行業資料分類分級指南（徵求意見稿）》、《GB/T 39725-2020 資訊保安技術 健康醫療資料安全指南》及其他行業地方標準等， 形成切實可行的核心資料、重要資料識別模型 。

對於醫療衛生機構普遍關注的分類分級結果如何指導資料安全措施落地實踐，美創科技 首次提出基於資料分類分級結果的醫療行業資料合規共享與敏感資產防護整體架構， 在這個架構體系裡，分類分級結果可有效解決資料合規共享（臨床業務）以及敏感資產安全防護（內部管理）場景下的資料安全問題。

基於資料分類分級結果的醫療行業資料合規共享與敏感資產防護整體架構

例如： 在臨床資料合規共享場景中， 幫助使用者在醫生畫像、資料合規性檢查、臨床資料共享、政府資料上報等維度實現資料的合規性應用。

資料分類分級結果在臨床資料合規共享應用場景

在敏感資產安全防護（內部管理）中， 依據資料分類分級結果，建立相適應的安全管控策略。比如在醫療運維側， 透過分類分級結果有效管控運維側工作人員對核心資料、重要資料的訪問許可權 ， 對於一般資料中的敏感個人資訊與特殊病種在訪問時可以進行差異化訪問控制。在醫療審計側，原有資料審計只能審計到表、欄位、資料與時間，基於資料分類分級結果後，除了能滿足原有的審計物件外，還能審計資料的敏感度，對於核心資料、重要資料、敏感個人資料與特殊病種資料能實現更加精確化審計並告警。

資料分類分級結果在醫療運維側應用場景

在新冠疫情資料安全防護方面， 透過資料分類分級系統與資料庫防火牆聯動，解決網路邊界被攻破後的業務邊界的安全防護，以防止涉疫資料的洩漏。與資料庫防水壩聯動解決內部管理員與第三方維護人員對涉疫資料濫用與誤用。與資料脫敏系統的聯動解決涉疫資料在流動過程中的安全防護問題。

資料分類分級結果在涉疫資料安全防護應用場景