在美創科技收到的這一封感謝信的背後

2月20日，美創科技收到了一份特殊的“新年開工禮包”——來自復旦大學附屬中山醫院的感謝信，讓我們倍受鼓舞，一段資料安全“並肩協作”的故事也再次浮現。

復旦大學附屬中山醫院 （以下簡稱“中山醫院”）始建於1937年，為紀念中國民主革命的先驅孫中山先生而命名，是中國人建立和管理的最早的大型綜合性醫院之一，80多年的砥節礪行，中山醫院創下了中國醫學史上諸多“第一”, 獲譽無數。2020年度全國三級公立醫院績效考核中，中山醫院連續多年獲得最高評級“A++”。在上海申康醫院發展中心市級醫院院長績效考核中，中山醫院連續多年位列上海市綜合類醫院第一名。

近年來，醫院以規劃引領、基礎支撐、數智創新“三位一體”驅動全院資訊化建設，壁畫“1234”十全十美美好未來元醫院建設藍圖。全面打造“5G+數字孿生智慧醫療生態圈”，以數智賦能聚勢前行。

隨著全民健康資訊互聯互通、網際網路醫院、電子病歷和智慧醫療等領域的快速發展，醫療資料變得更為重要和敏感。這些資料不僅關係到醫院內部的業務，還涉及到外部的資料共享，因此確保醫院資料的安全、合規和可信變得至關重要。

2023年8月至12月，為了防範化解資料安全風險，推進上海市網路資料安全風險評估工作，上海市委網信辦發起網路資料安全風險評估試點工作。

復旦大學附屬中山醫院積極參與試點， 攜手在資料安全工作方面有豐富實戰經驗的相關單位共同開展相關工作，美創科技有幸參與其中。

考慮到醫療行業資料的特殊性、場景的多樣性，風險評估需要進行更加典型和細化的分析，因此，本次專案範圍挑選了在資料使用者和資料開放程度上具有明顯代表性的典型系統進行專項的資料安全風險評估工作，旨在透過對使用角色不同、使用場景不同、開放程度不同系統的醫療典型場景探索，細化並總結當前資料使用場景下的資料安全隱患，沉澱資料安全風險評估經驗，為後續同類場景的隱患識別、其他場景的風險識別提供參考思路和實踐經驗。

本次資料安全風險評估廣泛對標法律法規、行業標準指南，重點參考《網路安全標準實踐指南 網路資料安全風險評估實施指引》（ TC260-PG-20231A ）、《資訊保安技術 健康醫療資料安全指南》（ GB/T 39725-2020 ）、《資訊保安技術 資料安全風險評估方法》（徵求意見稿）等，從評估準備、資訊調研、風險識別、綜合分析、評估總結等環節開展。具體包括：

1 評估準備： 依照網路資料安全風險評估試點工作要求，組建評估團隊，開展前期準備工作，制定評估工作方案與計劃。

2 資訊調研： 針對試點業務系統，對應用架構、資料資產、資料處理活動和安全措施進行詳細調研，收集、掌握被評估物件的基本情況。

3 風險識別： 融合網路資料安全要求、重要資料安全要求、敏感個人資訊保安要求、健康醫療資料安全指南等合規要求，設計資料安全評估清單、技術檢查方案等，識別資料安全管理、資料安全技術、資料處理活動和個人資訊處理方面的資料安全問題清單。

4 綜合分析： 結合資訊調研情況和資料安全評估報告，輸出資料風險清單，並從資料重要性、風險影響程度、可利用性等評估風險的重要性，並對風險進行排序，針對高優先順序的資料安全風險提供整改方案。

5 評估總結： 編寫資料安全風險評估試點專案文件成果，提交試點主管部門結項。

在實施評估過程中，美創資料安全服務團隊參與多輪業務調研會、階段性總結會，透過專業充分的溝通協作，更深入瞭解組織的業務、資料和資料處理活動的關鍵資訊，更好地推動各環節工作有序、有效開展，展現出專業的能力水平和職業素質。

以往的資料安全風險評估工作，主要使用調研問卷作為基礎評估結果來源，雖然可以透過核驗文件材料的方式驗證落實情況，但在大量的問卷調研中，依舊會存在業務掌握度低、主觀意識強、自由裁量等問題。

而本次風險評估試點工作則在傳統網路安全檢測工具(漏掃、滲透等)的基礎上，透過應用美創自研的 資料安全分類分級平臺、API安全監測與訪問控制系統、資料安全綜合評估系統等自動化工具， 更快速識別梳理院內現有資料資產情況、分類分級情況、資料訪問許可權情況、敏感資料呼叫情況，分析潛在的風險問題，在降低人力成本的同時，也提供了更為客觀的資訊，極大提高了評估結果的可信度。

其中：

資料安全分類分級平臺：對業務系統資料進行資產掃描、登記和臺賬建立，明確資料資產分佈，同時，平臺內建通用分類分級標準，根據醫院實際的資料安全分級訴求，快速自動化完成資料打標工作，分別輸出資料分類分級報告 。

資料許可權檢測工具：完成對資料訪問許可權的技術探查，判斷是否存在高許可權使用者，識別潛在風險項，幫助全面瞭解資料庫中的許可權結構，包括使用者、角色、物件和操作。

API安全監測與訪問控制系統：對試點系統API介面資產進行統一梳理，繪製介面畫像和介面訪問軌跡，監測敏感資料流動風險，識別介面呼叫的異常使用者行為。

資料安全綜合評估系統：基於豐富的知識庫以及評估分析引擎，整合多維度資訊，快速準確完成安全能力差距分析、資料合規風險分析、資料生命週期風險分析，輸出完整的資料安全風險評估報告。

中山醫院圓滿完成資料安全風險評估工作，並榮獲上海市委網信辦資料安全風險評估優秀試點單位， 實現“以評促建、以評促改”的建設目標，進一步提升醫療場景資料安全風險管理水平，探索出行業可借鑑的資料安全風險評估實踐。

2024年1月31日，在上海市委網信辦會組織召開的網路資料安全風險評估試點工作總結暨座談交流會上，復旦大學附屬中山醫院作為優秀單位代表交流發言中，對資料安全自動化工具所展現的出色能力和取得的收益予以了高度認可。

2024年2月20日，復旦大學附屬中山醫院的感謝信悄然而至， 這封來自行業客戶的“開工禮包” ， 不僅是對美創團隊服務能力的認可，更是美創新的一年繼續前行、不斷突破的最好鼓舞。

復旦大學附屬中山醫院

授予美創科技感謝信

‣‣‣

不負信任，未來，美創科技也將不斷總結先進經驗，持續提升產品服務能力，全力支援復旦大學附屬中山醫院的資料安全工作，也將為更多行業使用者資料安全提供專業、值得信賴的守護，助力資料要素安全釋放價值！