美创科技胡大海：“五步法”助力医院数据安全治理能力建设 | 2021年南湖HIT论坛

来源：HIT专家网      作者：姜浩 根据录音整理

目前，医院医疗数据安全建设正面临全新挑战，合理借助第三方提供的数据安全治理服务，将更利于提升医院整体数据安全能力。

在由HIT专家网主办的2021年南湖HIT论坛上，杭州美创科技有限公司（以下简称美创科技）产品与解决方案支持中心总监胡大海介绍了美创科技如何通过“数据安全治理五步法”——明现状、定规划、立组织、定制度、建标准，助力医院数据安全风险防护。

明现状

“明现状”包括数据安全现状调研、数据资产梳理与分类分级、数据安全风险评估。

据胡大海介绍，美创科技以国家标准数据安全能力成熟度模型（Data Security Capability Maturity Model，简称DSMM）为抓手，同时结合国内外先进的数据安全模型和框架方法论，将数据安全治理服务能力与数据安全架构能力、数据安全技战能力共同组成“三大能力”，推动医院数据安全能力体系提升。

首先，在数据安全现状调研中，美创科技将通过访谈、收集材料等方式，对数据安全现状进行分析评估，给出调研及分析评估报告，包括：组织架构、数据安全相关政策制度和规范、业务特征、网络拓扑、数据存储情况、日常操作与管理等内容。

其次，数据资产盘点与数据分级分类。“这是数据安全精细化管控的基础。”胡大海表示，不同类型数据的安全需求也有所不同。只有对数据有了全面认知，并按重要程度及敏感程度进行分类分级，才能在数据安全防护中做到有的放矢。

数据资产盘点工作将通过调研访谈、文件分析、工具探查，多维度了解数据资产，明确数据资产构成、特征、范围及流转情况，形成数据资产清单、数据权限现状和数据流向图，从而厘清数据资产。数据分类分级中，美创科技基于《信息安全技术 健康医疗数据安全指南》等医疗行业标准与医疗数据特征属性，并合政府相关指导文件，通过体系化的流程方法论和工具，对数据进行分级分类，最终输出分级分类报告。

数据只有在流动时才能产生价值，但数据在流动过程中要面对从有序到无序，再到失控的问题。因此，只有结合医院整体业务数据流向，帮助医院梳理出数据资产传播图，才能制定出相应的安全防护策略。

再次是数据安全风险评估，美创科技将针对医院内的数据收集、存储、传输、使用、交换和销毁等活动，根据相关法规标准要求，按照风险分析方法，分析医院内数据相关活动或数据资产存在的安全风险，生成数据资产的全面风险清单和风险预估，并基于评估结果给岀风险处置建议。

美创科技提供数据安全合规风险评估服务，对标《数据安全法》《个人信息保护法》，结合医疗行业的相关标准及国家卫生健康委的管理条例等，确认评估范围，制定评估计划，经调研访谈与验证，汇总合规对标清单，形成合规风险评估报告，充分了解本组织数据业务的数据安全合规情况，尽早规避可能存在的合规风险，做到“早发现、早处理”。

胡大海表示：“通过明现状，医院基本可以对数据安全风险形成清晰认知。”

订规划

这一阶段的任务是根据现状分析及风险评估，制订数据安全总体规划，强化顶层设计，将数据安全建设发展纳入医院发展规划和工作计划。

数据安全总体规划包括数据安全管理建设规划（如：组织架构、制度建设、流程管理等）以及数据安全技术建设规划。

其中，数据安全技术建设规划基于上述数据安全现状梳理成果，以业务需求为导向，遵从“整体施策，分步实施；填平补齐、完善提高；系统可靠，安全优先”的原则构建安全体系。可从数据采集、传输、存储、交换、共享、销毁等各个环节，充分认识其中的安全风险，从身份识别、权限控制、审计监控等方面进行整体的安全策略管理，构建完整的技术及运营体系，设计应急响应机制，定期评估数据安全风险及开展数据安全应急演练。

数据安全技术建设规划也可分阶段建设，包括数据内控合规、数据全域管控、风险全局可视：数据内控合规阶段通过敏感数据发现、数据动/静态脱敏、数据库日志审计、权限管控和数据资产保护、身份鉴别（人、终端、应用）、高危操作防护、访问控制、特权管理等，加强内部安全管控；数据全域管控阶段更加侧重组织数据安全全面可管理，基于已有的网络安全和内控安全保障，防御外部和数据流动风险，主要包括入侵防护、漏洞防御、访问控制、误操作恢复、数据加密、计算环境安全、溯源管理、数据加密等，通过数据安全管理平台整体实现数据全域管理；风险全局可视阶段，以日志信息、风险操作、告警、数据库运行状态等大数据为基础，从全局视角提升对数据安全威胁的发现识别、理解、分析和响应能力的防护方式。

立组织

在“立组织”阶段，美创科技将根据上一阶段做出的数据安全建设规划，为医院建立组织保障，帮助医院落实《数据安全法》第27条（重要数据的处理者应当明确数据安全责任人和管理机构，落实数据安全保护责任）、第30条（重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告），以及《三级综合医院评审标准（2020年版）》对“信息管理”提出的要求。

在这一阶段，医院应进一步完善信息化建设管理组织架构，根据信息化建设标准与相关规定，制定与医院发展相适应的信息化建设规划，加强各部门间的信息化协同联动。

定制度

没有规矩不成方圆，制定相应的制度可为数据安全管理提供依据和保障，包括规章制度、管控办法、奖惩机制、技术规范等，以及由分管领导、数据安全人员、数据管理人员以及相关人员等共同制定的、组织层面的数据管理制度规范。《三级综合医院评审标准（2020年版）》中明确指出：医院主要负责人是患者诊疗信息安全管理第一责任人，依法依规建立覆盖患者诊疗信息管理全流程的制度和技术保障体系。

胡大海说：“如果没有人员去执行，再好的制度也是空洞的。”美创科技将从数据安全发展全局视角出发，辅助医院做好数据安全制度及流程建设，并有针对性地对医院员工进行培训，促进数据安全能力提升和专业人才发展。

建标准

《数据安全法》第10条提出：相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展；第17条明确，国家支持企业、社会团体和教育、科研机构等参与标准制定。

过去，美创科技曾参与过十多项国家标准、行业标准的制定。在“建标准”阶段，与医院客户共建共创数据安全技术与能力，制定数据安全相关标准，是美创科技的特色服务能力之一。

“美创科技的目标是帮助医院建立持续安全运营能力。”胡大海表示，在美创科技的帮助下，医院将实现“六个统一”——统一账户、统一监控、统一展示、统一分析、统一告警、统一配置，变被动防护为主动防护，变单点防护为整体防护，最终形成健全的数据安全态势感知能力。

【责任编辑：秦勉】