8月17日,南昌市医疗行业数据安全座谈会顺利召开。近年来,数据开始从“静止”走向“流动共享”,随之而来,医疗数据安全也愈加突出,传统的数据安全体系难以周全保障数字时代新的系统架构对数据安全的冲击,风险无处不在。一旦出现数据泄露,不仅会对企业带来紧急损失,还有可能造成极为负面的社会影响。面对数据安全新形势下的诸多挑战与不断强化的监管政策,南昌市各家医院从事信息化工作的数十位同仁出席会议,只为对医疗行业数据安全形势有一个更加清晰的认识。
此次活动由南昌市公安局主办,南昌市网络信息安全协会及亿赛通共同承办。与会嘉宾围绕医疗行业数据安全政策、数据安全治理、数据安全防护体系建设与管理等方面开展专题演讲。望通过系统专业的讲解,进一步强化对医疗行业数据安全相关法律法规政策的理解,形成维护数据安全的新思路、新方法、新举措、新本领,切实提升新形势下安全保障能力。
随着医院信息化建设的网络边界逐渐扩大、信息化为医院提供快速、便捷、有效的服务、管理的同时,勒索病毒、信息泄露、网络攻击也给医疗行业带来了极大的危害。据IBM数据泄露成本报告显示,医疗保健、药品、医药等行业数据泄露平均成本占据前列。从全球监管趋势来看,全球107个国家和地区已经制定数据安全和隐私保护法律亚洲、非洲只有不到40%的国家有相关法律。在中国,自2016年起,国家陆续推出网络安全、数据安全相关政策法规,特别是近两年,行业监管条例如井喷式爆发。
针对医疗行业,卫健委发布了《“十四五”卫生健康标准化工作规划》强调健全卫生健康信息标准体系,完善基础类、数据类、应用类、技术类、管理类、安全与隐私类等6类信息标准的制定。此后,又发布了《医疗卫生机构网络安全管理办法》,加强了数据收集合法性管理,明确业务部门和管理部门在数据收集合法性中的主体责任。
亿赛通认为医疗行业作为数据密集型行业之一,数据共享流通频繁,数据集中处理、广泛共享、交叉使用是刚性业务需求,对企业的数据安全防护能力和数据治理能力有更高的要求。不同行业有不同的风险,医疗行业在信息化背景下的风险具体如下:
数据量更大
伴随着医疗信息化的快速发展,产生了海量的高通量数据。包括药品的研发数据(基于工程、疫苗、诊断试剂、微生态试剂、血液制品等)、销售数据、市场信息、专利信息、临床试验信息、生产检验数据、药品信息、电力病历、影像信息等等。
数据敏感度更高
医疗健康大数据包含临床大数据、健康大数据、生物大数据、经营运营大数据等,在大数据条件下,这些数据经由系统分析,能够产生新的价值。但是,这其中也直接包含着大量个人信息,一旦被非法第三方获取,则直接对患者隐私造成威胁。
业务系统更复杂
业务流程和运营管理的线上化,包括研发、采购、生产、营销、销售、HR、财务、IT等多个部门,暴露面更广, IT面临挑战更加复杂。
数据对外共享更频繁
医疗信息化各项科学研究通常需要大量的样本,单一机构的数据量很难满足这样的需求,跨机构、跨地域、跨国的数据共享非常频繁。各个国家和地区的隐私保护法律法规不同,分享过程数据滥用和泄露风险更高。
针对上述风险,亿赛通遵循IDPR能力框架模型,从决策层、管理层、执行层进行组织建设,并进行制度流程管控。始终遵循安全咨询、分类分级、分级管控的治理步骤,将终端、数据库及文件服务器内的数据做梳理,完成分类分级,为数据分级管控做铺垫,最终完成对标合规。
后续通过相应安全技术手段,如:数据库审计、电子文档加密、数据脱敏、数据水印、数据防泄漏、访问控制、关联分析、追踪溯源等,通过人工智能算法,以人员和终端行为分析为主线,发现威胁企业的数据安全事件,提供完整追溯取证证据链。将各个孤立的安全系统进行资源整合,实现数据资产可视、数据威胁可管、数据风险可控、数据血缘可溯。
本次座谈会为医疗行业从业人员提供了一个良好的交流平台,就医疗行业政策趋势、数据安全治理、安全运维等难题进行了深入交流与探讨。未来,亿赛通仍将秉持“中国数据安全专家”的职责,成就所托,持续为行业客户的业务顺畅运行保驾护航。
期推荐
又一高校发生数据泄露事件!罚款80万!
数据安全治理:打好安全管理与安全技术的协同之战
安全随行 | 智能汽车时代,如何构筑汽车数据的安全围墙?
