一级中文字幕乱码免费_最近最新中文字幕高清_综合图区少妇熟女_成人黄色片免费观看_91免费福利精品国产_加勒比av在线播放_2020国内自拍视频_国产黄色毛片一级_日韩欧美性爱网址大全_aⅤ电影中文一区

      隨著醫(yī)療行業(yè)信息化建設(shè)快速發(fā)展，其應(yīng)用終端數(shù)量激增，加之線上業(yè)務(wù)、云服務(wù)技術(shù)等逐漸普及，醫(yī)療行業(yè)數(shù)據(jù)呈幾何式增長，已成為醫(yī)療企業(yè)最具價(jià)值的核心資產(chǎn)之一。同時(shí)因?yàn)獒t(yī)療數(shù)據(jù)的高敏感性，一旦發(fā)生泄漏必將產(chǎn)生嚴(yán)重的后果，這也導(dǎo)致醫(yī)療企業(yè)對數(shù)據(jù)安全越來越重視。

◆ 2021年4月，8.9萬新生兒和產(chǎn)婦的個人信息從某市醫(yī)院泄漏出來，這些泄漏出來的信息，被轉(zhuǎn)賣給母嬰服務(wù)中心用于推銷服務(wù)；

◆ 2021年6月，一起醫(yī)院外包軟件運(yùn)維人員非法下載“統(tǒng)方”數(shù)據(jù)并出售牟利，嚴(yán)重違反了國家相關(guān)規(guī)定。

      基于醫(yī)療行業(yè)數(shù)據(jù)的特殊性，面對當(dāng)前日益嚴(yán)峻的醫(yī)療數(shù)據(jù)安全風(fēng)險(xiǎn)形勢，國家及行業(yè)高度重視。尤其是在《數(shù)據(jù)安全法》、《個人信息保護(hù)法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》三大法律法規(guī)相繼發(fā)布實(shí)施后，從法律層面嚴(yán)格要求加強(qiáng)對醫(yī)療數(shù)據(jù)的安全保護(hù)。

      《數(shù)據(jù)安全法》中明確規(guī)定：“各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護(hù)制度，確定本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，對列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)。”

      《個人信息保護(hù)法》中規(guī)定“只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個人信息處理者方可處理敏感個人信息”，這里提到的敏感個人信息就包括醫(yī)療健康信息。

威脅與挑戰(zhàn)

      作為中國新一代信息安全技術(shù)企業(yè)的代表廠商，明朝萬達(dá)深耕數(shù)據(jù)安全領(lǐng)域十余年，其安全專家認(rèn)為當(dāng)前醫(yī)療行業(yè)面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)主要體現(xiàn)在以下方面：

1、終端設(shè)備管理問題

醫(yī)療機(jī)構(gòu)在準(zhǔn)入控制、終端安全管理、配發(fā)終端管理、設(shè)備資產(chǎn)安全管理方面存在安全風(fēng)險(xiǎn)，相應(yīng)管理制度和安全技術(shù)缺乏。

2、數(shù)據(jù)安全管理問題

醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全意識在逐漸增強(qiáng)，但制度建設(shè)相對滯后，沒有建立起統(tǒng)一的數(shù)據(jù)管控機(jī)制。同時(shí)隨著“互聯(lián)網(wǎng)+”等新形態(tài)逐步滲透至醫(yī)療行業(yè)的各個環(huán)節(jié)，從客觀上打破了醫(yī)療行業(yè)數(shù)據(jù)相對封閉的使用環(huán)境，導(dǎo)致醫(yī)療數(shù)據(jù)泄漏方式和泄露風(fēng)險(xiǎn)增加。

3、IT運(yùn)維管理問題

醫(yī)療行業(yè)數(shù)據(jù)因其價(jià)值和高敏感性深受不法分子覬覦，很容易引發(fā)來自互聯(lián)網(wǎng)的外部攻擊行為。目前醫(yī)療機(jī)構(gòu)IT運(yùn)維管理中存在的問題包括：主機(jī)管理復(fù)雜、遠(yuǎn)程技術(shù)支持無法及時(shí)應(yīng)急響應(yīng)、批量下發(fā)與刪除處理能力缺乏等。對醫(yī)療行業(yè)而言，安全相關(guān)方不僅是醫(yī)院，還包括醫(yī)保局、藥品監(jiān)督管理局等上級單位，和醫(yī)療掛鉤的保險(xiǎn)公司、系統(tǒng)運(yùn)維、醫(yī)藥廠家等第三方機(jī)構(gòu)，以及醫(yī)療數(shù)據(jù)的直系關(guān)聯(lián)對象普通民眾。

建設(shè)思路

      目前看來，醫(yī)療行業(yè)相關(guān)數(shù)據(jù)類別多、復(fù)雜程度高，數(shù)據(jù)分類分級標(biāo)準(zhǔn)尚處于缺失的狀態(tài)。

· 醫(yī)療數(shù)據(jù)類別多樣

醫(yī)院常規(guī)臨床診治、科研和管理過程中產(chǎn)生的各種門急診記、住院記錄、影像記錄、實(shí)驗(yàn)室記錄、用藥記錄、手術(shù)記錄、隨訪記錄和醫(yī)保數(shù)據(jù)等，以及HIS、LIS、PACS等系統(tǒng)提供的數(shù)據(jù)。
· 醫(yī)療數(shù)據(jù)復(fù)雜性高

醫(yī)療數(shù)據(jù)一方面包含有大量醫(yī)學(xué)專業(yè)用語，數(shù)以萬計(jì)的疾病、診斷、手術(shù)和藥物名稱，以及大量的影像、醫(yī)囑等非結(jié)構(gòu)化數(shù)據(jù)；另一方面醫(yī)療數(shù)據(jù)是不同臨床診療服務(wù)過程中的產(chǎn)物，數(shù)據(jù)之間關(guān)系復(fù)雜且很容易受到各種因素的影響，致使某些數(shù)據(jù)帶有偏倚性。一般來說，醫(yī)院之間在很多方面是會有差別的，如病人的個體特征和疾病程度、醫(yī)院的診斷和治療水平、醫(yī)療數(shù)據(jù)的記錄和編碼水平等。對此，明朝萬達(dá)安全專家認(rèn)為：數(shù)據(jù)安全是醫(yī)療信息安全體系的重要組成部分和核心目標(biāo)之一。面對醫(yī)院復(fù)雜的數(shù)據(jù)現(xiàn)狀，只通過單一技術(shù)或管理措施是遠(yuǎn)遠(yuǎn)不夠的，必須要通過整體的信息安全保障體系設(shè)計(jì)與實(shí)施方能實(shí)現(xiàn)。針對醫(yī)療行業(yè)面臨的數(shù)據(jù)安全安全風(fēng)險(xiǎn)和挑戰(zhàn)，結(jié)合醫(yī)療信息系統(tǒng)及數(shù)據(jù)使用的特點(diǎn)，明朝萬達(dá)依托自主研發(fā)的數(shù)據(jù)安全系列產(chǎn)品提出構(gòu)建一套集合云、網(wǎng)、端一體化的數(shù)據(jù)安全管控體系及數(shù)據(jù)安全動態(tài)防御集中管控體系。

△ 明朝萬達(dá)醫(yī)療行業(yè)數(shù)據(jù)安全管理統(tǒng)一平臺

      另外，醫(yī)療行業(yè)數(shù)據(jù)除了包含病人隱私信息外，還包含有大量關(guān)于醫(yī)院運(yùn)轉(zhuǎn)、診療方法、藥物療效等敏感信息，有些甚至涉及商業(yè)利益。當(dāng)下醫(yī)療機(jī)構(gòu)在對該類敏感數(shù)據(jù)進(jìn)行清理時(shí)沒有統(tǒng)一的分類分級標(biāo)準(zhǔn)，導(dǎo)致耗費(fèi)巨大人力物力成果卻不明顯。基于以上情況，明朝萬達(dá)結(jié)合國家分類分級標(biāo)準(zhǔn)，參考在其他領(lǐng)域的分類分級建設(shè)基準(zhǔn)，提出了一整套分類分級辦法和智能數(shù)據(jù)治理平臺以幫助解決醫(yī)療數(shù)據(jù)分類分級難題。同時(shí)，明朝萬達(dá)根據(jù)醫(yī)療數(shù)據(jù)安全不同的相關(guān)方設(shè)計(jì)了針對性的解決方案及建設(shè)思路。

醫(yī)院數(shù)據(jù)安全解決方案

做好分類分級管理，建立健全數(shù)據(jù)安全管理制度

      醫(yī)院內(nèi)部數(shù)據(jù)大致可分為診療數(shù)據(jù)、研發(fā)數(shù)據(jù)、患者數(shù)據(jù)、支付＆醫(yī)保數(shù)據(jù)四種類型，數(shù)據(jù)覆蓋面廣、數(shù)據(jù)量大、涉及用戶多。為切實(shí)做好醫(yī)療數(shù)據(jù)安全防護(hù)工作，根據(jù)我國相關(guān)法律法規(guī)，根據(jù)數(shù)據(jù)對于醫(yī)院的重要程度，對數(shù)據(jù)進(jìn)行安全級別劃分，使數(shù)據(jù)能夠得到適當(dāng)?shù)陌踩雷o(hù)。

· 數(shù)據(jù)分類分級標(biāo)準(zhǔn)制定及管理

數(shù)據(jù)在保密性、完整性、可用性方面的需求進(jìn)行安全級別劃分，借鑒國外醫(yī)院及國內(nèi)其他行業(yè)的數(shù)據(jù)分級策略，將醫(yī)學(xué)數(shù)據(jù)分類存儲，分級設(shè)置權(quán)限，在不丟失數(shù)據(jù)信息基礎(chǔ)的同時(shí)，保證數(shù)據(jù)安全。另外根據(jù)數(shù)據(jù)的分級制定數(shù)據(jù)加密存儲規(guī)則，根據(jù)數(shù)據(jù)敏感程度，進(jìn)行分級加密。鑒于可操作性原則，建議將醫(yī)院數(shù)據(jù)分為三到四個安全級別，如劃分為公開數(shù)據(jù)、一般業(yè)務(wù)數(shù)據(jù)、內(nèi)部敏感數(shù)據(jù)、機(jī)密數(shù)據(jù)四個安全級別。

基于數(shù)據(jù)全生命周期，制定數(shù)據(jù)安全防護(hù)策略

      數(shù)據(jù)是信息系統(tǒng)的核心，對于數(shù)據(jù)的訪問可能來自于多個途徑，基于數(shù)據(jù)分類分級梳理醫(yī)院數(shù)據(jù)資產(chǎn)狀況，明確數(shù)據(jù)由誰產(chǎn)生、如何存儲、如何傳輸、被哪些對象使用、如何使用、可能被哪些業(yè)務(wù)系統(tǒng)訪問、訪問路徑以及敏感數(shù)據(jù)分布情況，并按照數(shù)據(jù)采集、傳輸、存儲、處理、交換和銷毀整個生命周期的各個階段對數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行分析評估。結(jié)合醫(yī)院網(wǎng)絡(luò)、數(shù)據(jù)中心、業(yè)務(wù)系統(tǒng)、辦公終端等多個業(yè)務(wù)場景方面，制定相應(yīng)數(shù)據(jù)安全防護(hù)策略。

· 終端層面防護(hù)

加強(qiáng)終端數(shù)據(jù)安全管理，通過終端監(jiān)控方式監(jiān)控來自多種網(wǎng)絡(luò)通道的外發(fā)數(shù)據(jù)，幫助醫(yī)院保護(hù)敏感數(shù)據(jù)通過Web、終端外設(shè)、打印、刻錄、IM通訊、遠(yuǎn)程連接、FTP、文件共享等諸多渠道的敏感文件外發(fā)控制、審批，同時(shí)對終端上存儲的靜態(tài)文件實(shí)時(shí)監(jiān)控與周期性掃描，進(jìn)而實(shí)現(xiàn)對通過各種方式泄露的敏感信息進(jìn)行監(jiān)控，發(fā)現(xiàn)并記錄網(wǎng)絡(luò)外發(fā)的敏感數(shù)據(jù)泄漏事件。

· 網(wǎng)絡(luò)層面防護(hù)

加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)防泄漏防護(hù)，對網(wǎng)絡(luò)中傳輸?shù)拿舾行畔⑦M(jìn)行安全審計(jì)和管控，利用關(guān)鍵字、正則表達(dá)式、文件指紋、自然語言處理等規(guī)則，對醫(yī)院外發(fā)數(shù)據(jù)進(jìn)行解析與掃描，實(shí)時(shí)識別、監(jiān)控、保護(hù)醫(yī)院敏感數(shù)據(jù)。對即將發(fā)生、正在發(fā)生的泄漏敏感數(shù)據(jù)行為按照預(yù)置策略及時(shí)阻斷并告警，防止醫(yī)療敏感數(shù)據(jù)傳輸?shù)结t(yī)院外部，實(shí)現(xiàn)對醫(yī)院外發(fā)敏感數(shù)據(jù)的可知、可見、可控。其次，針對醫(yī)院與第三方公司合作開發(fā)新系統(tǒng)或新功能，可以使用脫敏數(shù)據(jù)產(chǎn)品，對數(shù)據(jù)中的證件號、聯(lián)系方式、地址、特殊病例等比較敏感的數(shù)據(jù)進(jìn)行屏蔽、替換、隨機(jī)化、加密等處理，防止真實(shí)數(shù)據(jù)泄漏。此外，醫(yī)護(hù)人員使用數(shù)據(jù)時(shí)，比如醫(yī)護(hù)人員在門急診斷、科研實(shí)驗(yàn)中需要調(diào)用到患者信息及研發(fā)數(shù)據(jù)，需由醫(yī)院領(lǐng)導(dǎo)及信息中心等部門需要授權(quán)相關(guān)的數(shù)據(jù)信息，才能使用數(shù)據(jù)，保證數(shù)據(jù)在醫(yī)院內(nèi)部使用的合規(guī)性。

· 云端層面防護(hù)

增加云訪問安全代理，當(dāng)醫(yī)院將自己的服務(wù)部署在云端時(shí)，時(shí)常會遇到服務(wù)被非法入侵或數(shù)據(jù)被窺視的現(xiàn)象，使用CASB反向代理將服務(wù)真實(shí)地址隱藏，加上CASB內(nèi)置的安全模塊，可有效保障醫(yī)院的服務(wù)及數(shù)據(jù)的安全。當(dāng)醫(yī)院使用云存儲服務(wù)時(shí)，存儲的數(shù)據(jù)或文件被大數(shù)據(jù)引擎窺視分析，甚至被暴力入侵，此時(shí)CASB的正向代理服務(wù)內(nèi)置的安全服務(wù)可對上云文件進(jìn)行密級加密或DLP掃描，有效保障上云文件安全的同時(shí)確保醫(yī)院敏感信息外泄。

建立統(tǒng)一安全集中監(jiān)控與審計(jì)平臺，實(shí)時(shí)掌控?cái)?shù)據(jù)安全

      隨著醫(yī)療行業(yè)的發(fā)展完善，醫(yī)院逐漸擴(kuò)大其業(yè)務(wù)系統(tǒng)和建設(shè)相對應(yīng)的數(shù)據(jù)中心，醫(yī)療數(shù)據(jù)不斷積累和變化。為快速發(fā)現(xiàn)、處理數(shù)據(jù)安全風(fēng)險(xiǎn)，可以通過部署明朝萬達(dá)安全集中監(jiān)控與審計(jì)平臺管理數(shù)據(jù)資產(chǎn)狀況，以數(shù)據(jù)視角對整個數(shù)據(jù)生命周期過程進(jìn)行全方位的實(shí)時(shí)監(jiān)視，記錄數(shù)據(jù)活動和用戶行為，及時(shí)發(fā)現(xiàn)數(shù)據(jù)存在的風(fēng)險(xiǎn)、威脅、漏洞以及數(shù)據(jù)的異常訪問、用戶的異常操作等事件，同時(shí)可生成數(shù)據(jù)合規(guī)報(bào)告，保證入侵、破壞、泄露、篡改敏感數(shù)據(jù)的行為事前能被發(fā)現(xiàn)，事中能被攔截和監(jiān)查，事后能被審計(jì)追溯，從而確保數(shù)據(jù)全生命周期的安全。

上級單位數(shù)據(jù)安全解決方案

--醫(yī)保局、疾病管控中心

制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)，建立數(shù)據(jù)安全防護(hù)制度

      上級單位（醫(yī)保局和疾病管控中心）的數(shù)據(jù)來自當(dāng)?shù)馗鱾€市區(qū)的醫(yī)院，但與醫(yī)院不同的是：上級單位獲取數(shù)據(jù)的目的在于更好地進(jìn)行管控與調(diào)度，并不會不直接對外。因此針對該類數(shù)據(jù)的分類分級可以從業(yè)務(wù)系統(tǒng)與《數(shù)據(jù)安全法》的標(biāo)準(zhǔn)進(jìn)行結(jié)合。

· 數(shù)據(jù)分類分級標(biāo)準(zhǔn)制定及管理

數(shù)據(jù)分級應(yīng)依據(jù)以下原則：數(shù)據(jù)分級是按照數(shù)據(jù)敏感程度進(jìn)行劃分；就高不就低原則，如果同一批數(shù)據(jù)中各屬性或字段的分級不同，需要按照定級最高的屬性或字段的級別實(shí)施安全管控。考慮到可操作性，大致分成七大類和三大密級。

數(shù)據(jù)共享標(biāo)準(zhǔn)制定及管理，建立數(shù)據(jù)授權(quán)查詢機(jī)制

      根據(jù)實(shí)際情況，對合作涉及的數(shù)據(jù)按照敏感程度進(jìn)行分類和定級，同時(shí)對所有級別數(shù)據(jù)制定詳細(xì)的管控要求。原則上各個級別按照自身級別的管控要求處理輸出。若對外提供的數(shù)據(jù)中有敏感級別不同的數(shù)據(jù)，且不能分別處理輸出的，則按照高敏感級別數(shù)據(jù)的管控要求處理輸出。數(shù)據(jù)對外開放安全管控可依據(jù)“誰提供，誰負(fù)責(zé)”的原則實(shí)施管理。我們以三個等級的數(shù)據(jù)作為舉例。

· 第三等級數(shù)據(jù)

不能離開平臺網(wǎng)絡(luò)環(huán)境，嚴(yán)禁以任何形式（包括原始數(shù)據(jù)、脫敏數(shù)據(jù)、標(biāo)簽數(shù)據(jù)、群體數(shù)據(jù)）對外開放；

· 第二等級數(shù)據(jù)

原始數(shù)據(jù)：禁止向業(yè)務(wù)合作方提供第三級原始數(shù)據(jù)；在個體授權(quán)、業(yè)務(wù)管理部門和信息安全管理部門審核后方可向業(yè)務(wù)合作方提供用戶數(shù)據(jù)驗(yàn)證服務(wù)。脫敏數(shù)據(jù)：需要在用戶授權(quán)、業(yè)務(wù)管理部門和信息安全管理部門審核后方可向業(yè)務(wù)合作方提供其他第三級脫敏數(shù)據(jù)對外提供通過業(yè)務(wù)管理部門和信息安全管理部門審核即可。標(biāo)簽數(shù)據(jù):需要在用戶授權(quán)、業(yè)務(wù)管理部門和信息安全管理部門審核后方可向業(yè)務(wù)合作方提供，其他第三級標(biāo)簽數(shù)據(jù)通過業(yè)務(wù)管理部門和信息安全管理部門審核即可。群體數(shù)據(jù)：在業(yè)務(wù)管理部門和信息安全管理部門審核后方可向業(yè)務(wù)合作方提供。

· 第一等級數(shù)據(jù)

在數(shù)據(jù)中，原始數(shù)據(jù)需要取得用戶授權(quán)或者具備第三方授權(quán)協(xié)議，并通過業(yè)務(wù)管理部門和信息安全管理部門審核后方可對外開放；其他第一級各類數(shù)據(jù)可以對外開放。在滿足相關(guān)保密制度要求市場和業(yè)務(wù)安全策略及規(guī)模嚴(yán)格受控的前提下，可向第三方提供標(biāo)簽數(shù)據(jù)查詢服務(wù)。

管理層面

確定安全負(fù)責(zé)人，落實(shí)數(shù)據(jù)安全無論是數(shù)據(jù)安全保護(hù)活動的開展還是法律義務(wù)的承擔(dān)，“責(zé)任人”的落地必不可少。根據(jù)法律的規(guī)定，在醫(yī)療行業(yè)處理重要數(shù)據(jù)的情形下，還應(yīng)當(dāng)明確數(shù)據(jù)管理機(jī)構(gòu)。除了應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu)之外，還應(yīng)當(dāng)對負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。另外，對于業(yè)務(wù)系統(tǒng)由第三方企業(yè)平臺維護(hù)的，醫(yī)療方需和第三方企業(yè)、平臺簽訂保密協(xié)議，從數(shù)據(jù)保密義務(wù)和數(shù)據(jù)安全管理等層面進(jìn)行操作規(guī)范約束，明確維護(hù)人員的責(zé)任和義務(wù)，防止數(shù)據(jù)泄露。

加強(qiáng)宣傳教育，培養(yǎng)數(shù)據(jù)安全思維

對各單位的數(shù)據(jù)管理員進(jìn)行數(shù)據(jù)安全宣傳和培訓(xùn)，宣傳國家數(shù)據(jù)安全政策，加強(qiáng)數(shù)據(jù)管理員數(shù)據(jù)安全意識，提高數(shù)據(jù)使用方的數(shù)據(jù)安全技術(shù)。同時(shí)可通過在醫(yī)護(hù)人員和衛(wèi)生健康從業(yè)者中開展“網(wǎng)絡(luò)安全日”和“數(shù)據(jù)安全宣傳周”等宣傳活動，普及《數(shù)據(jù)安全法》及相關(guān)知識，提高醫(yī)療數(shù)據(jù)安全保護(hù)意識和水平，形成醫(yī)療行業(yè)共同維護(hù)數(shù)據(jù)安全和促進(jìn)發(fā)展的良好環(huán)境。