对医疗数据泄露零容忍，数据安全治理势在必行

4月25日，“医疗行业数据安全治理实践与应用”专场卫星会于杭州 · 2021 CHINC大会同期圆满召开！此次活动由安华金和承办，国家卫生健康委医院管理研究所 副所长 王凯，安华金和营销体系副总裁 施能坤到场致辞。首都医科大学宣武医院信息中心主任 梁志刚、山东第一医科大学附属省立医院网信办副主任 包国峰、青岛市市立医院信息管理部主任 丁士富、宁波市第一医院信息中心主任 吴斌等医疗行业专家出席论坛，并围绕活动主题进行经验交流与内容分享。

即便往小处说，对普通民众而言，医疗信息泄露也是不应也不能容忍的！当前，一些互联网交易平台、休闲娱乐平台的信息泄露，往往会被人们所忽略；然而，医疗信息的敏感性与重要程度要高得多，轻则会被各类商家营销纠缠不放，重则影响个人正常工作与生活，必须予以重视和保护。

积极应对  医疗行业数据安全治理痛点

医疗行业数据安全的重要性，无论是上级主管部门，还是行业内的各个机关、组织、单位，早已形成共识。

国家卫生健康委医院管理研究所副所长王凯表示，医疗行业关系国计民生，医疗数据一旦遭到篡改、破坏和泄露，势必对医疗机构的声誉、医患双方的隐私及健康安全构成严重威胁，甚至影响社会的和谐稳定。同时，在大数据、物联网、AR等新技术的推动下，医院信息化建设飞速发展，智慧医疗进程加速，而医疗数据安全保障是核心支撑。因此，必须进一步开展针对医疗行业数据安全治理方面的应用与实践工作。

实际上，医疗行业的数据安全治理工作一直在积极开展，但由于医疗行业的特殊性，在治理过程中还存在诸多难点。

首都医科大学宣武医院信息中心主任梁志刚指出，医院各类信息系统多而庞杂，且对稳定性要求很高;患者病历、处方、用药情况等敏感信息多且数据价值高；互联网医疗、智慧医疗等领域的应用发展也对医院间信息的协同、共享提出了更高的要求……以上种种，都令医院在数据安全防护工作中面临着棘手难题和挑战。比如：医院安全设备堆叠、各自为政，无法有效发现解决问题；静态防御失效，无法对风险进行持续检测；应急响应能力差，缺乏主动发现和预警能力等等；此外，更大的挑战则是医院的信息化人员严重不足，导致孤军奋战、压力巨大，加之岗位权责不清、落实难度大，以及安全意识淡薄、管理不完善等一系列问题。

其中，关于“人”的问题，五位演讲嘉宾及与会业内人士均体会颇深。宁波市第一医院信息中心主任吴斌在发言中表示，整个医疗行业都缺乏训练有素的安全人员，这是我们面临的最大困难之一。在医疗信息化建设过程中，其他岗位的人才配置相对较强，配有专职的开发、运维及项目实施等人员，但往往在安全管理方面出现较大缺口。

山东第一医科大学附属省立医院网信办副主任包国锋表示，在智慧医院建设中，所面临的数据安全风险主要有：人的安全风险、开放网络环境风险、勒索病毒威胁、互联网通道和云医疗风险、数据流动的风险等。其中，人的安全风险，既包括医院内部人员，如系统管理员、DBA、软件使用人员等，也有来自外部的包括与医院合作第三方的软件开发人员、运维人员等，此外最大的威胁则来自黑客群体。

外力协助  同时做好医疗机构内部体制建设

多年以来，针对医疗行业面临的各类数据安全威胁隐患及痛点问题，国内一线数据安全厂商致力通过构建以“数据使用安全”为目标的整体解决方案，现已形成大量成功实践案例。

安华金和产研解决方案总监孟昊龙在主题分享中提出，当前医疗机构数据安全需求主要可分为六大类，即“总体需求、运维需求、医疗业务需求、资产使用需求、互联网医院需求和其他需求”。总体需求主要是合规性需求，是针对风险隐患最大的“人”的问题，属于运维需求的范畴，应对措施包括：数据库操作权控设置，维护人员流动、权控、准入管理，严格审批与操作行为的一致性，同时针对操作失误及时拦截等。

对于很多医院非常头疼的“非法统方”问题，可通过对前端设备进行身份认证、应用控制、防病毒及设备控制，同时对关键的数据库端会进行访问源控制、访问目标控制，并对源访问端进行自动化学习，使正常访问行为通过，异常行为则被阻断。此外，对于医疗数据分类分级进行差异化数据防护、APP安全加固、数据去标识化、开发运维端数据保护等其他典型数据安全需求。

孟昊龙表示，医疗数据安全既不能照搬传统网络安全的防护模式，也不是对数据安全产品的简单堆砌，而要用体系化的思维、结合行业特性，构建以数据使用安全为目标的整体解决方案。须知，数据安全问题远不止信息泄露这般简单，医疗行业所产生的数据是国家安全的重要组成部分，应当高度重视并积极行动起来，做好医疗数据的安全治理工作。

通过专业数据安全厂商的外力协助，可以帮助各大医疗机构理清数据安全治理的工作思路、掌握方法、培养习惯，并针对各项痛点、难点提供针对性的解决方案，实时提供应急响应与风险应对支持，减轻医疗机构数据安全防控压力。同时，医疗机构信息安全管理者应清楚，要从根本上解决医疗数据安全问题，还取决于医疗机构内部的体制建设是否完善及可持续落地执行等。

青岛市市立医院信息管理部主任丁士富认为，医院安全的防控重点在于对医疗数据安全的制度建设，相关制度建设应按照国家相关法律法规进行，制度体系包括：梳理定级、安全评估、体系建设和安全自查等模块。在制度建设过程中，需加强网络信息安全的组织与领导，落实党委（党组）网络安全工作责任制，成立以党委书记、总院长为组长的网络信息安全领导小组，并专门搭建一套组织架构，明确职责到人，并严格落实各维度的数据安全运维管控。

首都医科大学宣武医院信息中心主任梁志刚也表示，做好数据安全治理制度建设至关重要。首先要建立一支高效的医院安全管理团队，这支队伍需要信息安全领导小组做决策和监督，信息安全主管（部门）做管理，下面分设安全管理员、安全审计员、系统管理员、网络管理员、数据库管理员、机房管理员等负责具体执行。在相关工作落实环节，要建立有效的制度与管理办法，要有实施细则和流程，并对运行过程进行完备的记录留存。

安全筑基  打开未来智慧医疗创新应用之门

畏惧问题一定会被问题打败，只有勇于直面问题才能真正解决问题。在本次卫星会的分享中，嘉宾们不仅深入地揭露了医疗数据安全治理的痛点、难点，同时也结合自身实践提出了很多针对性的解决之道。不难看出，在国家法规严格要求下，基于各大医疗机构的不断努力和数据安全厂商的积极助力，目前医疗行业数据安全治理工作已有章可循、并在持续完善发展。

做好医疗行业的数据安全治理防控，保障医疗数据资产不受侵害，维护了国家安全与社会稳定。立足医疗行业的未来发展，需要以信息化系统为支撑，以医疗数据安全保障为核心，不断完善医院管理体系、增进医疗服务质量、深化医药卫生体制改革、提升卫生服务系统效率，从而在安全的前提下，打开并激活更多智能化医疗创新应用场景。

宁波市第一医院信息中心主任吴斌表示，在智能化时代，物联网、大数据、5G持续普及应用，未来的智慧医院内容将更加广泛、先进。未来，应用将呈现出线上线下一体化，院内院外一体化，集团内部一体化的局面，医院的围墙和边界势必会被打破，传统的医院封闭式的网络也必将开放，这些都是我们将要面临的重要挑战。比如：基于5G的定位系统，实现医院里面的运送人员像滴滴司机一样的科学调度系统；信息跟医学生物工程未来融合是必然趋势等等。未来，在各项医疗设备汲取数据应用开发上，将会有更大的想象空间。

安华金和营销体系副总裁施能坤表示，作为中国专业的数据安全产品及解决方案提供商，中国“数据安全治理”理念及体系的提出者和践行者，安华金和深耕医疗行业多年，深知数据安全治理在医疗行业发展中具有不可替代的战略地位。充分的开放和流动，将发挥出医疗行业数据真正的价值和导向，令更多的企业和机构共享数据时代的发展红利，真正的实现造福社会，改变生活。

医疗行业数据安全防护，不仅是一项责任艰巨的安全保障工程，更是激活智能时代更多智慧医疗创新应用的奠基工程。相信在在政策法规的指导下，在医疗行业信息化建设、数据安全防控工作全产业链的共同努力下，“互联网+医疗”、“智慧医疗”的未来图景必将实现。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。