数智赋能,医院高质量发展!
历时三天的医院信息网络大会(CHINC)圆满落下帷幕,美创科技赴五年之约,与医疗行业用户朋友在深圳再聚交流,也带来关于“医疗行业数据安全、数字化转型”的新方案、新思考,亮点众多、延续精彩。
在这里,我们特意整理了美创科技在CHINC大会上的重要方案内容,一起回顾吧。
医疗数据安全治理体系建设方案美创科技参考DSG、DSMM模型,结合CARTA、IPDRR、PDCA等方法论,从厘清数据资产、摸清组织安全风险开始,规划数据安全建设路径,配合数据安全全栈产品能力实现数据安全管理、技术等体系落地,从安全战略保障、安全管理保障、基础支撑能力保障、安全技术保障、建设运营保障五个维度,自上而下帮助医疗卫生机构构建数据安全治理体系。
医疗数据安全治理体系建设路径:(滑动下方可查阅详细内容)
现状调研
采用资料收集、问卷调研、现场访谈、系统演示和工具探查的方式,全面了解数据安全管理现状(如:组织架构、数据安全相关的政策、制度和规范、业务特征、网络拓扑、数据存储情况等),明确主要痛点问题,提炼出数据安全建设的总体目标、主要方向和具体工作思路。
数据资产梳理
数据资产盘点:通过专业团队+自动化工具方式梳理数据资产情况,形成数据资产清单。
数据权限现状:对不同用户权限现状进行全面梳理,从用户维度和对象维度进行权限描述。
数据流向梳理:盘点数据从采集、传输、共享交换到销毁的流向,形成数据流向图。
数据分类分级:结合国家、医疗行业及自身特点,以数据最稳定的特征和属性为依据,完成数据分类和分级。
数据安全风险评估
基础风险评估:通过安全基线检查、漏洞扫描、渗透测试等方式,发现数据处理环境中存在的安全漏洞。
数据安全能力差距评估:依据数据安全能力成熟度模型,分析和评估当前组织安全能力现状,明晰组织数据生命周期各阶段的能力现状与目标的差距。
数据安全合规评估:全面解读和分析《数据安全法》、《个人信息保护法》以及行业法规内容,通过联合对标分析,评估合规风险。
数据全生命周期风险评估:参考信息安全风险分析方法,从资产和风险两大视角出发,基于数据分级结果,建立组织风险评估模型,识别组织面临的数据安全风险。
数据安全建设规划
数据权限设计:基于用户/角色和权限现状,在合规目标的指导下,结合数据分类分级结果,定制符合组织实际业务场景的数据安全权限。
组织架构设计:定义决策层、管理层、监督层、执行层的安全职责及动态协同机制。
管理制度体系规划:制定数据安全管理办法、应急管理等标准规范健全制度体系,明确各个阶段的管理要求和规章制度,健全组织数据安全制度规范体系。
技术体系建设规划:从安全防护和可用性两大视角出发,针对具体场景进行数据安全防护建设,包括事前防护、事中阻断、事后追溯的全链路安全技术体系。其中,数据安全技术建设规划可分阶段进行,包括数据内控合规、数据全域管控、风险全局可视、数据安全可信。
医疗数据分类分级建设方案
数据分类分级是医疗行业数据安全建设的起点,美创科技数据分类分级方案覆盖专业咨询团队以及智能化工具支撑。同时结合医疗业务属性,美创科技对标参考法律法规、国家行业标准,如《数据安全法》、《医疗卫生机构网络安全管理办法》、《国家卫生健康委规划司卫生健康行业数据分类分级指南(征求意见稿)》、《GB/T-信息安全技术健康医疗数据安全指南》及其他行业地方标准等,形成切实可行的核心数据、重要数据识别模型。
医疗数据安全分类分级建设路径:(滑动下方可查阅详细内容)
打基础:现状梳理,摸清家底
自动识别数据资源:通过暗数据发现和分类分级工具,自动并快速识别数据源。
汇总数据资源调研结果,以及工具自动识别数据源结果,整理输出数据资产列表。
建标准:管理规范,流程制度
依据相关要求,咨询团队协助制订符合医疗业务实际的数据分类分级内部标准规范文件(制度类),如:
数据分类分级具体要求;
数据分类分级工作中涉及的角色及职责;
数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制以及评审和修订周期;
数据分类分级管理相关绩效考评和评价机制等。
定策略:策略制定,大纲确认
以数据分类分级标准为指导,制定数据安全分类分级策略,输出数据安全分类分级大纲。
数据分类策略:基于已经梳理和识别完成的数据资源和业务条线梳理成果,根据数据性质(特定的数据性质有所区别)、重要程度(与其他数据相比重要程度有区别)、管理需求(因特行的管理目的)或使用需求(与其他数据之间使用范围/目的不同)等进行数据分类。
数据分级策略:数据分级影响因素较多,包括数据影响对象、影响范围、影响程度等,需结合数据体量、数据聚合、数据实效性等进行综合分析,完成数据定级。
识数据:工具辅助,提升效率
以暗数据发现和分类分级系统辅助落地实施,系统引入自然语言处理、统计模型、特征分析、机器学习等技术,可自动并快速识别发现数据,根据分类分级策略智能化处理分类分级标签,可视化呈现数据分类分级结果。
首先,根据医疗业务特性将制定的数据识别规则和分类分级策略内置到产品中,调试并形成行业数据发现模型和分类分级模版。
其次,完成作业配置后,由产品自动进行数据源扫描、识别,发现数据库的数量、IP、端口、类型等信息;自动完成数据格式、内容的识别,数据含义的解析,自动输出分类分级结果。
最后,将产品自动化发现的结果与业务人员进行核对,确保资产梳理和分类分级的准确性,最后输出分类分级结果清单和可视化分析报告,工具提供数据分类分级结果对外输出能力,工具提供标准对外接口,可将结果输出到安全管控平台等,实现数据分类分级的落地。
行安全:结果应用,保障安全
基于数据安全分类分级结果,应用于数据安全场景中,针对数据分级的结果,明确不同等级的处理策略,对数据的获取与提供,制定不同的数据访问权限或提取等管理审批流程。常见的处置方式如:
数据权限设计:依据数据分类分级结果制定数据安全访问控制策略,指导持续的数据安全建设的数据安全监测、脱敏、加密、验证、校验和权限管理等数据管控措施设计。包括数据安全角色设计、数据安全用户权限设计等。
分级管控设计:基于业务数据分类分级标识,结合场景设计方案,明确不同敏感级别的数据安全管控策略和措施,实施内部安全管理措施、审批制度及应急处置措施,构建不同业务领域的场景化数据安全管理矩阵。同时采取技术措施保障数据全生命周期安全过程中的数据安全,可应用在访问控制、数据血缘分析、数据行为跟踪、数据水印溯源等多种业务场景,并结合数据权限设计内容执行管控策略配置。
新冠疫情诊疗数据安全防护方案背景:确保新冠疫情诊疗数据(重要数据)的安全可控,网信办对此发文要求——全国各地医疗机构与卫健委需要统一对存储在临床业务系统中的涉疫数据进行安全防控,严控涉疫数据外泄、滥用与误用。不久前,网信办下发文件,要求各省针对涉疫数据进行安全防护,其中多省网警已逐步落实监管要求,将涉疫数据(重要数据)视为医疗行业重点防护场景之一。目前,部分地区,已对辖区内的医疗卫生机构开展网络与数据安全检查工作,明确将针对不做涉疫数据的单位采取处罚措施。
针对涉疫数据与日常诊疗数据混合存储难识别、难管控的问题,美创科技推出新冠疫情诊疗数据安全防护方案。
涉疫诊疗数据安全防护难点及解决方案:(滑动下方可查阅详细内容)
涉疫诊疗数据安全防护难点
涉疫诊疗数据几乎涉及病毒感染前、中、后的所有阶段,能够清晰反映患者的健康状态、是否有对应的并发症、用药情况等重要敏感信息,存储和流转于HIS、LIS、EMR、移动护理等为主的系统中,对于已遵循互联互通、医院而言,数据还会实时同步至数据中心,也因此与日常诊疗数据混合存储很难区分,如何对涉疫诊疗数据进行有效识别与安全管控,成为难点所在。
新冠疫情诊疗数据安全防护方案
美创科技新冠疫情诊疗数据安全防护方案,以数据安全分类分级为起点,医疗卫生机构可通过暗数据发现和数据分类分级系统,快速从繁杂的系统中找出涉疫数据,进行分类分级,以便于后续更好的管理数据、使用数据、保护数据。
目前,美创自研的暗数据发现和数据分类分级系统已推出重要数据版,满足《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规中的分类分级要求,开箱即用、快速落地,同时支持与数据安全全类产品快速联动,实现细粒度安全管控。
比如,在数据分类分级的基础上,可通过在涉疫临床业务数据库前部署数据库防火墙,抵御非法SQL注入及数据库漏洞攻击,防止医疗机构网络边界被攻击后进一步被渗透;结合数据分类分级结果,与数据库防水坝联动解决内部管理员与第三方维护人员对涉疫数据滥用与误用;与数据脱敏系统的联动解决涉疫数据在流动共享过程中的安全防护问题。
医疗临床业务容灾解决方案
容灾建设是医疗信息化建设过程中必不可少的基础安全保障,电子病历分级测评、互联互通测评、智慧管理分级评估等均对此提出要求。目前,医疗行业临床业务容灾建设面临:各业务系统耦合性高,牵一发动全身;急诊随时有,需要7*24小时稳定运行,缺乏演练窗口;临床业务系统升级频繁(如EMR每周一次小版本迭代);灾备实现散杂多乱等难点。
对此,美创科技形成以DRCC灾备集中管控平台为核心的新一代临床业务容灾解决方案,针对临床业务系统的全态,包括:网络IP、主机、应用、虚拟化平台、数据库、文件等进行整体全面的容灾建设。
医疗临床业务容灾解决方案:(滑动下方可查阅详细内容)
制定目标
医院业务连续性要求确定各系统RPO、RTO需求与容灾搭建范围、资源配比。
容灾建设
制定医疗临床业务容灾解决方案框架,实现各类资源容灾建设,通过编排、演练和切换保证临床业务连续运行。
容灾运营
制定切换演练预案,对运维人员进行日常安全运营及灾备切换培训,实现容灾系统性能和价值最大化,保障“灾难”场景下业务能快速“逃生”。
临床业务容灾系统能力
医疗临床核心数据库智能运维平台目前医疗单位无论是数据库规模、还是种类都在急剧增加,数据库运行环境和架构日益复杂,运维工作繁重,存在以下挑战:
数据库数量众多,无法监控数据库运行效率;
内部人员对数据库运维能力较弱;
当数据库有性能瓶颈时无数据支撑;
无法自动发现锁表进程,导致业务中断或缓慢。
美创数据库运行安全管理平台(简称:OSM),聚焦数据库运行安全管理,融合AI技术和大数据模型,提供智能监控、预测和趋势分析,不仅能实时监控数据库运行状态,提前感知运行风险,智能定位问题,利用工具箱快速解决故障。通过OSM接入美创科技运维云,实现主动运维服务,有效保障数据库系统的持续稳定运行。
数据库运行安全管理平台功能特点与优势:(滑动下方可查阅详细内容)
功能特点:
产品优势:
简单易用:产品界面友好、交互简洁易用,适合非数据库专业人员快速掌握使用;
0门槛:植入美创数据库专家团队的知识经验体系,降低数据库运维技术门槛;
场景丰富:功能覆盖日常运维场景,可结合运维编排功能实现自动化运维;
海量扩展:支持集群模式的横向扩展,实现对海量数据库资产的运行管理;
安全轻量:采用无代理模式部署,轻量、安全、易维护;
广泛支持:适配不同数据库资产类型,包括商业库、国产库、开源库、云库等。
医疗数据开放、共享、交易解决方案医疗数据规模和类型迅猛增长,多场景数据应用需求暴增,跨部门、跨系统数据流动需求日渐迫切。
美创科技医疗行业一站式数据开放、共享、交易全场景解决方案,基于领先的数据产品和数据服务经验,提供咨询规划、数据中心建设(包括数据资产盘点、数据分类分级、数据入“源湖”、数据资产目录建设等服务)以及平台搭建等。
满足医疗机构内部,上级单位,平级单位及外部科研合作伙伴之间实现合规的数据共享,开放与交易,而且无需反复移动数据,数据统一存储在可信的医疗机构数据中心,数据访问授权可以随这法规或合作关系的变化而自动调整。
方案价值:
全数据中心资产清单,轻松找到所需数据资源;
随时就绪的主题数据,消除数据转化成本,改善用数体验;
与数据敏感级别联动的策略权限控制,确保数据安全合规共享,开放与交易;
丰富的数据供给方式,满足不同场景取数需求;
提供可信数据,用数方无需担心数据质量问题;
支持数据使用方的意见收集。
医疗供数服务解决方案医卫行业数据应用需求和用数人群日益增多,但由于数据分散在不同业务系统,导致每次应用都需要花大量的时间找数据、整合数据,业务和技术花费大量时间在沟通确认需求,等待项目排期中,过程效率低、工作量大且结果很难复用。随着数据量和数据需求爆炸式增长,数据类型日益复杂,数据源愈发分散,现行“按需建仓”的一次性数据开发模式越来越不能满足快速变化的业务需求。
对此,美创科技创新提出一种新的数据服务模式—供数服务,供数服务聚焦于内部通用数据供数场景,基于数据流动网络基础节点和分发节点,通过数据目录建立数据服务通道,为终端客户(数据开发者)和应用厂商(应用开发者)应用厂商提供标准数据服务,替代“按需建仓”的现行烟囱式一次性数据开发模式。
供数服务由美创负责前置数据归集以及面向行业的标准数据模型预处理,并通过标准化的工具和服务,将用户需要的数据集(轻度聚合的数据)投递到数据湖/数据仓库/数据中心。对于用户来说,上层的数据消费者可不必关心数据的原始位置,也不必从源头进行数据梳理、数据采集和处理,就能轻松、快速的拿到想要的数据,方便快速进行后续的数据开发、应用开发等。
供数服务方案:(滑动下方可查阅详细内容)
方案概述:
供数服务以“标准化工具+现场实施服务”结合的模式,提供包括供数平台构建及运维、基于数据目录供数入湖、预防性定期巡检、自动告警及异常修复服务、远程咨询及应急技术支持等五大服务,有效帮助医疗用户降低数据采集分发成本,提升用数效率。
供数服务技术框架
核心能力:
数据自动发现与分类分级:依托全自动化、智能化工具平台,对业务系统、数仓、文件等进行全面盘点,清楚了解数据资产家底(包括数据量、类型、分布、敏感程度等),支撑后续数据采集入湖准备。
面向行业的标准数据模型预处理:根据行业规范、国家标准,每次自研形成了丰富的行业场景内容包,基于行业内容包和智能技术,自动完成数据发现,执行映射关系等工作,高效完成数据预处理,形成高质量、可用的数据集。
依托可视化数据目录提供数据服务:基于数据目录,提供数据服务,确保每个数据资产项对应可以在数据湖中查找到,从而快速满足数据开发人员、应用开发人员的数据需求。
低成本数据运维:依托全自动化、智能化工具平台,对数据“发现-采集-处理-入库”全过程的数据开发流程进行可视化监控告警,搭配异常自恢复功能,帮助运维人员掌控全域数据准备情况,快速发现问题、定位问题以及解决问题。
让医疗数据更安全、更有价值为+医疗行业用户提供产品服务,让数据更安全、更有价值,美创科技行程千里,初心如磐,我们也持续深研,为医疗数据安全与价值释放赋能,将在医疗行业的实践研究与思考凝聚成《医疗数据风险分析与防范实践》白皮书。美创资讯美创科技,以“数据安全领导者和引路人,数字化转型推动者”为使命,围绕数据安全、数字化转型、运行安全三大业务,为政企用户提供专业产品与解决方案。篇原创内容