如今，医疗行业数字化进程加速，伴随电子病历系统、临床医药管理、病理大数据分析等医疗数字化系统的持续建设和运营，整个行业产生的数据体量呈爆发式增长。这些医疗数据中包含着大量敏感信息，关乎个人隐私、公共利益，甚至国家安全，一旦遭遇破坏或泄露，将给患者、医院带来很大影响和损失。

数据安全意识薄弱，监管政策持续收紧

目前，医疗行业数据安全建设过程中依然存在着安全意识薄弱、安全防护措施不足的问题。Verizon数据泄露调查报告显示，近年来有超过93%的医疗相关机构经历了数据泄露，受疫情影响2020年医疗行业已确认的数据泄露事件同比增加了58%。另据赛迪《医疗行业网络安全白皮书2020》对35家医疗信息系统的调查结果，在数据保护方面，38%的系统没有数据库审计，只有2%的单位具有灾备服务器，大部分医疗信息系统没有完善的数据保护机制。

鉴于医疗数据安全的重要性，我国近年来先后出台了多部法规条例规范医疗数据的安全使用和管理。例如，2018年4月，国家卫生健康委发布《关于印发全国医院信息化建设标准与规范（试行）的通知》，对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出具体要求。2019年4月，国家卫生健康委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范（试行）的通知》，其中在信息安全方向明确了数据防泄露、数据备份与恢复、应用容灾等十个方面的要求。

2021年4月，国家医疗保障局下发《关于印发加强网络安全和数据保护工作指导意见的通知》，从实施数据全生命周期安全管理、实施分级分类管理、加强重要数据和敏感字段保护、强化数据安全审批管理、落实数据安全权限、推动数据安全共享和使用、建立健全数据安全风险评估机制等方面，明确指出国家对医疗数据安全的监管要求，落实基础性安全措施，建立完善的安全管控机制，确保医疗数据安全有序融合共享、开放应用。

落实数据安全监管要求  这三个建议请收好

为落实国家医疗行业数据安全监管要求，我们建议，医疗机构可从以下维度着手。

1.健全数据安全管理组织体系。虽然，在国家《网络安全法》和系列医疗行业数据安全监管政策要求下，不少医疗机构建立了相应的数据安全组织，但相较于网络安全，数据安全在业务应用场景深度、涉及组织范围、影响程度和合规要求方面有很大不同，医疗机构需要在合规、业务、管理和技术等层面综合考虑数据安全组织体系的建设，才能有效保障医疗数据安全的责任管理和措施的落实。

2.梳理医疗行业数据资产并定期开展安全风险评估。在数据安全生命周期范围内，开展数据的分类分级识别，充分了解本机构数据资产规模和类型、数据收集方式、分布范围、存储形式、使用过程，以及已采取的安全管控措施与有效性等。在此基础上，采用国内外先进成熟的风险评估方式，对远程医疗、临床研究等各业务场景进行医疗数据安全评估，合理评估各类数据安全风险，按照风险发生的可能性和影响大小确定风险处置优先级。

3.落实数据安全风险处置措施。针对评估检查出来的数据安全风险，医疗机构可列出相应的安全控制措施，根据需要采取相应处置措施，并将风险降低到可接受范围内，应注意从医疗行业的业务场景出发，在落实合规要求、措施选择、实施推进等方面统筹考虑，需要明确遵从的技术标准，严格按照风险管理和处置流程来综合解决数据安全问题。

中国金融认证中心（CFCA）是一家以网络安全综合服务为核心的科技企业，多年来服务的客户覆盖金融机构、政府和大型企事业集团。CFCA在医疗信息安全领域深耕多年，可提供从咨询、评测到产品和综合解决方案的一站式数据安全解决方案，助力医疗机构全面提升数据安全能力。

责任编辑：韩希宇