中山大学附属第一医院:以安全治理为导向的医院数据分类分级研究与实践
一、分类分级规则
医院数据分类根据数据管理和使用需求,将数据逐级细化分类,采取大类、小类、子类三级分类形式,建立包含6大类、25个小类、44个子类的医院数据安全分类标准。根据数据的基本属性分为个人属性数据、健康状态数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据6个大类,在6大类别的基础上进行逐层细分,贴近医院业务系统中的真实数据,每个大类下根据数据的业务特征再按照小类和子类进行逐层细分。数据分级根据数据的重要程度,以及数据一旦遭到泄露、篡改、损毁或者非法获取、使用、共享后的影响范围与影响程度,将数据安全级别由低到高分为1-5级,其中5级定义为重要数据,1-4级定义为一般数据。
二、分类分级自动化
医院引入自动化管理和识别技术,将分散存储的数据资产进行集中监管,通过自动化分类分级技术实现对各类数据资产等级的智能识别。自动化分类分级通过部署数据流转监控探针,对指定范围内的医疗信息系统数据库进行自动化扫描与梳理。利用数据库查询账号、数据库IP地址及抽样实例信息等,提取数据库的Schema、库表结构、视图等相关信息,构建医院的数据资产目录并制定相应的数据资产描述策略。通过构建数据安全监管平台,整合并分析监控探针反馈的信息,系统化地盘点与管理数据资产,实时跟踪数据资产状态,提升数据安全治理效能,为系统化的数据安全管理奠定基础。依据制定好的分类分级规则,采用自动化分类分级算法对已梳理的医院数据资产进行系统性分类与分级,最终生成数据安全分类分级清单。
(摘录:中国数字医学)
张昕,安徽医科大学第一附属医院网络管理科副主任、安徽省医院协会信息管理专业委员会常务理事,安徽省科技成果转化促进会智慧健康专业委员会常委,中国医学装备协会智慧医院分会委员,安徽省电子病历系统应用水平评价专家。
////////////////////////////////////专家点评////////////////////////////////////
随着相关法律法规对医疗数据保护的要求日益严格,确保数据处理活动符合法规标准,避免因数据管理不当而面临的法律风险。
中山大学附属第一医院基于《数据安全技术数据分类分级规则》、《卫生健康行业数据分类分级指南(试行)》等多项标准,通过医院的数据安全治理实践,探讨了健康医疗数据分类分级的理论基础,采用自动化分类分级的技术实施路径,最终生成数据安全分类分级清单,提升了医院数据使用及安全治理能力。
构建数据分类分级自动化识别标准,通过人工智能技术,提升了分类分级工作的效率与准确性,显著减少了人工干预,提升了工作效率,对我省医疗数据资产人工智能化管理具有借鉴意义,也为未来医院数智化转型提供了重要参考。