首都医科大学附属北京同仁医院:医院数据安全治理框架设计及实践路径探讨
一、架构设计
一是组织体系建设,医院采取“一把手”责任制,明确数据安全部门和角色,清晰业务及权责,打造一支权责清晰、业务协同、监督合理的数据安全团队。二是制度流程完善,以医院在数据使用披露、分级安全、场景安全、开放安全面临的风险为驱动,全面梳理医院数据安全管理要求。三是技术防护体系建设,主要包括数据安全智能管控、环境保障、数据安全防护和安全基础设施4方面内容。四是运营管控体系建设,通过运营,共享网络和数据安全威胁情报支撑,建设智能的医院数据安全管控平台,提供多维度的安全服务,保障医院数据安全体系的持续运行。五是形成监管审计机制,以国家、行业、网安等政策法规标准中有关健康医疗数据安全的监管审计评估要求作为依据,持续性开展医院的数据安全合规检查、指导工作,保障医院数据安全建设合规性。
二、医院实施
按照医院数据安全治理框架,根据医院网络与数据安全实际,形成一个闭环的、系统化的数据安全治理路径。一是成立专门的安全治理团队,保证数据安全治理工作能够长期持续执行;二是组织对数据资产的盘点,梳理出核心数据资产,理清数据资产利用情况;三是按照数据使用场景,设定安全策略和措施,逐步形成对数据安全规范落实和安全风险进行定期核查的策略;四是在日常数据管理、业务执行和运维工作中,不同的角色团队采用相应的数据安全支撑工具,按相关的流程落地执行规定;五是对医院执行数据安全策略情况进行合规性检查、数据访问账号及权限监管等,发现数据安全潜在风险;六是持续保证安全策略的落地。
(摘录:中国卫生信息管理)
////////////////////////////////////专家点评////////////////////////////////////
晏贤斌,高级工程师。马鞍山市人民医院博望分院副院长、省医院信息化协会常务委员
近年来多家医院发生“勒索病毒”、数据泄露等信息安全事件,医院数据安全基础和安全保障能力距离合规管理存在较大差距,难以适应医院高质量发展需要 ,建立健全数据安全治理体系,提高数据安全保障能力迫在眉睫。首都医科大学附属北京同仁医院根据医院网络与数据安全实际,组织开展了数据安全治理相关实践探索,提出了体系化的医院数据安全治理框架,设计落地实施路径(组织构建和完善、资产梳理和更新、策略制定和完善、过程控制、行为稽核和持续改进),整体上形成了一个闭环的、系统化的数据安全治理路径。为医院数据安全治理提供了较好的实践案例。