新闻详情

News

医疗数据安全标准密集出台,多规管理融合保障安全合规
行业动态
2024-08-09

近日,三项重要的医疗健康大数据平台标准——《医疗健康大数据平台 质量管理技术要求和测试方法》《医疗健康大数据平台 数据资产管理技术要求和测试方法》《医疗健康大数据平台 数据智能化处理要求和测试方法》正式发布,并将于今年10月1日起正式实施。这一系列标准的出台,标志着我国在医疗领域数据质量、资产及智能化处理方面迈出了坚实的一步。其根本目的,在于通过科学严谨的技术要求与测试方法,引导医疗行业数据安全领域的规范化发展,进而促进整个医疗行业的繁荣与进步。

一、医疗数据安全合规建设迫在眉睫

医疗行业作为社会民生的重要组成部分,承载着庞大的个人健康数据,其数据安全的重要性无需赘言。为此,国家不仅制定了上述具体的技术标准,还出台了一系列相关政策,不仅推动了医疗数据安全技术在深度和广度上的不断突破,还通过政策引导和市场机制的双重作用,引领医疗数据安全向更高水平、更高质量迈进。

当前,我国已构建起以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等为核心的法律体系,这些基础性法律为医疗网络安全提供了全方位、多层次的法律保障。它们不仅明确了网络安全的基本原则、责任主体和监管要求,还规定了数据收集、使用、处理、传输等各个环节的安全规范,为医疗领域的数据安全奠定了坚实基础。

在医疗行业,十三五期间医疗行业信息化建设规范已经初步形成,医疗行业数据安全规范尚未形成系,滞后于信息化建设。十四五时期,卫健委和医保局都提出了要加强网络安全和数据安全的指导意见,2022年8月29日,卫健委推出了医疗行业首个关于网络安全的管理办法,《医疗卫生机构网络安全管理办法》,其文件为医疗卫生机构网络安全管理提供了工作指南,对医疗行业网络安全和数据安全发展具有重要意义。

二、医疗数据安全合规面临诸多挑战

随着医疗数据安全监管规定的不断增多且日益复杂,合规面临着前所未有的挑战。 在这一背景下,医疗行业需要采取更为有效的措施来应对数据保护的要求,确保数据的安全性和隐私性,同时保障医疗服务的质量和效率。

1.安全监管合规要求多

《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》、《网络安全责任制》、《关键信息基础设施保护条例》、《信息安全技术 信息系统安全等级保护基本要求》等法律、制度、条例要求不断完善。

2.合规验证工作存在重复性

网络安全不同法规、标准间可能存在交叉,导致合规评估与整改工作耗时耗力,效率亟待提升。为满足监管要求,开展了等级测评、密码应用安全评估、数据安全、风险评估、个人信息保护等工作,但其中近40%的工作都存在一定的重复,付出了大量重复工作和重复劳动,如重复编写文档、填写报告、测评等,浪费了时间、人力、资金成本。

3.难以实现一次性合规

由于法规更新频繁、技术发展迅速、业务需求变化等因素,信息系统难以实现一次性合规。没有形成动态管理的机制,没有随着信息系统、信息资产、外部环境等各类变化,动态调整相应的合规管理工作,缺乏对合规问题的持续监测与跟踪,不能满足长期符合不断演进的网络安全监管要求。

三、多规管理融合保障医疗数据安全全面合规

面临诸多风险挑战,道普信息风险管控专家提出了“注重多规管理融合,一次测评,多规满足”的先进理念。这一理念的核心在于,通过整合不同的监管要求,实现一次测评即可满足多项合规标准,极大地简化了合规流程,降低了合规成本,同时也为技术创新与产业升级的深度融合提供了有力支撑。

合规规划阶段多规管理

应充分调研并梳理适用的网络安全法规、标准与政策,明确合规目标与要求,形成统一的合规清单。并对合规管理进行整体规划,通过全面识别、梳理合规管理对象,分析合规管理对象的合规现状,形成全面合规管理规划,保障合规管理全覆盖、实现对管理对象的合规分类管理,减少后期合规管理的成本。

合规实施阶段多规管理

按照多合规要求融合整改(建设),确定各合规管理对象的合规要求,综合分析安全现状与合规要求之间的差距,从技术和管理两个维度进行融合整改(建设),实现“一次整改(建设),满足多规”,避免重复投入、保障各合规要求的有效融合,从而工作中心向合规管理聚焦。

结果管理阶段多规管理

对合规实施的结果进行有效管控,首先,开展等保、密评、关保、数据安全、个人信息保护“N合1”融合评估,验证多合规整改(建设)的有效性;其次,将评估结果上报监管部门;最后,对安全状态、不符合项进行分析并建档,为后续的合规管理持续改进提供支撑。

合规追踪阶段多规管理

持续跟踪合规状况并持续改进,主要进行合规状态管理(动态更新资产清单、对象合规控制清单)、安全状态监控(实时监测、周期测试)、管理记录维护、不符合项管理(不符合项动态处置)。通过建立法规监测与更新机制,及时跟进网络安全相关法律法规、标准与政策的变化,评估其对现有系统的影响,适时调整合规规划与实施策略。通过合规跟踪实现合规管理持续优化、改进,提升合规管理能力,确保信息系统始终保持合规状态。

在医疗数据安全监管日益严格的今天,合规已不再是可选项,而是关乎生存与发展的必答题。多规管理融合作为行业发展的必然趋势,不仅简化了合规的复杂性,更为医疗行业的数字化转型和产业升级开辟了新路径。展望未来,随着数据安全合规体系的不断完善和优化,我们有理由相信,它将为医疗行业的健康发展注入更强动力,为“健康中国”战略的深入实施奠定坚实基础,共同开创一个更加安全、高效、智慧的医疗新时代。