23年上半年����,醫(yī)療機構(gòu)連續(xù)發(fā)生了幾起數(shù)據(jù)泄露的安全事件,引起了單位領(lǐng)導(dǎo)層的高度重視。
分管院領(lǐng)導(dǎo)緊急召開會議����,部署信息中心�,在全院開展一系列的數(shù)據(jù)安全自查自糾行動��。
講黨課���、調(diào)研走訪����、科室自查�����、全院排查等等����,查漏補缺����,最后形成整體的報告材料���。
整個過程下來��,我們單位的數(shù)據(jù)安全防范能力和水平得到了較大的提升�,員工上下特別是我們信息中心的同事們���,對數(shù)據(jù)安全有了更直觀的感受和更具體的認(rèn)知����。
一�、數(shù)據(jù)安全和保障體系的概念
1. 數(shù)據(jù)和數(shù)據(jù)安全
《中華人民共和國數(shù)據(jù)安全法》第三條,給出了數(shù)據(jù)和數(shù)據(jù)安全的定義:
數(shù)據(jù)���,是指任何以電子或者其他方式對信息的記錄���。
數(shù)據(jù)處理,包括數(shù)據(jù)的收集、存儲�����、使用��、加工�����、傳輸����、提供、公開等����。
數(shù)據(jù)安全���,是指通過采取必要措施����,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)���,以及具備保障持續(xù)安全狀態(tài)的能力�。
2. 健康醫(yī)療數(shù)據(jù)
醫(yī)療機構(gòu)要保護(hù)的,主要是患者的健康醫(yī)療數(shù)據(jù)��。
3. 醫(yī)療數(shù)據(jù)涉及角色
針對特定數(shù)據(jù)特定場景�����,相關(guān)組織或個人可劃分為四類角色:
- 主體�。個人健康醫(yī)療數(shù)據(jù)主體,也就是個人健康醫(yī)療數(shù)據(jù)所標(biāo)識的自然人�。
- 控制者。健康醫(yī)療數(shù)據(jù)控制者�。即能夠決定健康醫(yī)療數(shù)據(jù)處理目的、方式及范圍等的組織或個人��。包括提供健康醫(yī)療服務(wù)的組織����、醫(yī)保機構(gòu)、政府機構(gòu)��、健康醫(yī)療科學(xué)研究機構(gòu)�����、個體診所等,其以電子形式傳輸或處理健康醫(yī)療數(shù)據(jù)���。
- 處理者��。健康醫(yī)療數(shù)據(jù)處理者�。代表控制者采集��、傳輸���、存儲�、使用�����、處理或披露其掌握的健康醫(yī)療數(shù)據(jù)��,或為控制者提供涉及健康醫(yī)療數(shù)據(jù)的使用���、處理或者披露服務(wù)的相關(guān)組織或個人。如健康醫(yī)療信息系統(tǒng)供應(yīng)商���、健康醫(yī)療數(shù)據(jù)分析公司�、輔助診療解決方案供應(yīng)商等。
- 使用者����。健康醫(yī)療數(shù)據(jù)使用者。針對特定數(shù)據(jù)的特定場景����,不屬于主體、控制者和處理者���,但對健康醫(yī)療數(shù)據(jù)進(jìn)行利用的相關(guān)組織或個人���。
根據(jù)《中華人民共和國數(shù)據(jù)安全法》第二十七條要求,
開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律���、法規(guī)的規(guī)定�����,建立健全全流程數(shù)據(jù)安全管理制度�,組織開展數(shù)據(jù)安全教育培訓(xùn)�,采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全
因此�����,醫(yī)療機構(gòu)建立數(shù)據(jù)安全保障體系,應(yīng)包括三方面的工作:建立健全全流程數(shù)據(jù)安全管理制度�、組織開展數(shù)據(jù)安全教育培訓(xùn)、應(yīng)用數(shù)據(jù)安全技術(shù)和產(chǎn)品服務(wù)��,來保障患者醫(yī)療健康數(shù)據(jù)的安全��。
二�、個人對數(shù)據(jù)安全和保障體系的理解
個人覺得,平常主要注重醫(yī)療效率的醫(yī)療機構(gòu)�,發(fā)生這類數(shù)據(jù)安全泄露事件,在意料之中�����。隨著國家對數(shù)據(jù)要素的重視���,數(shù)據(jù)安全問題也提到了一定的高度��。
1. 安全與效率的天然沖突
首先��,我們得承認(rèn)�����,安全和效率是天然沖突的�。
要保障安全�����,就要犧牲效率���。
我們的日常工作中的大部分場景�,都是效率優(yōu)先�����。安全方面���,如果沒有規(guī)則機制的約束��,更多地是抱著一定的僥幸心理��。
比如����,在駕校里我們都學(xué)過���,上車前要繞車一周����,觀察車況和車身周圍情況,確保安全��??捎^察下我們身邊,有多少人每次都會這么做��?我就沒有��,效率優(yōu)先嘛��。(今后還確實是要注意)
然而���,最近發(fā)生的幾起安全事件��,讓我們意識到安全的重要性���,并希望在犧牲一些效率上確保安全。
2. 安全投入的無止境
其次��,安全投入是無止境的�。
你無法評估安全所需要的最小成本��,因為只有在發(fā)生安全事件之后���,這個維護(hù)和補救的成本�����,才是你安全需要的投入���。
但是事件沒發(fā)生前����,很難估計和量化損失����。
可等到事件發(fā)生后,補救已經(jīng)晚了�����。
我們也能理解����,在遇到安全事件后我們的懊悔��,沒想到損失這么大����。
大家都不想出事���,一出事就是大事�����。
3.建立安全體系的重要性
那么���,如何最大概率避免數(shù)據(jù)泄露安全事故的發(fā)生,以及發(fā)生事故后將損失降到最低呢�?
個人理解,應(yīng)在事前開展風(fēng)險評估和預(yù)防���,事中進(jìn)行應(yīng)急處置�,以及事后開展補救和總結(jié)�����。
而就跟火災(zāi)等各類風(fēng)險一樣,要在事前的預(yù)防上下功夫���。
因此���,工作的中心就是建立數(shù)據(jù)安全管理體系,通過壓實責(zé)任�,提升安全意識,在體制機制和技術(shù)方面���,避免安全破綻。
三���、數(shù)據(jù)安全調(diào)研報告的構(gòu)思
會后���,領(lǐng)導(dǎo)讓我寫一個整體的數(shù)據(jù)安全調(diào)研報告。盤點醫(yī)院數(shù)據(jù)安全整體情況�����,探究如何構(gòu)建堅實可靠的數(shù)據(jù)安全保障體系�,實現(xiàn)安全的前提下,用好數(shù)據(jù)為臨床和患者服務(wù)����。
我覺得這個調(diào)研報告可以從以下幾方面來構(gòu)思:
我們醫(yī)院分級分類包含哪些數(shù)據(jù)資產(chǎn)���?
醫(yī)院現(xiàn)有數(shù)據(jù)安全保障政策和措施是怎樣的?
各類數(shù)據(jù)在采集��、傳輸���、存儲����、使用����、交換和銷毀的各個環(huán)節(jié),是怎樣流轉(zhuǎn)處理的����?
各個環(huán)節(jié)有哪些參與主體和參與介質(zhì)?
數(shù)據(jù)全生命周期的各個環(huán)節(jié)�,可能會存在哪些漏洞?
針對這些漏洞和問題��,如何進(jìn)行加固和補救��?
沿著這個脈絡(luò),以基本情況��、存在問題和對策建議為章節(jié)框架���,來形成相對比較完整的數(shù)據(jù)安全管理調(diào)研報告�����。
