日前,由中共上海市委网络安全和信息化委员会办公室、上海市卫生健康委员会指导,上海市静安区委网络安全和信息化委员会办公室、上海市静安区卫生信息中心编制的《上海市卫生健康行业网络数据安全风险评估指导手册》正式发布。
一、编制背景
随着“互联网+医疗健康”战略深入推进,卫生健康行业进入以数据驱动为特征的高质量发展阶段。多源医疗数据的广泛应用在提升服务效率的同时,也使数据安全风险呈现出复合型、传导性和高危害等特点,对行业数据安全防控提出更高要求。为响应市委网信办关于编制行业领域网络数据安全风险评估指导手册的工作部署,静安区委网信办、静安区卫生健康委立足区域医疗卫生单位集中的特点,在市委网信办统筹协调和市卫生健康委具体指导下,依托静安区卫生信息中心长期深耕医疗卫生信息化领域的实践积淀,以及前期医疗数据分类分级工作及地方标准《卫生健康数据分类分级要求》贯标经验,积极探索开展卫生健康行业网络数据安全风险评估指导手册编制工作,推动构建贴合行业实际的风险评估体系,填补行业专属风险评估规范空白。本手册适用于上海市各级各类医疗卫生机构、卫生健康信息化平台及相关数据处理主体,并可作为第三方评估机构和监管部门的参考依据。《指导手册》系统构建了卫生健康行业网络数据安全风险评估的全流程工作体系,主要包括五大部分:一是总体概述;二是深入剖析卫生健康行业的数据特点及行业特性;三是明确风险评估工作目标、原则及依据;四是详细规定“评估准备—信息调研—风险识别—综合分析—评估总结”五阶段闭环工作流程;五是提供一套完整的、可直接使用的配套表单。(一)首发“AI+医疗”评估维度。针对生成式人工智能等新技术应用带来的新风险,《指导手册》一方面,在风险识别阶段,分别设置相应的识别路径和核查要点,确保评估工作聚焦关键风险;另一方面,特别设计了《医疗卫生AI应用风险识别表》,覆盖训练数据合规、生成内容安全、模型防护、伦理审查等AI应用全生命周期角度。(二)强调业务连续性优先原则。医疗业务“生命至上、服务不间断”的特殊性,对业务的连续性提出了更高要求,《指导手册》明确要求技术测试必须避开诊疗高峰,并制定完善的应急保障方案,确保评估活动不对正常医疗服务造成干扰。(三)构建动态化、场景化评估体系。《指导手册》进一步推动风险评估从静态合规检查向持续、精准的风险治理转变,一是根据数据字段、数据处理活动、外部威胁环境等变化,明确动态调整评估流程;二是针对临床诊疗、公共卫生、家庭医生、远程医疗等不同业务场景,明确差异化的风险评估重点;三是当数据处理范围、处理方式或外部安全环境发生重大变化时,明确应及时更新评估对象、调整评估内容,必要时重新开展风险评估。(四)提供详尽实用的操作工具。通过一系列结构化的调研表、评估表和判定标准,将法律法规要求、国家标准转化为具体、可执行的检查项,极大提升评估工作的实操性和效率。
特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。
