欢迎访问智慧医疗网 | 网站首页
 
当前位置:首页 > 云计算

DSMM赋能医疗云数据安全防护体系建设

发布时间:2024-02-18 来源: 中国软件评测中心 浏览量: 字号:【加大】【减小】 手机上观看

打开手机扫描二维码
即可在手机端查看

《“健康中国2030”规划纲要》的印发表明健康医疗大数据已成为国家基础性战略资源,随着云计算与大数据等新技术赋能智慧医疗领域,医疗云应运而生。由于医疗数据与生命健康强相关、内容高度敏感,数据一旦泄漏,无论对患者、医疗机构,还是相关生态产业都可能带来威胁。为了更好地保护医疗云数据安全,规范和推动健康医疗数据的融合共享、开放应用,亟需构建医疗云数据防护体系。


01

医疗云数据的安全现状

在医疗数据上云过程中,新技术在各个环节带来便捷的同时增加了医疗数据与云环境相关的风险范围。综合起来,医疗云数据安全不仅包含原有安全问题,还包含云环境安全问题。

1.数据安全风险意识缺失。医疗机构工作人员可直接接触患者健康诊疗数据,近期发生的患者病历泄露事件反映出医护人员对患者隐私保护意识淡薄,折射出医疗机构可能未向全体人员宣贯《数据安全法》《个人信息保护法》等内容。

2.医疗信息系统建设水平参差不齐。医疗云提供多个API联结各个医疗机构的信息系统,由于医疗机构管理体制参差不齐,存在系统更新较为滞后且网络开放程度高的医疗机构,攻击者很容易进入此类机构内部网络,进而对云平台进行攻击。

3.云特性带来的额外风险。医疗云资源的池化存在多用户共享相同存储空间,存在数据的隐私性以及完整性被破坏的风险。医疗云数据的分布式存储和异地备份机制提高了数据的管理难度、扩大了数据被泄露的风险、增加了被攻击的可能性。

4.云解决方案选型能力不足。信息化高级人才大量涌入互联网行业,使得医疗行业普遍缺少IT技术骨干,医疗利益相关者无法对云平台提供的数据安全保护能力进行评估,最终导致很难选择符合其安全需求的医疗云平台。


02

DSMM赋能医疗云数据安全体系建设

目前缺乏专门的医疗云数据安全相关指南,现有的云安全指南(例如:标准GB/T 31168-2014)主要以云服务产品为主体,对数据安全保护要求的描述不够全面,导致基于云的医疗保健服务存在一定的风险,阻碍了医疗云的发展。因此,亟需使用针对数据安全能力进行评价的标准,对医疗云服务机构以及相关利益方进行测评。作为第三方评估机构,建议医疗云服务相关利益方采用DSMM标准“以评促建”,是当前提升医疗云数据安全体系建设的可行解决方案。

1. DSMM评估要素

GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》(简称DSMM)可围绕组织数据采集、传输、存储、处理、交换和销毁的数据全生命周期进行分析,在每个阶段从组织建设、制度流程、技术工具和人员能力四个维度进行能力成熟度等级评估,从而得到组织数据安全能力结果。

微信图片_20240218122717.png

图1  DSMM评估要素

2. DSMM评估价值

DSMM评估是从数据安全管理的角度,以组织的数据为核心,围绕数据全生命周期进行分析、发现数据安全风险。专业团队通过DSMM评估可帮助组织定位自身数据安全短板,有针对性地提出数据安全能力提升路径,能够在一定程度上解决目前医疗云在数据安全方面存在的问题:

(1)组织建设落实医疗机构数据安全责任

构建数据安全决策层、管理层、执行层三层管理结构,确定职责分配和沟通协作机制,为增强医疗机构的数据安全风险意识做基础。

(2)制度流程细化医疗机构数据安全策略

建设各项数据安全理制度体系,依据DSMM标准、GB/T 39725-2020等医疗数据安全相关标准从上层得数据安全方针和总纲到中层的数据安全管理规范,最终到数据安全合规操作指南和作业指导。在建设制度体系过程中,不断提升各岗位角色数据安全风险意识。

(3)技术工具统一信息系统建设水平

梳理医疗云中的各信息系统,提出统一建设要求,使得系统本身和辅助工具均有效执行数据安全策略。

(4)人员能力提升专业数据安全水平

制定相关人员参与提升计划,为医疗云以及相关利益方培养核心人员数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力,为理解、使用云解决方案做人才储备。


智慧医疗网 © 2022 版权所有   ICP备案号:沪ICP备17004559号-5