近日,塞力医疗集团(股票代码:603716.SH)与公安部第三研究所就“SPD医院智慧供应链管理业务”签署战略协议,双方将携手开展医疗机构商密保护体系建设,构建智慧医院医疗供应链SPD信息安全壁垒,共同打造智慧医疗数据安全行业新标准。
未来,公安部第三研究所作为塞力医疗在“SPD医院智慧供应链管理”业务领域的重要战略合作伙伴,可为集团SPD项目提供商密保护服务监督与审计系统、密码支撑系统以及密码安全防护、数据加密网关、数据安全存储等密码产品与服务支持,塞力医疗有望成为行业内首家具备国家级密保安全等级的SPD服务商。
2023年医疗反腐风暴席卷全国,SPD (医疗耗材供应链) 模式以全流程数字化、全流程智能监管的优势在医药反腐浪潮中脱颖而出。2023年8月央广网一篇题目名为《中纪委剑指统方利益链斩断带金销售关键环节》的文章,揭示了医疗反腐的核心环节“统方”;紧接着赣州市第五人民医院耗材SPD项目因涉及“商业统方”问题被叫停,一时间SPD模式被推上风口浪尖。SPD模式下可能造成统方的风险点主要来源于潜在的信息系统漏洞,包括主机防护不完善、系统超级用户管理不严、缺乏有效的数据监管和敏感数据从内部流出等。 另外国际一流的调研、分析、媒体、智库机构GoUpsec深入统计分析了2023年全球数据泄露事件,其中政府、科技公司、学校、医疗机构等已成为数据泄露重灾区。上海市网信办2023年曾发布通告,上海某科技公司因数据库存在未授权访问漏洞,部分数据被窃并传输到境外;据业内人士称上海某知名软件企业服务的江苏南部医院SPD项目因使用美国Oracle的商用数据库导致数据泄露,致使当地四家医院医疗信息外泄,影响十分恶劣。而早在2020年,Oracle就曾发生过因服务器数据没有加密导致全球数十亿人数据外泄的事件。频发的医疗行业泄露数据事件提醒我们,提高医疗信息安全刻不容缓。 本次塞力医疗与公安部第三研究所的强强联合,将彻底斩断“信息系统漏洞”造成的“统方风险”和医疗信息泄露危机,可为医疗机构建立起立体安全防护“金钟罩”。
我们将集成公安部第三研究所的商业密码保护服务云应用于塞力医疗自研SPD系统中,全面提升系统加密层级,并实现系统的双向赋能,院内物资耗材采用SPD系统统一管理,结合智能硬件、RFID高频识别技术,以实现物资耗材的精益化管理,同时与省平台、院内HIS系统、卫材系统对接,SPD系统将科室消耗数据同步至卫材系统,由卫材系统根据消耗数据自动生成入库及出库数据,同时卫材系统作为中转集成平台与院内成本中心等系统对接,为成本中心等业务平台提供数据支持。
在塞力医疗对标国际先进水平的自研软硬件产品、塞力SPD智能安防系统、公安部第三研究所的“商密保护服务云”产品的三重构建下,医疗信息供应链系统将形成对医疗健康数据安全、患者隐私、公共卫生信息的立体、多层次防护,建立“固若金汤”的信息安全城池。系统可主动防御使用不安全或境外来源数据库软件等带来的“后门”和信息泄露,从源头杜绝医院在SPD信息化平台使用过程中产生次生腐败的可能。
防护一:底层安全 底层数据存储基于开源数据库MySQL进行开发,在有效保障信息数据安全性的基础上突破信息安全“卡脖子”。
防护二:架构安全 经国家ISO20000、ISO27001、ISO9001、ISO14001、ISO45001、国际CMMI软件能力成熟度模型集成三级、公安部网络安全等级保护第三级等权威认证,对标行业先进水平的工作效能,为医疗机构数据的完整性、准确性和安全性保驾护航。
防护三:网络安全 塞力医疗基于区块链技术,以“守护神”一体机打造医院信息安全整体解决方案,构建新一代网络安全防御体系,通过日志报表、事件库、病毒库、用户操作的数据上链,实现网络安全的事前防御、事中审计、事后还原。
防护四:密保安全 公安部第三研究所商密保护服务云平台可从客户端、业务层、数据层、数据库、运行环境进行层级加密,建立安全运行保护机制。
《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》和《“十四五”数字经济发展规划》均指出,发展数字经济是国家的重要战略部署,加速建设数字中国正当其时,数字安全体系建设亟待进一步完善。在国家顶层战略引导下,我国近年来相继出台了《数据安全法》、《个人信息保护法》等重磅法律政策,数据安全产业迎来重要发展机遇。而医院作为民生基础保障的主力军,数字化转型建设势在必行的同时,医疗健康领域的数据安全保障迫在眉睫。 作为我国关于数据安全的首部律法,《数据安全法》自2020年6月28日以来,经历了三次审议与修改,并于2021年9月1日正式施行,该法为各行业数据安全提供监管依据。 《数据安全法》指出医疗行业应当依法提升数据安全意识,依法建立健全数据安全管理制度,同时要积极采用相关信息技术方案,依法对数据全生命周期(采集、传输、存储、处理、交换、销毁)进行保护,采取数字化、智能化的数据安全保护技术或产品,以实现或提升数据安全保护效率。 伴随着数字经济的蓬勃发展,围绕云计算、大数据、物联网、工业互联网、区块链、人工智能等产业发展,针对智慧医疗全生命周期场景的实现,行业需打破“业务先行,安全滞后”的既往铁律,塞力医疗引入公安部第三研究所信息系统密码防护体系,并切入集团旗下子公司海思太科自主研发设计“商密保护咨询服务体系”,帮助医疗机构及企业在知识产权、商业信息、个人资料、技术资料、采购渠道、商业策略等方面全方位提高商密保护能力,并出具完整的安全审计报告及整改建议方案,可做到“安全预警”,“提前预防”,降低商密泄露风险,解决商业机密举证难、取证难、维权难的困境和痛点,同时可从源头杜绝医疗机构使用国外商用数据库带来的侵权诉讼及数据泄露风险,真正做到防患于未然。
塞力医疗集团将在公安部第三研究所的统一部署下,以浙江大学医学院附属邵逸夫医院(全国三级公立医院绩效考核全国第九、中国大陆首家通过国际医院评审(JCI)、首家通过磁性医院认证、国内唯一一家公立医院加入 MAYO CLINIC医疗联盟的国内头部医疗机构)作为商密保护云服务项目的首批落地医院,共同推进SPD信息化主动安全、保密监督、软硬件安全性侦测等多维度的团体标准设立,逐步形成行业标准化信息安全保护体系,助力全国医院SPD信息化在安全、保密、健康的轨道上实现快速、可持续发展。 在公安部第三研究所的信息安全加持下,塞力医疗集团将为广阔市场医疗机构打造坚固、安全的SPD供应链屏障,并推进智慧医疗全生命周期场景的试点,全面构建健康的商用密码生态系统,以强大的技术壁垒打造企业核心竞争力,开启集团高质量发展的新篇章!
