很多医院做数据资产盘点,第一版表格通常长这样:
HIS 系统、EMR 系统、LIS 系统、PACS 系统、医保结算系统、互联网医院平台、随访系统、科研平台、数据中台。
系统名称列得很全,责任部门也写了,重要程度也标了。看起来像是完成了盘点。
但真正到了数据安全管理时,问题很快就冒出来:
某个科室导出的 Excel 算不算数据资产?测试库里的脱敏数据谁负责?厂商排障拿走的日志里有没有患者信息?科研平台里的队列数据能不能继续复用?互联网医院接口同步到合作平台的数据是否还在医院可控范围内?
这些问题,单靠“系统清单”回答不了。
上一篇我们讲到,医院数据安全第一步不是买工具,而是先把责任、边界和流程说清楚。到了第二步,最容易被低估的动作就是资产盘点。
很多医院以为资产盘点就是“把系统列出来”。但从数据安全角度看,系统只是数据的一个落点,真正决定风险大小的,是数据从哪里产生、经过哪些系统、被谁调用、有没有导出、有没有给第三方、有没有被复制到测试库、报表库和科研环境里。
如果只数系统,医院看到的是一张静态地图;如果追数据流,医院看到的才是风险运行的路线。
这篇就围绕一个问题展开:医院做数据资产盘点,到底应该盘什么,怎么盘,盘完之后怎么真正服务后面的分类分级、权限治理、脱敏审计和应急处置。
医院的信息系统通常比较清楚,因为它们有建设项目、有供应商、有运维责任人,也经常出现在等保、资产管理和运维台账里。
但数据资产比系统资产更细,也更流动。
同一个 HIS 系统里,可能同时包含患者身份信息、挂号记录、诊疗记录、费用记录、操作日志、统计报表。它们的敏感程度、使用场景、管理要求并不一样。
反过来,同一类数据也可能分布在多个系统里。比如患者身份信息,可能出现在挂号系统、电子病历、检验系统、影像系统、医保系统、互联网医院、随访系统、短信平台和数据中台。
如果只按系统盘点,最后得到的是“系统重要性”;如果按数据盘点,才能进一步判断“这类数据谁能用、怎么用、能不能导出、是否要脱敏、访问是否要审计”。
医院盘点时,至少要把四类资产分开看:
| 类型 | 关注重点 | 例子 |
|---|---|---|
很多风险不发生在核心系统里,而发生在派生资产里。
这也是医院资产盘点最容易“看起来很完整、实际上不够用”的地方。系统清单通常能回答“医院有哪些业务系统”,但回答不了三个关键问题:
| 关键问题 | 只看系统清单的问题 | 数据资产盘点要补上的内容 |
|---|---|---|
所以,医院做资产盘点时,不能把“系统台账”直接当成“数据资产台账”。系统台账是基础,但它只是入口。真正的数据安全管理,需要把每个系统里的关键数据拆出来,再沿着业务流、接口流、文件流和使用流继续往下追。
举个简单例子:PACS 系统本身当然是重要系统,但盘点不能停在“PACS 系统,责任部门:影像科/信息科”。还要继续问:影像图像和影像报告是不是同一类数据?影像报告里是否包含诊断信息?是否会同步到 EMR?是否会进入区域影像平台?是否会给远程会诊平台?是否会被科研项目批量调取?厂商排障时能否接触影像原片?这些问题,才是数据安全真正要处理的颗粒度。
医疗数据不是静态放在数据库里的。它跟着患者就诊流程、医院管理流程和科研流程不断流动。
一个患者从挂号开始,数据可能经过挂号、分诊、医生工作站、电子病历、检查申请、检验检查、影像报告、药房、收费、医保结算、随访、互联网医院复诊等多个环节。
每个环节都会产生新的数据,也会调用前面环节的数据。
做数据流向盘点时,建议不要一开始就钻数据库字段,而是先沿着业务链条问问题:
• 数据从哪个业务动作产生? • 写入哪个系统? • 被哪些系统调用? • 是否通过接口同步出去? • 是否会被导出成报表或文件? • 是否会进入数据中台、科研平台、上报平台? • 是否有第三方参与处理?
可以用一个四层模型来梳理:
| 层次 | 要看什么 | 盘点产出 |
|---|---|---|
这个模型比单纯列系统更麻烦,但它更接近真实风险。
实际落地时,可以先不追求“一次画完整个医院的数据地图”。更可行的做法,是从高风险、高频流动的数据开始,先把几条主链路追清楚。
比如可以先选三条线:
| 数据链路 | 为什么优先盘 | 重点关注 |
|---|---|---|
这三条线跑通以后,医院会很快发现:很多风险不是某个系统“有没有漏洞”,而是数据在跨系统、跨部门、跨机构流转时,责任和控制没有跟上。
追数据流时,建议每条链路至少形成一张“流向草图”。草图不一定复杂,但要能看出四件事:数据从哪里来,经过哪里,谁在使用,哪里可能离开医院可控范围。
| 流向节点 | 要问的问题 | 常见风险 |
|---|---|---|
医院的数据安全盲区,往往不在最核心的生产库,而在那些平时没人太注意的边缘位置。
比如测试环境。系统升级、接口联调、厂商排障时,生产数据可能被复制到测试库。如果没有脱敏、没有访问控制、没有清理机制,测试库就会变成一个低防护的数据仓库。
比如报表和 Excel。业务科室为了统计、质控、科研,可能导出大量包含患者信息的表格。表格离开系统以后,原来的权限控制、日志审计和访问边界基本都会变弱。
比如日志和截图。厂商排查问题时经常需要日志、数据库片段、页面截图,而这些材料里可能包含姓名、证件号、诊断、费用、手机号等信息。
比如备份和历史系统。医院更换系统后,旧系统可能不再频繁使用,但历史数据仍然存在。备份数据也常常保存了完整敏感信息,一旦权限控制不足,风险不比生产库小。
边缘数据之所以危险,是因为它往往处在“业务觉得只是临时用一下,技术觉得不是核心系统,管理觉得已经离开正式流程”的灰色地带。
比如一个用于接口联调的测试库,最初可能只是为了让厂商排查问题方便;一个科室常用的统计 Excel,最初可能只是为了月度质控;一个历史系统备份,最初可能只是为了防止迁移后查不到旧数据。但时间一长,这些数据可能没有固定责任人、没有访问复核、没有脱敏要求、没有删除期限,最后就变成医院数据安全的暗面。
可以用下面这张表做一次边缘数据自查:
| 边缘位置 | 典型表现 | 需要补的控制 |
|---|---|---|
这张表的意义不在于一次性查完所有角落,而是提醒医院:凡是数据离开原系统、离开原场景、离开原权限控制,就要重新评估风险。
医院可以先不用追求一次性做成很复杂的平台,先用一张结构化台账把核心问题问清楚。
| 字段 | 说明 |
|---|---|
这张表不是为了好看,而是为了支撑后面的分类分级、审批、脱敏、审计和应急。
如果台账里没有“使用场景”和“流向”,后面很难做数据安全管理;如果没有“责任部门”,审批就没有业务判断依据;如果没有“控制措施”,分类分级就无法落地。
更具体一点,台账字段至少要服务四件后续工作。
第一,服务分类分级。没有数据类别、敏感程度、影响范围和业务重要性,分类分级只能停留在经验判断。医院很容易把所有医疗数据都写成“重要”,结果保护动作反而没有差异。
第二,服务权限治理。没有责任部门、使用场景、岗位角色和导出方式,权限治理就只能按系统角色粗放配置,很难做到“诊疗可看、科研可用但受控、第三方可运维但不接触明文数据”。
第三,服务审计追溯。没有流向、接口、导出和第三方接触信息,日志平台即使采集了大量记录,也很难判断哪些访问值得重点关注,哪些行为需要复核。
第四,服务应急处置。发生数据泄露或误用时,如果台账能说明数据范围、流向、接触方和控制措施,医院就能更快判断影响范围、定位责任链条、组织通报和整改。
可以把数据资产台账理解成一张“后续建设索引表”:
| 台账字段 | 后续能支撑什么 |
|---|---|
做到这一步,资产盘点才不只是“做了一张表”,而是给后面的安全建设打了一层地基。
医疗数据资产盘点不是为了做项目材料,而是有明确合规要求。
《医疗卫生机构网络安全管理办法》要求医疗卫生机构对数据资产进行全面梳理,并结合数据重要程度和遭到破坏后的危害程度,建立本单位数据分类分级标准。这里的关键词不是“有一张表”,而是全面梳理、本单位标准、持续管理。
《数据安全法》要求建立数据分类分级保护制度。医院如果不知道自己有哪些数据、数据在哪里流动、哪些数据被批量导出或共享,就很难谈分类分级保护。
《个人信息保护法》也要求个人信息处理活动目的明确、范围最小、采取必要安全措施。要做到“最小必要”,前提是医院知道某个场景到底用了哪些字段、多少数据、流向哪里。
因此,资产盘点至少要回应这些合规问题:
| 合规要求 | 盘点时要补的内容 |
|---|---|
换句话说,医院的数据资产台账不能只是“资产清单”,还要能支撑合规审计。
这里还要注意一个现实问题:合规检查和事件复盘关注的通常不是“你有没有台账”,而是“台账能不能解释现场”。
如果台账写着某类数据只用于院内诊疗,但实际已经被导出到科研平台,说明台账没有动态更新;如果台账写着第三方不能接触真实数据,但排障日志里出现了患者姓名和诊断,说明委托处理和运维控制没有落地;如果台账写着数据需要审计,但实际只有系统登录日志,没有数据访问和导出日志,说明“可追溯”还停在表面。
因此,资产盘点不能做成一次性专项。比较稳的做法,是把它嵌入医院日常变更流程:
| 触发场景 | 台账要同步更新什么 |
|---|---|
这样做的好处是,台账会跟着业务变化一起动,而不是项目验收时漂亮、半年之后失真。
一轮资产盘点做完,不建议只看“填了多少行”。更应该看它能不能回答四个追问。
第一,能不能说清“高风险数据在哪里”。
医院至少要知道病历、检验、影像、医保、基因、随访、科研队列等高敏感数据分布在哪些系统、哪些平台、哪些导出文件和哪些第三方环境里。如果只能说“在 HIS、EMR、PACS 里”,颗粒度还不够。
第二,能不能说清“数据为什么被使用”。
同样是诊疗数据,用于门诊看诊、质控分析、科研建库、医保上报、AI 训练,管理要求完全不同。盘点结果如果没有场景,就无法支撑最小必要和目的限定。
第三,能不能说清“数据离开系统后如何控制”。
很多医院的正式系统有权限、有日志、有账号管理,但数据一旦导出成文件、进入测试库、进入厂商排障包,控制强度就明显下降。资产盘点必须把这些离开系统后的状态纳入视野。
第四,能不能说清“出了问题找谁”。
每一类关键数据、每一个高风险流向、每一个第三方接触点,都应该有责任部门和联系人。没有责任归口,后续告警、审批、整改和应急都会卡住。
| 盘点质量 | 典型表现 | 后续影响 |
|---|---|---|
医院不一定第一轮就做到最高质量,但至少要知道自己停在哪一层。知道差距,后面的改进才有方向。
医疗数据资产盘点的目标,不是做一本厚厚的系统目录,而是让医院知道:重要数据在哪里、怎么流、谁在用、风险在哪、出了问题能不能追回来。
先数系统,只是第一步。
真正进入数据安全建设,要从系统走向数据,从静态清单走向流向图,从资产盘点走向使用治理。
如果用一句话概括第二篇,就是:
下一篇,我们继续讲分类分级:为什么医院数据分类分级不是贴标签,而是给每类数据定动作。
• 《医疗卫生机构网络安全管理办法》:数据资产全面梳理、分类分级标准、全生命周期管理。 • 《数据安全法》:数据分类分级保护、数据安全管理制度和风险监测。 • 《个人信息保护法》:最小必要、目的限定、敏感个人信息保护、委托处理管理。 • GB/T 43697-2024《数据安全技术 数据分类分级规则》:数据分类分级的一般方法参考。
特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。