首页 > 关于我们 > 新闻动态 > 深度解读

夯实数据安全防线,加速迈向智慧医疗新时代

发布时间 2024-08-27

前言:


随着一系列法律法规的出台,我国对数据安全的重视程度达到了前所未有的高度,特别是对于医疗保障系统而言,数据安全不仅是法律的要求,更是保护公民隐私、维护社会稳定的重要举措。本文将详细介绍和记在医保局系统数据安全治理方面的成功实践,为行业提供一套切实可行的解决方案。


近年来,国家对数据安全的重视程度不断提升,《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》先后相继出台,医疗保障系统全面落实数据安全治理和建设势在必行。

同时,国家医疗保障局、医保网信办陆续发布《关于加强网络安全和数据保护工作的指导意见》(医保发[2021]23号)等多项关于推进网络安全和数据安全建设的指导意见和规范,明确强调了在医疗保障信息化建设中加强数据安全保护工作,实施数据全生命周期安全管理,落实数据分级分类以及重要数据保护目录,完善数据安全评估机制,夯实医疗保障信息化发展的安全底线。

作为国内数据安全标杆企业,和记凭借其在医疗行业丰富的实践经验和卓越的技术实力,为行业提供了全方位、高效的数据安全解决方案,有效保护了医疗信息数据的安全性和完整性,为智慧医疗建设提供坚实后盾和有力支持。


医保局系统数据安全建设目标


根据医保发[2021]23号、[2022]7/8/9号等关键政策导向及《网络安全法》、《数据安全法》等法律法规的严格规定,紧密贴合医保局平台建设及长期运营维护的实际需求,和记秉持体系化、系统化的理念,致力于构建一套全面而高效的数据安全治理体系。该体系旨在达成以下数据安全能力目标:

一、依据《医疗保障数据分类分级管理规范》开展敏感数据分类分级工作。将医保数据分类分为4层,分级分为3个级别,并建立数据资产分级分类管理制度及相应的数据保护措施。

二、建设数据安全治理管理能力。 以DSMM3为支撑,基于场景化的数据业务防护思路,建设数据访问控制、脱敏、水印、审计、溯源、风险分析、态势感知等综合治理能力。

三、建设数据流转监控能力。对敏感数据访问、网络文件传输等行为进行实时审计,对数据流转状态进行监控。建设数据数据溯源能力,为数据泄露场景建设提供支撑,为数据溯源提供支撑,防止数据泄露。

四、建设数据安全的全生命周期管理能力。梳理各个生命周期的业务场景,根据各业务场景开展数据安全保护工作,如数据脱敏、数据权限控制、数据审计、数据共享、数据溯源的管控等。

五、建立数据安全治理的集中管理能力。对数据资产进行集中监控、对数据安全策略进行集中管控,建立数据流转监控、数据安全风险分析能力和态势感知能力。对重要数据进行重点操作和审批的保护。

六、建立数据安全日常运营能力。开展数据安全运营能力能力建设,以DSMM3为支撑,开展日常安全策略、安全制梳理、安全标准合规对标梳理工作,安全事件、安全风险的分析、预警和处置工作,实现日常数据安全工作的常态化、标准化。


和记医保局系统数据安全解决方案


目前省级医保局的业务系统大概为16个左右,已建系统按五大类划分,分别为经办管理类、公共服务类、监督管理类、应用支撑类、决策分析类。围绕医保局的核心业务应用系统,在待遇保障、医药服务管理、医药价格和招标采购、基金监管、公共服务等方面提供基础的数据支撑服务。


和记紧密围绕医保局核心业务系统的数据,构建了一套以数据分类分级为基础,数据保护和数据风险态势感知为目标的数据安全治理体系。该体系积极响应防范化解医疗保障系统数据安全风险的需求,同时促进数据的合理、安全开发利用,显著提升了数据安全保障能力,确保医保系统数据的保密性、完整性与可用性,为医保事业的稳健发展保驾护航。


图片1.png


以数据生命周期和业务场景化思路,对业务进行梳理,针对各种业务场景风险,部署相应的防护能力。对数据安全能力进行集中化、标准化、规范化、常态化管理,通过安全建设,提升数据安全运营能力、数据安全管控能力和数据安全监控能力。


? 数据采集场景


采集场景:医保局同政务大数据局共享交换平台数据采集、医税系统同税务系统的数据采集、省医保局同国家医保局之间数据采集、数据中台同核心业务系统之间数据采集。

业务风险:采集接口缺乏有效管控,存在异常的连接、恶意连接风险。

能力防护:采用API接口监测、数据库审计监测相关行为,发现接口异常。

数据存储场景


存储场景:数据中台、各业务系统、交换系统存在数据。

能力防护:采用数据发现,发现敏感数据,并对数据分级分类,分为4个大类、3个级别。

    ? 医保数据分类


    一层分类划分为医保基础信息、医保服务信息和医保管理信息三个主题。


    二层分类参考医保数据特点,综合考虑数据分类管理的需求,根据一层分类下的数据特征进行如下划分:

    a)医保基础信息分为医保险种、个人信息、单位信息、地域区划4个类别;

    b)医保服务信息分为公共服务、医保服务、招采服务3个类别;

    c)医保管理信息分为专家评审、信用评价、内控管理、医保基金监管、基金运行及审计、支付方式管   理、系统门户管理、医疗服务项目价格管理8个类别。


    三、四层分类,基于上层分类的数据进行细分。


     ? 医保数据分级


    医疗保障数据级别从高到低划分为核心级、重要级、一般级3个级别。


    用户账号密码信息、数字证书(私钥)信息为重要数据。同时符合以下条件的诊疗服务类、个人信息类、医保结算类、两定机构结算信息类、参保信息类、征缴信息类数据为重要数据:

    a)主要服务人群覆盖全国,且月实时结算量超6千万人次;

    b)主要服务人群覆盖全省,且月实时结算量超3千万人次。


    同时符合以下条件的诊疗服务类、个人信息类、医保结算类、两定机构结算信息类、参保信息类、征缴信息类数据为核心数据:

    a)主要服务人群覆盖全国,且月实时结算量超3亿人次;

    b)主要服务人群覆盖全省,且月实时结算量超1.5亿人次。


数据共享场景


共享场景:数据共享给大数据局、数据通过两定系统共享给医疗机构、数据共享给国家局、数据共享给银行等系统。

能力防护:采集API监测对共享接口进行监测;采用全流量探针对影子数据的流转进行监测;采用数据数据库审计对接口命令进行管理。

数据使用场景


使用场景:业务开发使用需要测试数据、业务人员访问业务系统、运维人员对数据进行运维、VPN用户远程访问业务系统或运维。

场景风险:业务人员恶意查询、导出数据,运维人员缺乏权限,恶意访问、查询、导出数据;业务开发测试人员利用测试的机会导出真实的数据。

能力防护:针对使用场景,包括运维、业务访问、开发测试场景,分别采用静态脱敏、核心信息管控、应用网关进行管控。


图片2.png


采用和记数据安全治理平台作为数据安全保障的调度系统,向上承接各类制度规范的拆分和解读,使之成为具体可落地、可执行的安全策略;向下基于统一的、全局的安全策略驱动和调度数据脱敏、API接口审计、全流量探针、防泄漏等能力组件执行各种安全策略。

采用和记数据安全态势感知平台作为数据安全管理的指挥系统,从异常行为、流量和数据访问异常等多维度进行画像分析,实现对医疗保障系统数据安全风险和面临的外部数据安全威胁进行持续监测、分析研判,使得制度、规范、流程、风险评估、安全能力、安全策略形成闭环,从而为医保局系统数据安全构建起一套综合的立体防护体系。

数据安全是医疗行业发展不可或缺的支撑要素。和记通过全方位的数据安全管理,实力护航医疗卫生机构业务系统的安全稳定运行,保障智慧医疗数据安全,助力行业健康、稳定和可持续发展。
上一篇 下一篇