本研究介绍了某三级甲等医院对数据资产实施安全治理工作的经验,通过构建一套集组织架构、管理体系、技术支持、运营策略和专用工具于一体的医院数据安全治理体系,有效平衡了健康医疗数据资产的应用共享与安全管控之间的关系,为同类医疗机构提供了实践参考。
参照《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)也称为DSMM(data security capability maturity model)模型,对医院的数据安全管理能力进行全方位检视和系统性评价。基于DSMM模型,结合医院实际情况,进一步细分评价指标,构建了一套针对性的医院数据安全能力评价指标体系。该体系包括整体管理、数据管理、安全防护、个人信息保护4个核心领域,并细分为21项子类,见图1。
采用专家背对背评分的方式,对每个指标进行1~10分的评估打分,取平均值作为单项指标的评价结果。评价总分计算采用指标体系层次分析法,针对不同层次的指标进行加权处理,根据不同指标的重要性,对医院相关信息系统进行综合评价,结合所得结果和医院现有资源条件,总结改进方向,开展数据安全治理体系建设工作。
根据数据安全能力评价结果,分析医院数据安全风险,完善医院数据安全管理制度,建设医院数据安全监管平台,构建医院数据安全治理体系,见图2。
根据医院现有的组织架构、信息技术架构、安全架构、安全管理需求等,构建包含决策层、管理层、执行层以及监督层的多层次数据安全管理组织架构,并综合分析医院实际情况,为数据安全管理的各个组织和角色提供支撑服务,界定数据安全工作职责。
结合医院的数据安全合规要求、业务需求、数据资产现状和潜在风险,从组织层面进行整体考虑和设计,构建一个包含管理制度、操作流程规范、实施细则的数据安全管理制度体系,见表1,为数据安全的全生命周期管理、实施、运营及持续改进提供规范依据。
基于医院数据资产的特征以及国家和行业相关政策与标准进行数据分级,依据数据安全性遭受破坏后可能产生的影响范围与影响程度,将数据安全级别由低到高分为1至5级,其中5级定义为重要数据,1至4级定义为一般数据,见表2。
可实现医院数据资产分类分级的智能化安全管理、数据使用行为审计、数据安全风险告警、数据安全策略执行监控等,做到数据资产的事前可管、事中可控、事后可查。
以医院数据资产为核心,应用多项数据安全技术,从事前、事中、事后多维度进行监管。
依托数据安全监管平台,持续、及时梳理医院的数据资产、访问角色和稽核情况,根据相关法规条例及行业动态,同步优化和修订数据安全策略和规范,保证安全策略的时效性与执行力。
医院需组建数据安全支撑队伍,明确角色划分,确保数据安全工作的全面推进和有效管理,见图4。
医院在开发利用数据资产价值的同时,需平衡好数据利用与数据安全的关系,这既离不开数据安全技术手段的支撑,也依赖于数据安全规范管理的引导。本研究构建了一套数据安全治理管理体系,该体系全面覆盖了医院数据全生命周期安全管理流程,通过管理策略、技术手段及运营机制的深度融合,显著提升了医院数据安全防护能力,为医院依法合规开展数据应用与共享活动,以及充分挖掘与实现数据要素价值提供了坚实可靠的保障。
内容来源:吴震天,夏逸舜,莫远明,等.医院数据资产安全治理体系的建设研究[J].中国数字医学,2025,20(4):21-28.