指南解读| 《健康医疗数据安全指南》的那些事儿

发布时间:2021-03-30 作者:

健康医疗信息包括个人健康医疗信息以及由个人健康医疗信息加工处理之后得到的健康医疗相关信息。随着健康医疗大数据应用和“互联网+医疗健康”应用的蓬勃发展,各种新业务、新应用不断出现,健康医疗信息在全生命周期各阶段均面临着越来越多的安全挑战,安全问题频发。《健康医疗数据安全指南》(以下简称为《指南》)的发布可以成为行业发展的重要依据和助推力。

这一标准主要描述了保护个人健康医疗信息的安全目标、使用或披露原则、实施方法、可使用的安全措施集包括去标识化指引、数据使用场景分析以及各典型场景下为保护个人健康医疗信息安全健康医疗信息控制者可使用的重点安全措施。

《指南》针对数据安全治理具体做了哪些要求,昂楷的数据安全治理解决方案与《指南》的“默契度”有多少,本文将带你一睹全貌。

指南的范围

《指南》清晰定义了本指南的使用、及适用范围,即对于相关部门在开展健康医疗数据的安全监督管理与评估等工作上,除了《等级保护法2.0》、《数据安全法(草案)》之外,有了更新、更全面、更明确的参考依据。

健康医疗数据类别与范围

《指南》阐述了更加详细、具体的健康医疗数据类别与范围。昂楷科技结合数据的全生命周期、全数据形态、全流通环节,可通过自定义规则去防护、覆盖这些敏感数据。数据分级划分

《指南》对健康医疗的数据安全的顶层设计进行了明确要求,也为数据安全相关产品的落地提供了理论依据。根据数据重要程度和风险级别,《指南》把健康医疗数据分为5级,并明确要求不同级别的数据在使用时需要去标识化。

角色分类

针对特定数据,在特定的场景,相关组织或个人可划分为以下四类角色:主体、控制者、处理者、使用者。针对特定的组织或个人,围绕特定的数据,在特定的场景,只能归为其中的一个角色。

数据流通的使用场景

《指南》规定6类数据流通的场景,使用场景要点在于要考虑不同角色之间数据流动的安全问题,同时结合数据分级、用户权限,识别是否需要数据库审计、数据脱敏等产品。

、水印等功

数据披露原则


可通过数据库防火墙、数据库审计、数据脱敏、数据水印技术,满足指南的要求。

健康医疗数据保障的组织


在以往,医疗数据安全监督和管理部门默认为信息中心或IT部门,《指南》明确了数据安全保障组织,并各有分工,且相辅相成。



针对数据安全的要求


昂楷数据安全治理解决方案强调:全生命周期、全数据形态、全流通环节,走在了《指南》前面,且是完美覆盖。


对健康医疗数据的脱敏要求

医疗健康行业内,针对脱敏是有一个指导性意见,《指南》则是更具体,例如“个人属性”,同时,明确指出了处理方法。昂楷数据脱敏算法和策略已经实现《指南》的要求,不仅是覆盖《指南》的要求,更是在这之上。


角色权限示例


昂楷数据安全治理解决方案在多年前提出的顶层设计思维,提出数据安全治理需考虑数据安全策略、用户安全策略,并且从产品层面已经可以满足指南要求。

不同角色对数据的访问权限不同,可结合审计规则、数据分类分级、用户行为分析。通过审计系统可识别高危操作,通过昂楷数据安全综合治理平台可建立更精准的用户行为分析。


数据调阅时的数据安全要求


昂楷数据水印技术是满足政策要求的唯一技术标准,具有高鲁棒性、高隐秘性、高准确性。


审计管理要求


昂楷科技提供数据安全咨询服务,从制度、流程、组织架构、数据安全服务建立全生命周期数据安全治理设计架构。


应用安全


《指南》明确了针对业务系统的脱敏要求。从业务系统层面去实现脱敏要求比较困难,昂楷科技的产品可以快速实现对业务系统数据的防护与监管。


数据的交换共享


《指南》明确要求了商业保险主体与第三方进行数据交换共享时的安全措施。

《指南》新增了对医疗器械的数据安全要求。

《指南》从制度、流程、场景化层面提出了更明确的要求。昂楷数据安全治理解决方案在指南发布之前就具备了这些能力,并提供了更多功能。医疗信息化建设内容、包含的指导性文件很多,《指南》只是其中一部分。昂楷数据安全治理解决方案,依据多年行业经验,结合法律法规和业内先进的理念模型进行架构设计,从全生命周期、全数据形态、全流通环节对数据安全治理进行顶层设计,形成可落地的解决方案。

       欲了解昂楷科技数据安全治理解决方案,可跳转至:昂楷数据安全治理方案:多维度体系保护  全阶段能力赋能



返回上一级

400-622-8990