隨著醫(yī)療健康信息化的發(fā)展,HIS、RIS 、LIS、CIS、PACS、CPR等系統(tǒng)的應(yīng)用逐漸深入整合,為醫(yī)療衛(wèi)生行業(yè)的高效、快捷、便民提供了信息化基礎(chǔ)。面臨新的形勢(shì)、技術(shù),健康醫(yī)療行業(yè)的數(shù)據(jù)安全問(wèn)題越發(fā)復(fù)雜,患者信息高度集中,讓數(shù)據(jù)的安全性受到較大的挑戰(zhàn)。
由于醫(yī)療行業(yè)的特殊性,患者預(yù)約信息、檢查檢驗(yàn)信息、就診信息、醫(yī)學(xué)數(shù)據(jù)等醫(yī)療信息一旦發(fā)生數(shù)據(jù)泄露,不僅影響醫(yī)院公眾形象,甚至損害患者的個(gè)人利益,更是為本就緊張的醫(yī)患關(guān)系又增加了不和諧的色彩。數(shù)據(jù)安全已經(jīng)成為現(xiàn)代醫(yī)療建設(shè)不可或缺的重要因素。
1994年,國(guó)務(wù)院第147號(hào)令《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》明確我國(guó)計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù);公安部與國(guó)家保密局、國(guó)家秘密管理局、原國(guó)務(wù)院信息化工作辦公室先后出臺(tái)了《關(guān)于印發(fā)<信息安全等級(jí)保護(hù)管理辦法>的通知》、《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等一系列指導(dǎo)意見(jiàn)和規(guī)范。
l 2011年,衛(wèi)生部印發(fā)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》,明確三甲醫(yī)院核心業(yè)務(wù)系統(tǒng)(his系統(tǒng)、LIS系統(tǒng)、pacs系統(tǒng)、EMR系統(tǒng))按照信息安全等級(jí)保護(hù)三級(jí)要求進(jìn)行建設(shè)和保護(hù)。
l 2011年, 衛(wèi)生部辦公廳發(fā)布 《全面開(kāi)展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》,貫徹落實(shí)了國(guó)家信息安全等級(jí)保護(hù)制度和衛(wèi)生部關(guān)于《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》,全面提高衛(wèi)生行業(yè)信息安全保障能力和水平,保障和促進(jìn)衛(wèi)生信息化健康發(fā)展。
l 2012年, 國(guó)家發(fā)展改革委辦公廳、衛(wèi)生部辦公廳印發(fā)《基層醫(yī)療衛(wèi)生機(jī)構(gòu)管理信息系統(tǒng)建設(shè)項(xiàng)目指導(dǎo)意見(jiàn)》,要求在制度建設(shè)中,加強(qiáng)系統(tǒng)日常運(yùn)行維護(hù)、系統(tǒng)監(jiān)控、安全護(hù)、應(yīng)急處理等方面的標(biāo)準(zhǔn)規(guī)范和規(guī)章制度。
l 2017年,國(guó)務(wù)院辦公廳印發(fā)《政府網(wǎng)站發(fā)展指引的通知》,要求被列為關(guān)鍵信息基礎(chǔ)設(shè)施的政府網(wǎng)站要在嚴(yán)格執(zhí)行等級(jí)保護(hù)的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),不得使用未通過(guò)安全審查的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。醫(yī)院作為關(guān)鍵信息基礎(chǔ)設(shè)施,應(yīng)按照此要求定期開(kāi)展安全評(píng)估。
l 2018年,《全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》對(duì)各醫(yī)院的網(wǎng)絡(luò)安全有了明確要求。其中安全建設(shè)要求包括保障數(shù)據(jù)中心安全、終端安全、網(wǎng)絡(luò)安全、容災(zāi)備份等4個(gè)方面,19個(gè)項(xiàng)目。
l 2018年, 國(guó)家衛(wèi)生健康委員會(huì)印發(fā)《醫(yī)療質(zhì)量安全核心制度要點(diǎn)》, 指導(dǎo)醫(yī)療機(jī)構(gòu)加強(qiáng)醫(yī)療質(zhì)量安全核心制度建設(shè),保障醫(yī)療質(zhì)量與醫(yī)療安全。
l 2018年, 國(guó)家衛(wèi)生健康委員會(huì)研究制定了《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》,加強(qiáng)了健康醫(yī)療大數(shù)據(jù)服務(wù)管理,促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展,充分發(fā)揮健康醫(yī)療大數(shù)據(jù)作為國(guó)家重要基礎(chǔ)性戰(zhàn)略資源的作用。
l 2019年,國(guó)家衛(wèi)生健康委辦公廳印發(fā)《社區(qū)醫(yī)院基本標(biāo)準(zhǔn)和醫(yī)療質(zhì)量安全核心制度要點(diǎn)(試行)》,文件中提出,應(yīng)當(dāng)建立電子病歷的記錄、修改、使用、存儲(chǔ)、傳輸、質(zhì)控、安全等級(jí)保護(hù)等管理制度。社區(qū)醫(yī)院也要落實(shí)等保制度要求。
隨著醫(yī)療體制改革的不斷深入,醫(yī)療行業(yè)內(nèi)各式新技術(shù)應(yīng)用的廣泛應(yīng)用的深入,對(duì)行業(yè)安全提出了嚴(yán)峻的挑戰(zhàn)。盡管從大體而言,各種信息標(biāo)準(zhǔn)化、包括行業(yè)基礎(chǔ)標(biāo)準(zhǔn)等都在逐步完善建設(shè),但對(duì)于醫(yī)療數(shù)據(jù)安全仍舊迫切?,F(xiàn)如今的醫(yī)療行業(yè)主要存在以下幾方面的數(shù)據(jù)安全需求:
1.醫(yī)療行業(yè)中患者信息、醫(yī)療科研成果等數(shù)據(jù)極為敏感,稍有不慎就會(huì)產(chǎn)生嚴(yán)重的后果。必須保護(hù)重要的終端電腦內(nèi)數(shù)據(jù)的安全,防止敏感數(shù)據(jù)流出外部,造成泄密。
2. 醫(yī)療行業(yè)的應(yīng)用系統(tǒng)從以財(cái)務(wù)、藥品和管理為中心的應(yīng)用系統(tǒng),開(kāi)始向以病人信息為中心的臨床業(yè)務(wù)支持和電子病歷應(yīng)用發(fā)展,患者信息的高度集中,讓數(shù)據(jù)的安全受到較大的挑戰(zhàn)。必須保護(hù)醫(yī)療應(yīng)用系統(tǒng)的數(shù)據(jù)安全,防止應(yīng)用系統(tǒng)數(shù)據(jù)流出,造成泄密。
3.醫(yī)療行業(yè)數(shù)據(jù)備份則是數(shù)據(jù)保護(hù)的重要手段之一。由于醫(yī)療企業(yè)的自身特點(diǎn),計(jì)算機(jī)分散是其管理的難點(diǎn),各部門(mén)、各科室地域分散, 所以建立完善的備份體系將有效提高信息系統(tǒng)的整體安全,有效杜絕因數(shù)據(jù)丟失導(dǎo)的業(yè)務(wù)中斷、經(jīng)濟(jì)損失等。
4. 醫(yī)療數(shù)據(jù)不慎泄密時(shí),審計(jì)和溯源對(duì)醫(yī)療行業(yè)的數(shù)據(jù)安全管理十分重要,通過(guò)審計(jì)記錄和溯源手段,將數(shù)據(jù)的訪問(wèn)定位到操作人,有效實(shí)現(xiàn)定責(zé)問(wèn)責(zé)。
一、數(shù)據(jù)智能加密
對(duì)從核心醫(yī)療應(yīng)用系統(tǒng)中下載到終端的數(shù)據(jù)進(jìn)行自動(dòng)加密,或?qū)χ匾尼t(yī)療科研成果進(jìn)行手動(dòng)加密,加密文件無(wú)論以任何方式存儲(chǔ)或轉(zhuǎn)移,始終都處于加密狀態(tài)。
醫(yī)療系統(tǒng)內(nèi)部可以互相查看密文,但泄密出去的文件無(wú)法打開(kāi)。
用戶本地新建的文件不加密,用戶可以正常使用指定格式加密文檔。
二、數(shù)據(jù)溯源
若用手機(jī)拍攝電腦屏幕或進(jìn)行屏幕截圖,屏幕水印可為文件的歸屬提供可靠的證據(jù),有效實(shí)現(xiàn)泄密文件的溯源。
對(duì)醫(yī)院重要的文件也可打上專(zhuān)屬的文件水印,記錄內(nèi)部接觸人員的信息和時(shí)間節(jié)點(diǎn)。若文件泄密,審計(jì)部門(mén)可通過(guò)文件水印第一時(shí)間定位責(zé)任人,實(shí)現(xiàn)泄密文件的溯源。
三、醫(yī)療應(yīng)用系統(tǒng)安全
用戶將加密文件上傳到醫(yī)療應(yīng)用系統(tǒng)時(shí),集成模塊將會(huì)自動(dòng)解密該文件,保障醫(yī)療應(yīng)用系統(tǒng)中存儲(chǔ)的是明文,不影響應(yīng)用系統(tǒng)的正常工作;
用戶通過(guò)應(yīng)用系統(tǒng)下載文件時(shí),集成模塊將會(huì)對(duì)下載的文件進(jìn)行落地加密,這些文件只能在加密環(huán)境內(nèi)使用,一旦離開(kāi)這個(gè)環(huán)境,所有文件無(wú)法打開(kāi);
為了防止用戶賬號(hào)被盜取,系統(tǒng)內(nèi)的明文數(shù)據(jù)外泄,集成模塊將對(duì)請(qǐng)求訪問(wèn)的終端進(jìn)行篩查判斷,非授信的終端無(wú)法訪問(wèn)應(yīng)用系統(tǒng),從根源上解決醫(yī)療應(yīng)用系統(tǒng)泄露數(shù)據(jù)的安全風(fēng)險(xiǎn)。
四、審計(jì)溯源
全面監(jiān)控和處理應(yīng)用程序中的另存為、打印、拷貝粘貼、發(fā)送郵件等會(huì)引起泄密的行為,并對(duì)醫(yī)院內(nèi)數(shù)據(jù)安全狀況的進(jìn)行統(tǒng)計(jì)分析,可視化地展示數(shù)據(jù)安全狀況,做到可預(yù)防、可定位、可追溯。
五、醫(yī)療數(shù)據(jù)備份
定時(shí)備份醫(yī)院核心數(shù)據(jù),用戶在備份文檔庫(kù)隨時(shí)可以找得到歷史版本數(shù)據(jù)。如果出現(xiàn)醫(yī)療系統(tǒng)癱瘓的情況,數(shù)據(jù)很快可以恢復(fù),大大提高了數(shù)據(jù)的安全性,為醫(yī)療系統(tǒng)運(yùn)行的連續(xù)性提供了有利的保障。
(1)醫(yī)療行業(yè)數(shù)據(jù)集中,醫(yī)療健全得到大力發(fā)展,同時(shí),醫(yī)療數(shù)據(jù)實(shí)現(xiàn)安全可靠管理,其核心關(guān)鍵數(shù)據(jù)得到有效管控,加快推動(dòng)醫(yī)療科研事業(yè)的發(fā)展,提升醫(yī)療行業(yè)服務(wù)水平。
(2)部署的數(shù)據(jù)加密系統(tǒng)與醫(yī)療行業(yè)應(yīng)用系統(tǒng)良好集成,對(duì)醫(yī)療核心數(shù)據(jù)實(shí)行安全管控,不改變工作人員的正常操作模式。在確保數(shù)據(jù)安全的同時(shí),提高了內(nèi)部協(xié)同效率。
(3)數(shù)據(jù)備份提供了更快的、可升級(jí)性更好的、更穩(wěn)定的備份和恢復(fù)解決方案,保證了醫(yī)療系統(tǒng)運(yùn)行的連續(xù)性。
(4)通過(guò)全面的行為管控和審計(jì),確保內(nèi)部醫(yī)療數(shù)據(jù)按照管理規(guī)范使用,對(duì)數(shù)據(jù)進(jìn)行全生命周期追根溯源,最終實(shí)現(xiàn)電子文件可控、可查、可溯、可審。