数据安全治理白皮书5.0——医疗数据安全治理实践（医院实践篇）.pdf

医疗行业是我国基础民生行业，是国家大力进行保障的行业，涵盖了卫生健康相关的医院、药品、器械、健康管理等一系列领域。经过多年大规模的信息化建设，医疗行业沉淀形成了规模巨大的数据集合，这些数据价值巨大、风险巨大，关系着亿万公民的个人隐私，也关系着社会运行的安全、稳定。过去若干年，医疗行业的发展与信息化、互联网化的发展密不可分，未来也将与医疗数据的开发利用密不可分，互联网医院、医联体建设、专科联盟建设、联合诊疗、医疗健康信息互联互通、临床医学研究、可穿戴健康监测、公共卫生监测等工作都与医疗数据的共享交换密不可分，医疗数据的共享、流动使用是必然趋势；与此同时，医疗行业的数据泄露风险必然加大，数据安全管理与防护工作将面临更大的挑战，数据安全不再仅仅是信息化负责人的工作责任，更是各医疗单位管理者的重要责任。

医疗行业的数据安全建设迫在眉睫，但其数据安全建设基础较弱，涉及的范围广泛，难度很大；医疗行业的数据不仅包括医院的患者诊疗数据，还包括疾控数据、居民健康档案数据、互联网医疗平台数据、医药平台数据、卫健委统计上报数据、人类遗传数据等等；要同时把这些数据的安全建设思路都梳理清楚，挑战巨大。

数据安全治理白皮书从5.0开始推出行业实践分册，其中医疗行业作为本期的一个重要行业方向进行调研和规划；凡事都很难一蹴而就，面对医疗行业庞大的数据应用方向，我们先选择了医院这一与百姓日常关系最为密切、个人数据相对敏感、数据泄露风险相对严峻的领域作为我们医疗实践

专册第一期的研究方向，希望在这个方向上形成一些成果，再推动其他医疗数据应用领域的行业调研和规划事宜。

为了将这项工作做好，我们特地邀请了国家卫生健康委医院管理研究所的专家、地方卫健委的专家、医院单位的信息化主管专家共同组建了医疗行业专家团队，共同对医院数据的分类分级、医院数据应用场景的安全要求、医院数据安全检查评估等三个重要方面进行研究建议，并对一些医院已经落地的数据安全实践进行介绍，希望能够为医院的数据安全建设带来借鉴意义。

医院经过多年的信息化建设，已经具备了HIS(医院信息系统)、PACS(医学影像系统)、LIS(检验信息系统)、RIS(放射信息系统)、CIS(临床信息系统)、EMR(电子病历系统)、CDSS(临床辅助决策支持系统)等与患者诊疗密切相关的IT系统，这些信息系统后端存储着大量的患者个人信息(如身份证号、家庭住址、家庭关系、医保卡号、银行卡号等)以及患者诊疗信息(检查、检验、病症、处方等),这些信息对于个人来讲非常隐私，信息泄露会造成患者的家庭纠纷、社会歧视甚至人身安全；这些信息具有巨大商业价值，是医药、保健、保险、广告等商业机构高度关注的数据。

2.1.2.医院业务走向智慧互联，数据边界更为模糊

我国的医疗体系正在深化改革，为了更好地便民服务、提高医疗效率、提升医疗资源的平衡利用问题，国家正在加强互联网医疗、区域医疗、联合诊疗、医药统筹等措施，再加上原本就需要的医保联网、卫健信息上报、健康信息平台数据上报等要求，医院的信息不仅在院内存储，还要大量的流动到上级管理部门、兄弟单位、第三方医疗合作机构。

2.1.3.安全建设以网络安全为主，数据安全建设刚刚起步

经过等保的推动与落地，大多数医院系统已经有明确的等保定级，再加上医院系统定级必须要通过等保整改评估，在过去的十多年，医院在网络安全建设上投入较大，在边界网络防护、攻击风险监测、防病毒、身份认证、通讯加密等维度上都已经有了大量的投入和成果，使医院的网络防护体系系能力的建设相对成熟。

但在数据安全上，尚处于起步阶段，在过去主要是与等级保护要求相关的数据库审计有了较为普遍的建设落地，个别领先的医院在数据脱敏和数据的运维管控上有了投入；但从整体来看，符合《个人信息保护法》、《数据安全法》以及《网络数据安全管理条例(征求意见稿)》的数据安全体系建设还相较甚远。