DPOHUB抄作业 | 手把手带你搭建医院数据安全整体方案

---

来源：中关村网络安全与信息化产业联盟数据安全治理专业委会：《数据安全治理白皮书 5.0——医疗数据安全治理实践（医院实践篇）》。

转载：小毅安全阵地

医疗行业的数据不仅包括医院的患者诊疗数据，还包括疾控、居民健康档案、互联网医疗医药平台等数据，要同时把这些数据的安全建设思路都梳理清楚，挑战巨大。

医疗行业是我国基础民生行业，是国家大力进行保障的行业，涵盖了卫生健康相关的医院、药品、器械、健康管理等一系列领域。经过多年大规模的信息化建设，医疗行业沉淀形成了规模巨大的数据集合，这些数据价值巨大、风险巨大，关系着亿万公民的个人隐私，也关系着社会运行的安全、稳定。

医疗行业的数据安全建设迫在眉睫，但其数据安全建设基础较弱，涉及的范围广泛，难度很大；医疗行业的数据不仅包括医院的患者诊疗数据，还包括疾控数据、居民健康档案数据、互联网医疗平台数据、医药平台数据、卫健委统计上报数据、人类遗传数据等等；要同时把这些数据的安全建设思路都梳理清楚，挑战巨大。

XX 医院是我国某省会城市的三级医院，是某医疗集团的核心成员，医院已完成电子病历 5 级再参与评级、互联互通 4 级甲等评级、已获得互联网医院牌照。已经建设完成独立的数据仓库，并与集团内的其他十几家医疗机构实现了联合诊疗，通过互联网医疗平台实现了网上挂号与就诊；与多家医院建立了专科联盟。

在安全方面，该医院已经完成了等保三级定级；在《网络安全法》、《数据安全法》和《个人信息保护法》颁布后，在医院内已经设置专岗负责数据安全工作，计划在未来几年将医院的数据安全建设达到行业先进水平。

经过对该医院的 2 周左右的数据资产梳理和数据使用场景的调研，大体明确该医院的数据资产分布和应用场景如下图：

图 1 医院数据资产和数据使用、流转场景

该医院的数据资产主要分布在四个区域，分别是：

（1） 业务中心：HIS、PACS、LIS、EMR 等诊疗系统，以及后台存储数据库所在的业务生产区域，患者诊疗期间的诊疗数据和电子病历数据存储在这个区域。
（2） 数据仓库：通过 ETL 工具，将分散但实时存储在 HIS、PACS、LIS、EMR 后台数据库中的数据抽取到中间库，再分别整理加工成 ODR（运营数据仓库）、CDR（临床数据仓库）、RDR（科研数据仓库）。
（3） 测试中心：是对医疗业务系统搭建的开发测试环境，模拟出医疗生产数据和生产系统，在这个环境下进行医疗业务系统的问题排查、改善和验证。
（4） 医院前置设备区：主要用于对外的数据同步和接受，主要包括与卫健委的数据上保、健康大数据平台，医疗集团数据中心的数据同步，对外的联合科学研究。
同时医院的数据还有三个重要的数据流向：
（1） 医院管理人员：通过对内的业务系统、管理系统访问患者个人信息、诊疗信息、科研信息和医院业务信息。
（2） 第三方的外部连接：通过 API 接口调用，实现与社保、互联网医疗平台、商保查询和医疗集团内的联合诊疗。
（3）内部运维人员：通过对数据库、大数据平台、业务系统的运维会接触和访问到患者信息。

经过 1 周的数据安全状况评估，可以得出如下结论：

（1） 该医院已经有了初步的数据安全专岗，但未形成体系化的数据安全组织机构，没有医院高级管理层的参与和支持，没有推进数据处理环节的数据安全岗位培训。
（2） 该医院的有基本的信息化管理制度和网络安全管理制度，没有专门的数据安全管理制度， 对于数据的存储、使用和共享没有明确的安全要求。
（3） 该医院的测试系统中使用的是 HIS 等诊疗系统中的历史数据，未经脱敏处理，存在数据泄露的风险。
（4） 已经安装了数据库审计系统，主要审计了 HIS 等诊疗业务系统的数据库访问行为，但对于数据仓库、以及上报数据库、同步数据库的访问，缺乏访问审计记录。
（5） 对于数据库的运维，直接由第三方公司进行，缺乏对运维人员数据库访问行为的管理，可以直接访问到患者隐私数据。
（6） 对于与第三方进行医学研究的数据，数据的导出缺乏明确的记录，对于患者的个人标识未脱敏。
（7）对于互联网医疗等外部接口访问行为，缺乏审计记录，无法了解第三方的数据访问行为。
（8）可以通过医护人员的终端，连接数据库，存在违规访问数据的风险。

3.1 数据安全组织架构

建议成立如下较为完整的数据安全组织体系：

（1）成立数据安全领导小组

组织成员：由院长任组长，信息主管副院长、信息科科长、网信办负责人作为组员
负责：制订医院数据安全方针和政策，制定年度管理目标

（2）成立数据安全管理小组

组织成员：由网信办负责人任组长，信息科主任作为副组长、副主任为组员
负责：建立医院数据安全管理体系，通过摸底和评估，建立合规策略和规范，以及对数据使用的合规情况进行检查

（3）成立数据安全运营小组

组织成员：由信息科安全专员、数据库运维专员、业务系统管理专员、第三方数据安全服务人员
负责：建立覆盖日常数据使用场景和数据生命周期各环节，数据安全审计和管控的技术体系负责数据安全管理制度和规范的实际落地，负责在相关数据安全设备上的策略落地。

3.2 数据安全管理规范

建立如下 10 个制度、17 个规范、4 个流程：

1. 数据安全管理制度
2. 数据安全组织架构和职责
3. 数据资产管理制度
3.1 数据资产梳理规范
3.2 数据资产备案规范
3.3 数据资产备案申请表
4. 数据资产分类分级管理制度
4.1 数据资产分类分级规范
4.2 数据分类分级试试指引
5. 数据生命周期安全管理制度
5.1 数据采集资产准入规范
5.2 数据安全存储管理规范
5.3 数据安全使用管理规范
5.4 数据安全共享管理规范
5.5 数据销毁管理规范
6. 数据安全运营管理制度
6.1 数据安全评估流程
6.2 数据安全事件检测规范和流程
6.3 数据安全加固规范
7. 数据安全事件管理制度
7.1 数据安全事件分类规范
7.2 数据安全事件处置规范
7.3 数据安全应急响应规范
7.4 数据安全应急响应流程
8. 第三方人员安全管理制度
8.1 第三方人员登记备案规范
8.2 第三方人员业务流程
8.3 第三方人员权限规范及保密协议
9. 数据安全用户权限管理制度
9.1 业务系统用户角色矩阵
9.2 用户访问权限规范
10. 数据共享开放管理制度
10.1 敏感数据加密规范
10.2 敏感数据脱敏处理规范
11. 数据安全审计管理制度
11.1 数据安全合规审计管理规范
11.2 数据安全审计稽核流程

3.3 数据安全技术能力和场景落地解决方案

经过对该医院的数据资产分布和应用场景梳理，以及对应的安全问题分析和建设的安全制度规划，建议搭建一个能够覆盖数据生命周期和针对场景安全需求的数据安全技术体系，包括如下：

图 2 XX 医院数据安全技术体系建设框架

1、业务中心数据安全建设

（1） 部署数据库审计产品，实现对所有数据库访问行为的详细审计，能够保存 6 个月以上，对数据库访问的风险行为进行监测；
（2） 部署应用监测与审计产品，实现对 HIS、PACS、LIS 等业务系统的访问审计，能够保存 6 个月以上，对业务系统访问的数据泄露风险进行监测；
（3） 部署应用数据脱敏系统：实现对自助终端、叫号系统中的个人敏感数据进行去个人标识化；
（4） 部署数据资产与分类分级系统，实现对生产系统下的数据资产进行持续监测、梳理和分类分级打标处理，与业务中心的其他数据安全产品进行联动，实现对数据基于分类分级进行数据安全策略落地。

2、数据仓库数据安全建设

（1） 部署数据脱敏系统，对 RDR（科研数据仓库）、ODR（运营数据仓库）中的数据实现个人标识数据（A3 级及以上标识）脱敏和匿名化处理；
（2） 部署大数据审计产品，实现对所有大数据访问行为的详细审计，能够保存 6 个月以上，对大数据访问的风险行为进行监测；
（3） 部署应用监测与审计产品，实现对诊疗决策分析、医疗服务质量等管理分析系统的访问行为进行审计，能够保存 6 个月以上，对管理系统访问的数据泄露风险进行监测；
（4） 部署数据资产与分类分级系统，实现对数据仓库中的数据资产进行持续监测、纳管和分类分级打标处理，与数据仓库中的其他数据安全产品进行联动，实现对数据基于分类分级进行安全策略落地。

3、测试中心数据安全建设

（1） 部署数据脱敏系统：将业务中心的生产数据，经过脱敏后导入到测试系统中供测试系统进行测试；
（2） 部署数据库审计系统，实现对所有数据库访问行为的详细审计，能够保存 6 个月以上，并支持发现是否存在未脱敏的数据库和表。

4、医院前置设备区数据安全建设

（1） 部署数据库审计系统，实现对所有前置数据库访问行为的详细审计，能够保存 6 个月以上，对数据库访问的风险行为进行监测；
（2） 部署数据库防火墙系统，实现对前置数据库访问的外部数据攻击保护，防止批量数据泄露；
（3） 部署数据库加密系统，实现对前置数据库的加密，防止通过数据库存储文件拷贝等方式的拖库行为。

部署接口监测与审计系统，实现对接口的梳理，实现对接口脆弱性的发现，实现对接口访问的日志审计，能够保存 6 个月以上，实现对接口访问的数据泄露风险进行监测。

安装数据运维安全管控产品，要求所有的院方运维人员和第三方运维人员，都必须通过该产品才能登录数据库，同时实现数据库账号的安全管理，风险行为的告警与阻断，个人诊疗敏感信息的遮蔽访问。

4.1 数据安全运营平台建设

在面向数据生命周期和场景化的数据安全技术能力基础设施建设完毕后，我们需要通过构建统一的数据安全运营平台，以完成统一的数据安全日常管理、安全设施管理、安全策略落地和持续化的安全策略优化。

图 3 数据安全运营平台操作示意

4.2 数据场景化安全策略落地

数据安全运营平台建设完毕后，我们通过运营平台实现从国家与行业数据安全法规的导入解读，实现对这些法规对应的院方安全管理要求和规范的映射，实现基于分类分级管理原则，结合数据资产的应用场景的安全策略指定和下发到数据安全设备，最终实现对数据安全行为的监测和管控；同时对发现的数据安全事件进行在线处置和记录。

图 4 数据场景化安全策略落地

4.3 数据安全日常运营

数据安全的建设不是一蹴而就，需要逐步完善；数据安全的建设需要随着IT系统的建设逐步发展；数据安全的建设要随着新的数据应用技术和数据应用场景逐步发展完善。因此数据安全需要长期运营，主要包括：

• 数据资产的运营：要对不断新产生和消亡的数据资产进行纳管和销毁，要建立数据资产的分布视图和数据使用的流转视图；

• 数据安全策略运营：要对数据安全策略指定后的使用效果进行统计分析和稽核，要对数据安全策略不断进行优化；要对随着国家和行业监管要求的发展变化，不断对数据安全策略进行优化；

• 数据安全事件运营：对已发现的数据安全事件要进行处置，该上报的上报；对潜在复杂数据安全泄露事件要进行分析和发现；

• 数据安全风险运营：要对数据使用过程中，发现的数据安全风险问题进行监测和统计分析，要对数据安全风险进行处置；要根据数据安全风险发现和处置情况，对数据安全策略不断进行优化；

图 5 数据安全日常运营

根据医院的当前状况评估，数据安全整体解决方案的建设分为两期进行规划，具体如下：

5.1 第一期数据安全建设规划

第一期的目标是完成数据安全基础体系和能力的搭建，包括如下目标：

（1）完成医院的数据安全状况评估；
（2）完成数据安全组织架构建设；
（3）数据安全管理制度基本建设完毕，达到主要规范完备程度；
（4）完成数据资产梳理，完成电子病历数据分类分级打标；
（5）完成数据安全技术体系基础能力建设；
（6）实现覆盖数据生命周期和主要数据应用场景的部署；

建设周期：一年半时间。

成果：完成一期建设内容后，数据安全合规状况能够满足我国《数据安全法》、《个人信息保护法》的基本要求。

5.2 第二期数据安全建设规划

第二期是计划建成可持续运营的数据安全体系，包括如下：

（1）完成医院的第二期数据安全状况评估；
（2）对数据安全管理制度进一步完善，到达流程表单级；
（3）构建数据安全运营平台，实现全面的数据安全态势统一管理、数据安全设备策略统一下发、实现从法律到制度到产品策略的贯穿；
（4）构建数据安全运营队伍，实现数据安全自评估常态化，实现数据安全制度完善、策略优化、事件处理、风险处理的常态化运营；

建设周期：一年

成果：完成一期建设内容后，数据安全合规状况能够通过国家网信办要求的数据安全风险评估，能够符合卫健委的数据安全检查要求。

---

原文始发于微信公众号（数据保护官）：DPOHUB抄作业 | 手把手带你搭建医院数据安全整体方案