1.评估对象概述

描述评估对象是建立风险评估活动的第一步，风险评估团队必须了解被评估机构的基本情况，包括：组织名称、业务特征、覆盖区域、关联机构等相关信息。该类信息通常是在进入组织前通过互联网搜索、基础访谈获取信息。通过上述信息大致勾勒出被评估单位的物理边界范围以及可能产生的数据流通环境。

1.1评估对象规模

示例：我们通过一家名为GZFH官网获取某医院的开放详细介绍，针对该医院信息进行评估对象分析。

通过上述材料我们可以针对该院基本信息进行归类分析可知：

1.该院属于三甲医院，（1）涉及本部、NS医院和HD分院三个院区和医院医学研究与创新转化中心科研平台四家实体机构。（2）HD分院是GZFH的首家直属分院，……，同时与总院共享CT、MR等大型医疗设备；全院实行电脑网络化管理，并利用光纤与总院联网，可实现各项诊疗数据共享和远程会诊。从内部数据流动而言，如下图所示：

图1 基础业务物理边界探索图

通过上图我们可以构建该院针对数据的基本保护原则和愿景

（1）本院、GZFNS、HD分院属于传统医疗行业领域，关注医患信息保护；

（2）医院医学研究与创新转化中心承担数据流通与共享，数据应为已经被加工过的医院研究数据，重点强调知识产权与商业秘密保护；但如果涉及基因数据，则该机构数据有可能会被纳入重要数据保护范围；

（3）由于HD分院与本本院产生直接业务交互，在确认评估边界时，应分析数据共享风险和双方身份管理及授权访问问题；

（4）GZFHNS医院属于独立医院，应进一步了解该院与本院是否存在直接或间接的数据传输和数据共享问题，如果有，进一步了解实现数据传输和共享的方式以及身份管理主体机构；

2.“2023年全院总诊疗人次262.6万人次”，由于医疗健康数据属于敏感数据，根据《网络数据安全管理条例》规定网络数据处理者处理1000万人以上个人信息的，应当遵守《条例》第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。100万人以上敏感个人信息：在某些特定领域，如金融、医疗等，处理100万人以上敏感个人信息的，也需按照重要数据处理者的标准进行管理和保护。因此，该院患者信息符合重要数据风险评估要求；因此，该院应每年至少实施一次数据安全风险评估以及针对重要数据进行编目。风险评估报告需向当地网信部门上报。

3.该院涉及专业学科73个（其中临床专业学科56个，医技专业学科17个），从专业学科领域而言，除传统的五大业务系统（HIS、LIS、PACS、计费、CDR）之外，业务逻辑应不少于73套。应根据该院业务重点定义评估边界。针对17各医技专业领域，应考虑OT数据与IT数据的定义问题。

1.2评估对象业务概述

由于医院业务系统繁杂，建议针对医疗行业数据安全风险评估重点关注涉及医患信息的业务系统，比如：我们通常所说的HIS、LIS、PACS等，针对各子业务系统，比如：移动护理系统、医技预约、手术室麻醉临床信息系统等业务系统中所包含的数据进行风险识别和评估。

通过与医院信息科进行业务访谈或医院已有的综合业务管理平台，收集目前被评估机构的业务系统列表，并如表一所示进行记录。

表一 医院业务系统清单表

（涉及医患信息业务系统登记表）

注：由于本阶段作为项目前期调研访谈内容，本阶段暂不用对相关信息进行详细识别和分析。具体应由被评估组织确定业务优先级以及数据安全评估目的进行确认后，根据已确认的业务系统开展具体的识别和评估。

1.3评估对象数据流通概述

通常医院内数据流通主要包括：院内/院端流通、合作方流通以及行业主管单位流通三种情况。但不同医院受到业务影响，其数据流通可能存在多元化或异构化的可能。例如：部分对外开放的部队医院针对社会诊疗人员和部队诊疗人员采用两套HIS或者多套HIS开展诊疗活动时，其数据流通轨迹会产生不同；部分地区医院间在采用医联体、医共体时，数据在多家医院间会发生流通活动；区域医疗使用云HIS时，由于受到云服务商的影响，院端HIS仅作为容灾，而医疗健康数据均有部署在云端的云HIS实施数据处理，导致数据在云端产生不明确的流通活动。

1.3.1院内/院端流通

院内/院端数据流通主要包括：

1.医院内部业务系统之间数据交互活动；

2.本院与各个分院之间所形成的数据交互活动；

3.远程医疗产生的数据流通

4.跨诊疗机构产生的数据流通（如医院与疗养院产生的数据流通）

由于院内/院端数据流通可以通过可信通道建立数据传输，比如：VPN或者专线，因此，在本类数据流通中应重点关注各业务系统在建立数据流通活动中是否存在通过不可信连接，比如：公共互联网通道，进行通信的活动，如果存在，应针对业务系统的互联网传输建立报文分析，识别是否存在未知或异常的TCP会话连接。

表二 院内/院端数据流通清单

2.3.2 合作方流通

合作方数据流通是目前医疗机构数据流通最为复杂的一类，合作方主要包括：

1.医共体、医联体各个医疗机构之间的数据流通；

2.部署在公有云平台业务产生的云服务商的数据流通；

3.公众号、小程序运行过程中与平台服务商产生的数据流通

4.与第三方应用程序产生的数据流通（如：第三方预约挂号平台）

5.与商业保险公司产生的数据流通

6.与大数据公司建立的数据分析合作

7.软件开发商和医技设备提供商产生的远程维护过程中的数据流动

8.与私营医院之间所产生的数据流通

9.其他医院商业活动中产生的数据流通

由于目前针对医疗行业合作方数据流通没有形成统一标准和要求，使得数据在与合作方建立流通过程中，会产生大量的医疗健康数据未经授权、超量、超出其用途等风险行为，一旦数据被恶意利用极易发生法律问题，甚至可能涉及刑事责任。

评估实施时，应针对具体业务的数据合作关系进行梳理和识别，并依据《网络数据安全管理条例》要求，针对数据合作方进行评估。并在以合同的形式明确约定对数据的获取途径、数量、模式、用途等进行书面约定。对可接触数据的相关人员应签署保密协议。

表三 数据合作方记录表

2.3.3 政府行政单位流通

医疗机构受监管要求及业务属性要求，通过政务网、专网与政府行政单位存在大量的数据交互活动，由于该类数据流通具有很强的专用性，通常具备统一的接口规范和要求，同时对数据的获取包括主动上报、定西传输、上级抓取都多种方式，但每个单位建立数据流通的途径相对比较固定和单一。政府行政单位数据流通主要包括：

1.与卫健部门、医保局建立的行业主管数据上报

2.与疾控中心的数据单向上传

3.计费系统与医保局的交互通信

4.计费与税务系统的交互

5.与大数据/政数局的数据交互

本类流通通常都具有良好的数据接口与标准规范，且数据在建立流通中可以明确约定业务类型，甚至使用专有设备进行报送，故从数据风险而言更多的在院端能够确保数据质量和数据完整性；但该类数据由于使用全量明文方式进行传输，应针对终端缓存数据进行及时处置，避免终端被入侵后可能产生数据泄露或端点被恶意使用等问题。

表四 政府行政单位数据流通记录表

原文始发于微信公众号（老烦的草根安全观）：医疗行业数据安全风险评估实践指南（二）