在互聯網醫療健康合規發展論壇上,醫療合規科技實驗室合作伙伴計劃正式啟動,美創科技作為首批合作單位,將與各機構伙伴攜手,共同助力醫療數據安全合規體系建設。
(資料圖片)
醫療合規科技實驗室由中國社科院法學所、中國信通院、互聯網醫療健康產業聯盟、美創科技以及十余家醫療機構等單位共同建設,將在醫療健康領域網絡數據合規方面深入研究,推動相關領域的政策研究、標準制定、測試評估、法律咨詢、產業化推廣等工作,為監管支撐、行業推動、產業協作、科研創新等貢獻力量。
作為數據安全領域代表領先廠商,美創科技長期深耕醫療行業,多次牽頭參與醫療數據安全標準制定工作,以數據安全治理咨詢規劃、數據安全全棧產品、綜合數據安全運營在內的專業產品服務,助力全國3500+醫療行業用戶數據安全建設,多次被IDC、CCIA評選為優秀解決方案、優秀案例實踐和醫療數據安全代表服務商,被譽為“醫療行業數據安全第一品牌”。會議期間,美創科技醫療行業解決方案經理陽磊發表《數據安全分類分級在醫療行業落地分享》主題演講,分享美創基于數據安全分類分級的整體安全防護思路。包括:
以數據安全分類分級為基礎、識別核心數據、重要數據、一般數據,“摸清家底,識別關鍵”。同時對一般數據進行行業化、精細化分級梳理。
進行數據安全治理風險評估,充分識別數據資產在各項處理活動中存在的風險情況。
基于風險評估結果,填平補齊,完善提高,實現精細化防護、體系化管理、可持續運營。
陽磊表示,現階段數據安全分類分級是數據安全管理和防護體系建設的基礎,是數據流動過程中安全態勢保護的底層。尤其對于醫療行業而言,作為關系國計民生的重要行業,醫療健康數據和國家安全密切相關。目前,在醫療數字化持續推進下,臨床業務數據開發利用、醫療機構間數據互聯互通、臨床數據共享需求正在快速增加,考慮到醫療數據流通過程參與主體的多樣性以及應用場景的復雜性,對于醫療機構而言,如果不清楚自己的核心數據、重要數據等存儲在哪兒、哪些環節流通、哪些業務在調用、隱藏著哪些風險,極易造成核心數據、重要數據被破壞、被篡改與被泄露。
因此以數據安全分類分級為基礎,識別核心數據、重要數據資產,并針對性的設計安全管理機制,顯得尤為重要。
數據安全視角下的數據分類分級及應用
那么如何有效的開展數據安全分類分級工作,由于數據天然帶有業務屬性,所以美創科技認為做好數據安全分類分級工作,首先必須是數據安全專家其次也需要是醫療行業的業務專家。對此,美創科技提供覆蓋醫療行業業務咨詢服務團隊和成熟數據發現與分類分級工具在內的一整套可落地的分類分級路徑。包括:
1、在數據安全分類分級咨詢服務方面
美創整個咨詢服務涉及現狀調研、數據資產梳理、分類分級策略制定等,并提供《數據分類分級咨詢報告》、《數據分類分級制度》等交付物。對于醫療用戶在核心數據、重要數據識別與梳理、一般數據分類分級維度選擇、在數據安全等級定義中面臨的普遍難點,美創科技對標參考法律法規、國家行業標準,如《數據安全法》、《醫療衛生機構網絡安全管理辦法》、《國家衛生健康委規劃司衛生健康行業數據分類分級指南(征求意見稿)》、《GB/T 39725-2020 信息安全技術 健康醫療數據安全指南》及其他行業地方標準等,形成切實可行的核心數據、重要數據識別模型。
2、在數據分類分級工具建設方面
美創暗數據發現分類分級工具推出醫療行業版,內置專業醫療行業的分類分級模板(可落地參考標準),并引入自然語言處理、統計模型、特征分析、機器學習等技術,從而自動并快速識別發現數據,智能打標,完成數據分類分級。
暗數據發現與分類分級系統
同時,產品以報告的形式展示分類分級建設成果,包括敏感數據分布情況、數據分類情況、數據分級情況等,并提供數據安全分類分級結果對外輸出能力,可以接口形式與美創自有產品以及第三方平臺/安全產品進行聯動。
3、在數據安全風險評估方面
為切實提高重要數據資產安全保護的效率和效果,美創科技以《GB/T20984-2022 信息安全技術 信息安全風險評估方法》、《國家衛生健康委規劃司衛生健康行業數據分類分級指南(征求意見稿)》等標準為指導,集合數據資產識別、脆弱性識別、威脅識別、風險分析與計算、風險處置建議、報告編制六步,協助醫療用戶充分了解數據資產在各項數據處理活動中可能存在的各項風險情況,同時結合安全事件發生時所造成的影響進行分析的結果,給予相關的風險處置措施的加固。
數據安全風險評估實踐依據
4、在數據安全能力建設方面
美創科技基于數據分類分級以及安全風險評估結果制定安全策略,圍繞美創數據安全管理平臺,構建身份認證、數據脫敏、權限管理、訪問控制、勒索防護、審計溯源等數據安全保護能力,幫助實現資產全域可管、風險全域可視、策略全域聯動。