保障医疗行业数据安全的几点建议

■ 赛迪智库

当前，在如火如荼的医疗大数据发展背景下，医疗数据安全、个人隐私保护甚至国家安全的问题日益凸显。如何在大数据时代，为医疗行业信息安全保驾护航，将成为一个国家乃至每一个医疗行业信息安全保卫战士需要坚守的重要任务。

3月3日，全国政协十三届二次会议在京开幕。有全国政协委员在提案中建议我国应进一步完善电子病历管理制度。当前，虽然国内正在推进电子病历等医疗大数据的科研和应用，但是仍存在数据割裂、电子病历质量、数据使用的安全规范和法律保障不够、数据泄露等问题。因此，有委员建议应由国家卫健委牵头，在电子病历数据的管理、科研及使用方面统筹规划，加快相关智能应用的探索，助力形成优质高效的医疗卫生服务体系。

医疗大数据具有规模大、增长快、结构多样和价值密度多维、可信度高等特点，包含大量公民隐私信息，特别是健康隐私数据，具有很大的价值。如果不加以严格保护，将对公民的人身和财产安全造成严重损害。为此，提出以下建议。

1.完善医疗行业信息安全顶层设计

建立健全医疗行业数据安全相关政策、法规、标准和规范建设，建立符合医疗行业特色的信息安全体系架构，制定具备行业特性的安全要求，针对网络及信息系统的设计、实施、运维等方面提出信息安全指导性意见，为医疗行业单位间在信息安全方面提供平行沟通交流渠道，通过对比及时发现自身问题。

2.建立医疗行业信息安全管理体系

推进医疗行业网络可信体系建设，强化健康医疗数字身份管理，建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统，积极推进电子签名应用，逐步建立服务管理留痕可溯、诊疗数据安全运行、多方协作参与的健康医疗管理新模式。督促医疗行业各机构设置专门的网络管理机构和岗位，明确网络安全的关键岗位、职责分配等内容。

3.加强行业信息安全人才队伍建设

通过资质认证、教育培训等方式提升医疗行业从业人员的技能，权利培养行业安全专家。建立行业网络安全专控队伍，定期或不定期开展行业重要信息系统的安全测评和风险评估工作。

4.设立医疗行业网络安全审查机制

建立医疗设备及商业化软件的安全审查和安全检测环节，制定设备远程运维过程监管制度。针对信息的传输和存储部署行而有效网络隔离措施，对系统不同的接入用户在权限上进行严格的分级分类，改进安全感知、安全处置和安全审计等方面的数据防护能力，加强对第三方安全运维单位的监管。