胡律师:13306647218

如何医保数据安全【医院如何加强医疗网络安全和数据保护】

时间:2021-06-29 09:03:03

作者:王朝东

一文看懂医院如何加强医疗网络安全和数据保护

2021年4月6日,国家医疗保险局发布《国家医疗保障局关于印发加强网络安全和数据保护工作指导意见的通知》(以下简称《通知》),明确表示到2022年,基础强、技术优、制度全、责任明、管理严医疗安全网络安全和数据安全保护的体系和机制将基本完成。到“十四五”期末,医疗保障体系的网络安全和数据安全保障体系更加完善,智慧医疗保险和安全医疗保险建设迈上新台阶。

文件要点

《通知》 强化个人隐私保护,全面推进网络安全等级保护

《通知》表示网络安全等级保护将全面提升。认真落实重点信息基础设施重点保护要求,加强重点信息基础设施网络安全监测预警系统建设,提升重点信息基础设施应急响应和恢复能力。加强内外网安全隔离,禁止医保专网接入互联网。

根据法律法规,对数据的生成、传输、存储、使用、共享和销毁实施全生命周期安全管理,提高数据安全保护能力和个人隐私保护。加强对个人隐私的保护,采取适当的安全控制措施,确保数据生成、收集和收集的合规性和安全性。

个人信息的收集应当坚持法定授权原则,法定授权以外的个人信息的收集必须首先征得自然人或者其监护人的同意。处理个人信息应遵循合法、正当、必要的原则,不应过度使用。

《通知》 明确了网络安全和数据保护未来5-10年发展方向

大数据技术在医疗行业的应用,医疗信息系统和数据在临床诊断和公共卫生决策中的应用,以及医院和第三方应用之间的数据交换和使用,都会导致数据安全问题。随着智能医疗和互联网医疗的发展,系统逐渐从住院服务走向个人终端和互联网,容易受到敲诈勒索、病毒挖掘和漏洞攻击、APT攻击、隐蔽渗透、钓鱼等攻击。

医疗保险网络安全与数据保护《通知》的颁布,明确了未来5-10年的发展方向。为了进一步明确和加强网络安全和数据安全保护体系的健全和实施方向。为稳步推进数据资源的开发利用,充分发挥数据生产要素的作用,更好地为医疗保险政策制定和医疗保险精细化管理服务提供技术准备。

一文看懂医院如何加强医疗网络安全和数据保护

热点解读

热议一:“信息泄露500M以上即可判罚”,第一负责人不堪重负?

网络安全主要负责人:各级医保部门主要负责人为第一责任人。医保数据的网络安全非同一般,关系到国计民生。然而,随着互联网和信息技术的发展,为了提升人们的医疗体验,医疗保险跨省结算、边看病边支付、在线支付、刷脸支付等新型网络支付方式的积极发展,迫使当地医疗保险数据被开放,与各种电子支付平台对接,并实时反馈给医院和患者客户端。去年的《个人信息保护法(草案)》提到,如果信息泄露超过5亿,就要进行处罚。各级医保部门的一把手都被推到了风口浪尖。

对策

为其匹配网络安全负责人

解决这一矛盾的办法是建立各级网络安全团队,为主要领导配备网络安全领导,同时全面梳理网络、系统和关键设备,加强网络安全和数据保护系统的顶层设计,减少子系统建设,减少补丁和接口,梳理数据逻辑,实现“安全分区、网络专用、横向隔离、纵向认证”。

建议

做好三举措,稳健保障网络安全

(1)梳理网络结构:进一步细分医疗保障系统的网络资产;

(2)网络结构安全:细分网络安全需求、架构安全需求、纵深防御、网络边界划分、系统容错、li

(3)网络设备安全:网络设备安全保护要求,a)应采取访问控制、安全审计、边界完整性检查、入侵防御、恶意代码防范等措施保护网络边界;b)对网络监控日志进行管理,定期审核分析,及时处理安全隐患或问题;c)应对网络设备登录失败采取措施,如:结束会话,限制登录失败次数,网络登录连接超时自动退出;d)网络设备远程管理应采取必要的安全措施,防止认证信息在传输过程中被窃取;e)弱密码和调试账号不能在网络设备上使用;f)对网络设备日志进行管理、定期审核和分析,及时发现和处理安全隐患或问题。

热议二:医保在专网运营,信息泄露风险如何应对?

各地医保都是在专网上运营,强调网络安全和数据保护的目的和意义:一是关系国计民生,如何加强安全和保护怎么强调都不为过。但是医保数据都在专网上,比较安全,有保障。

从《通知》开始,进一步加强安全是为有条件开放和数据使用做准备。提到医疗保险数据严禁上互联网,是为了稳步推进数据资源的开发利用,发挥数据生产要素的作用,更好地服务于医疗保险政策的制定和医疗保险的精细化管理。

AI算法和机器学习的引入,需要大量的实际数据来“馈入”算法。但无论从国计民生、人民安全、法律机制、技术能力等方面,都不准备张开双臂迎接各行各业的AI英雄。

金融行业对AI算法进行了深度创新,商业保险行业也跃跃欲试。作为历史最长、数据最全、建立病人档案最早的单位,有大量高质量的真实数据。但是,当安全保护和数据脱敏没有完成时,任何情况的使用都可能带来信息泄露的风险。

对策

健全数据安全风险评估机制

促进数据的安全共享和使用,同时强调和保障数据交换、共享和公开披露的安全。在保证数据安全的前提下,稳步推进数据资源开发利用,发挥数据生产要素作用,按照法律法规保障数据有序共享。建立和完善数据安全风险评估机制。

建议

对数据采集进行监控与设计,若有异常,及时告警

在《意见》中,数据采集安全应遵循“合法、权责一致、目的明确、最小充分”的原则。根据数据采集要求,数据采集人员应与数据所有者明确采集目的、方法、数量、目的、来源、接收方、范围、频率和周期,并建立数据采集规则,确保采集数据的安全性和可用性。在采集数据时,应标注数据等级(即数据是否分类分级,采集时是否应标注)。数据采集前,应对数据采集涉及的软硬件工具、设备、系统、平台、接口和采集技术采取必要的测试、认证和认证等措施,确保数据采集的合规性和一致性。对数据采集行为进行监控和审核,发现异常行为及时报警。

结论

四方面防范“数据风险”

1.数据交换、共享和公开披露前应对数据进行安全评估,并根据评估结果采取相应的保护措施,确保数据交换、共享和公开披露的安全。

2.应建立数据交换和共享的安全监控措施,对数据交换和共享以及数据交换和共享行为进行监控,确保数据交换和共享使用合理规范,不超出授权范围。

3.应采用数据标签和水印等可追溯技术来跟踪数据在流经节点和共享过程中的篡改、泄漏和滥用。

4.Appropr