买股票怎么加杠杆佰朔资本介绍-k线图形态24种经典图解-【东方资本】,股票配资交易app,配资炒股比例国家规定是多少,配资在线平台排行榜

提交需求
*
*

*
*
*
立即提交
點擊”立即提交”,表明我理解并同意 《美創科技隱私條款》

logo

    產品與服務
    解決方案
    技術支持
    合作發展
    關于美創
    申請試用
      醫療行業:數據安全法背景下的合規實踐
      發布時間:2021-07-20 閱讀次數: 1263 次

      醫療行業是關系國計民生的重要領域,由于其特殊屬性,我國對醫療信息安全歷來重視,數據安全與個人信息保護的合規性要求也比其他行業更高。隨著《數據安全法》表決通過,并于2021年9月1日起施行,《數據安全法》背景下,醫療機構如何加強數據安全合規建設,有哪些關鍵措施?成為熱議話題。


      近日,湖南省醫學會醫學信息學專業委員會 2021 年學術年會暨湖南省醫院信息化質控中心 2021 年度培訓會召開,美創科技資深數據安全顧問王彥翔出席進行《數據安全法背景下的合規實踐》演講。




      當前,醫療行業數字化進程加速,整個行業產生的數據體量呈爆發式增長,數據流動、存儲、價值、使用方都在變化,安全問題也隨之而來,醫療數據安全建設面臨著新的挑戰,如:技術更新迭代快、熱點安全事件頻、標準制度規范多、合規處罰力度大等。




      新背景、新形式下,醫療行業如何開展數據安全合規工作,王彥翔分享了醫療行業針對《數據安全法》的快速應對措施,包括五大步驟:




      01明現狀


      在進行數據安全合規建設時,摸清數據資產情況(數據發現和分類分級),充分了解自身數據安全合規情況(合規性評估和安全風險評估)是建立健全數據安全治理體系的首要環節。


      《數據安全法》明確要求建立健全數據安全治理體系,提高數據安全保障能力,那么如何建立?如何提高?需要借助一定的方法論和模型,例如參照國家標準《信息安全技術 數據安全能力成熟度模型》(GB/T37988-2019),實現數據安全管理流程中的每個階段的可控,落實到數據全生命周期每個階段的數據安全。


      數據發現與分類分級:我國個人信息保護方面有獨立的法律,數據安全法與其有著深厚的連接關系,同時,兩者均明確安全保護過程中要建立數據分類分級的制度,落實數據分類分級,至少把個人信息、敏感數據、普通數據等區分出來,針對敏感數據的安全保護措施一定是最到位的。對此,組織、機構需要通過相應的工具去識別信息化環境中所有數據的分類分級,輸出相應的報告。美創科技在安全建設實踐中形成了一套可操作落地的方法論和配套軟件工具,從前期咨詢、項目實施和產品沉淀三步實現有效的數據分類分級,滿足數據安全治理的長遠發展需求。



      實施交付效果-數據分類分級報告



      合規性評估和安全風險評估:風險評估結合分類分級的結果,對識別出的高風險高敏感數據重點優先處置,低風險低敏感數據滯后處理,對后續安全建設有重大指導意義。數據和其他信息系統不同,雖然可借鑒信息安全的風險評估相應的標準規范,但是數據價值難以定義,數據安全風險難以評估,美創科技根據相關法規標準要求,風險分析的方法,提供專業的合規性評估和安全風險評估,并基于評估結果給出風險處置建議的服務方案。




      完成以上步驟后需要對整體合規進行梳理,組織單位自省是否符合《數據安全法》或后續其他各類法律法規,不符合即需相應整改。《數據安全法》9月1日就要開始執行,合規判斷非常關鍵。


      02訂規劃


      數據安全體系規劃是基于前面各階段的成果,量體裁衣。數據安全是全局性的,甚至可以上升到組織戰略層面,需要以業務需求為導向,采用層次化、開放式、SOA耦合架構,利用數據安全相關技術和理念定制化構建的安全體系。



      醫院數據安全Gap分析規劃與選型



      美創科技提供定制化的安全體系規劃,美創專家團隊將充分結合合規要求和風險現狀,依照前期數據安全咨詢項目的評估差距進行補足,著眼于數據全生命周期安全,針對不同的階段提供技術加固方案,充分考慮企業數據安全緊迫性,分為短期和長期建設規劃,包括數據安全防護可用的產品或技術手段、建設周期、先后順序,以及建設完成后差距評估。


      03立組織


      數據安全法對數據安全責任人提出明確要求,但目前來看,大多數醫院、組織尚未設立數據安全的團隊,或者明確數據安全的責任人,這需要盡快落地,盡快建立健全的組織架構,包括部門職責與人員角色確定及動態協同機制。


      比如:在了解部門信息,明確敏感信息組成、特征、范圍及流轉情況的基礎上,明確數據的使用部門和角色,對于部門、人員角色梳理更多在于管理規范文件中體現;對于數據資產使用角色的梳理,明確不同受眾的分工、權力和職責。


      04定制度


      《數據安全法》里明確有要求,“開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度”。當前,醫療行業網絡安全制度各組織可能已建全,但數據安全制度相比之下較為缺失。此外,《數據安全法》里提到了安全教育培訓的問題,很多安全事件都是源自員工的數據安全薄弱,導致數據丟失、數據泄露等,所以在加強數據安全意識教育也是當前醫療組織迫切需要落地的事情。



      美創數據安全意識教育培訓示例



      05建立內部標準


      數據安全法規定“相關行業組織按照章程,依法制定數據安全行為規范和團體標準,加強行業自律。”醫療行業機構在建立內部數據安全標準規范的同時,也應積極參與國家及行業的數據安全相關標準制定工作,共建共創數據安全技術與能力。




      「美創科技數據安全治理體系:縱向來看頂層是組織戰略,中間是安全管理保障,底層是數據安全資源措施。橫向來看則分成兩個環節,左側是管理和技術保障,右側是安全建設運營?!?/p>


      最后,王彥翔介紹,醫療行業始終是美創科技重點關注的行業之一,美創科技也已在醫療領域深耕十余年,基于醫療數據安全建設現狀,美創科技提供包括數據安全咨詢、數據安全治理體系建設、數據安全能力建設等完善的產品與服務。而通過以上五個階段的工作部署,醫療用戶能進一步完善數據安全保護流程,滿足《數據安全法》等法律法規的要求,為數字化轉型保駕護航。

      上一條:大咖力薦 | 美創運維團隊又一力作《DBA攻堅指南》震撼發布
      下一條:正式發布|美創科技數據質控解決方案
      免費試用
      服務熱線

      馬上咨詢

      400-811-3777

      回到頂部