基于省医疗大数据中心数据安全保障体系研究.pdf

1、 TECHNOLOGY AND INFORMATION医药学与信息化科学与信息化2023年9月上 169基于省医疗大数据中心数据安全保障体系研究孙润康庹兵兵(通讯作者)邹骏寰华中科技大学同济医学院附属同济医院 湖北 武汉 430030摘 要 本文介绍了为加强医疗大数据中心的数据安全而打造的一套完整的数据安全保障体系。该体系以数据安全管理制度、运营管理和安全技术3个角度为核心，同时结合数据分类分级贯穿数据全生命周期，在多应用场景下实现全面的数据安全保障。该安全保障体系不仅仅适用于本地医疗大数据中心，还可以为其他省级、国家级医疗大数据中心安全建设提供参考。通过该体系的建立和实施，可以有效保护医疗大

2、数据中心的数据安全，为医疗信息化发展提供坚实的数据保障。关键词 医疗大数据；数据安全；全生命周期Research on Data Security System Based on Provincial Medical Big Data CentersSun Run-kang,Tuo Bing-bing(corresponding author),Zou Jun-huanTongji Hospital,Tongji Medical College,Huazhong University of Science and Technology,Wuhan 430030,Hubei Province,C

3、hinaAbstract This paper introduces a complete data security system to strengthen the data security of medical big data centers.The system has three core aspects:data security management system,operation management,and security technology,and combines data classification and grading to realize compre

4、hensive data security in multiple application scenarios throughout the data life cycle.This security system is not only applicable to local medical big data centers,but can also provide reference for the security construction of other provincial and national medical big data centers.By establishing

5、and implementing this system,the data security of medical big data centers can be effectively protected,providing a solid data guarantee for the development of medical informationization.Key words medical big data;data security;full life cycle引言在2015年8月19日国务院发布了关于促进大数据发展的行动纲要1后，国家开始实施国家大数据战略。此后，国家卫生

6、健康委员会于2018年发布了国家健康医疗大数据标准、安全和服务管理办法，在2020年发布了关于加强全民健康信息标准化体系建设的意见。在这样的背景下，医疗信息化开始进入到大数据平台建设的新阶段。本文旨在通过大数据技术，完善大数据信息化标准，并利用大数据技术对数据进行治理，部署大数据应用服务。同时，利用大数据和人工智能技术在医、教、研、管、患等方面进行创新探索，使医疗机构各方面能力得到全面提升，以患者为中心的服务模式得到充分体现，这将推动解决老百姓“看病难、看病贵”等社会问题，实现“健康中国2030”规划纲要的宏伟目标。本文从数据分级分类、全生命周期数据、数据安全运营管理和数据安全运营等角度出发，

7、结合多应用场景，构建了一套省医疗健康大数据中心多应用场景下的数据安全保障体系，为其他省级、国家级医疗大数据中心安全建设提供参考。1 数据安全保障体系架构设计数据安全不仅关系到医疗机构的核心利益和患者安全，也关系到医疗卫生事业的发展和进步。数据分类分级可以优化数据共享使用，促进数据治理，有效平衡多场景数据开放共享使用和安全防护，针对多元化的数据需求，细化数据安全，将数据安全具体措施落到实处，为医疗行业大数据安全提供坚实支撑2。在互联网和移动互联网时代，数据安全已经成为一个全球性的挑战，需要全球范围内的合作和努力来保障。本文打造了一套以数据安全管理制度、运营管理和安全技术三个角度为核心，结合数据分

8、类分级贯穿数据全生命周期的多应用场景下的数据安全保障体系，如图1所示。科学与信息化23年9月上内文0907.indd 1692023/9/8 17:34:09 TECHNOLOGY AND INFORMATION医药学与信息化170 科学与信息化2023年9月上图1 数据安全保障体系架构图2 数据安全保障体系具体实现2.1 数据分类分级既要维护数据安全，又要推动数据开发利用。数据分类要保证每一类下面都有资料，不要设置无谓的类目，要保证每一类下面都有数据，不要设置无谓的类目。数据分类要与大家普遍理解的数据分类相一致。数据分级要确保分级结果能够为数据保护提供有效信息，应提出分级安全要求。数据交换共

9、享安全策略，确保每个租户的数据资源安全可控。数据分类情况记录于数据目录，与数据描述联系在一起，数据分类的原则是依据数据的价值、敏感性和影响给予数据适宜的安全等级3-4。2.1.1 数据分级。本文通过参照已有数据分类分级标准规范，按照数据被泄露或被非法处理后的敏感程度、重要程度和危害国家安全、公共秩序、公共利益的不同程度，对党政机关和事业单位、法人或其他民间组织和个人的合法权益进行分级。分为一级数据、二级数据、三级数据和四级数据。等级不一样，保密要求也是千差万别。对于包含多个数据层级的混合数据集合，应设定数据集中层级最高的字段对应的层级为本数据集的层级。通过参照已有资料分类分级标准规范，按照资料

10、敏感程度、重要程度和泄密或被违法处理后的不同程度，对国家安全、公共秩序、公共利益、党政机关和事业单位、法人或其他民间组织和个人的合法权益等进行分级，分为级数据、级数据、级数据和级数据。从影响层面考虑，针对数据量大、涉及面广的个人隐私数据、企业或政府机构数据，可适当升级。从时效性考虑，可根据不同数据的应用场景，设定数据的时效性，对超出一定时限的历史数据自动降级，实时性高的数据也可以根据需要进行升级处理。从颗粒度（精细度）考虑，颗粒度小或精细程度高的数据可升级处理。2.1.2 数据分类。从数据的业务领域将数据分为健康类、资源类、环境类、交换类、影像类5个类型。健康类：包括居民从生到死整个生命周期所

11、有的关于医疗健康保健的信息和资料，包括基础信息类、医疗服务类、公共卫生类、计划生育类、中医药类和健康其他类等。资源类：主要包括全省各类资源的信息，为全省的各项资源类相关业务应用、宏观决策和科学管理提供数据支撑，如卫生资源类、综合资源类、资源其他类等。环境类：主要是全省环境类的信息数据，实现全省环境类数据的动态管理，为全省的水资源、大气资源、环境等与健康相关的环境信息监测预警提供数据支撑，包括水资源类、大气资源类、自然资源类、城市卫生类和环境其他类等。交换类：主要是全省各相关部门共享的相关数据，实现全省交换类数据的实时动态管理，支撑全省相关部门信息的实时共享，为省应急事件指挥管理服务。影像类：主

12、要是患者的医疗影像、报告等结果类数据，包科学与信息化23年9月上内文0907.indd 1702023/9/8 17:34:09 TECHNOLOGY AND INFORMATION医药学与信息化科学与信息化2023年9月上 171括影像数据类和报告数据类等。2.2 数据全生命周期管理数据全生命周期管理指的是对数据从产生到销毁的整个过程进行管理和控制，包括数据的采集、传输、存储、使用、共享、销毁等各个环节。数据信息采集：数据采集是信息全生命周期管理中必不可少的环节。现阶段，要确保数据准确完整，需要建立完善的数据采集机制。数据传输与存储：数据需要在安全可靠的环境中传输与存储，并定期进行备份和恢复

13、，以保障数据的安全性和可用性。数据的使用：在数据分析和共享环节中，需要对数据进行分析和加工处理，以便更好地满足业务需求。在数据共享方面，需要遵循相关法律法规和安全规范，确保数据的隐私和安全。在数据销毁方面，需要采取安全可靠的方式对数据进行销毁，以避免数据泄露。总之，数据全生命周期管理是一种全面的数据管理模式，它能够保证数据从产生到销毁的全过程都得到有效的管理和控制，提高数据的使用效率和使用价值，同时也保证了数据的安全可靠。2.3 数据安全管理制度科学、完整的数据安全管理制度可以激发数据安全的可行性，提高数据主体的积极性和创造性，强化数据的应用安全系数。整个数据安全制度需要遵循PDCA闭环管理，

14、通过成立安全专家委员会，由专人负责按照一定的规则对制度进行统一的审核、修订、更新和定期发布，通过指定或授权专门的部门或人员负责安全管理制度的制定；通过正式、有效的方式发布，并进行版本控制；定期对安全管理制度的合理性和适用性进行论证和审定，对存在不足或需要改进的安全管理制度进行修订5。2.4 数据安全运营在信息系统事件的处理中，一个组织良好、职责明确、科学管理的应急队伍是成功的关键。结合医疗大数据平台的实际情况，将有关角色和职责进行了明确的划分。2.4.1 应急处理领导小组：应急处理工作小组的主要职责是组织应急处理工作，并制定应急预案。在突发事件发生后，应急处理工作小组需要迅速成立，并根据应急预

15、案进行统一领导和组织。2.4.2 应急处理工作小组：信息收集：应急处理工作小组需要负责收集、整理和分析有关突发事件的信息，及时了解事件的性质、情况和影响，为应急处理工作提供科学依据。协调指挥：应急处理工作小组需要协调和指挥各相关单位和人员，组织应急救援、疏散、安置、抢险等工作，保证应急处理工作的有序进行。情况报告：应急处理工作小组需要及时向上级领导、相关部门和社会公众报告突发事件的情况和处理进展，提高信息透明度和公开度。评估总结：应急处理工作小组需要对处理工作进行评估和总结，总结经验和教训，完善应急预案和应急处理机制，提高应急处置能力。2.4.3 外部支持人员：包括卫健委信息中心、设备供应商。

16、负责事先向卫健委信息管理部信息中心提供紧急情况下的应急技术方案和应急技术支援体系；积极配合信息中心应急人员进行故障处理。3 结束语数据安全与数据利用应建立在数据安全管理制度和数据开放利用的规则之上6，充分利用和发挥好各种关键技术的作用，管理和技术双管齐下，在安全的同时让数据价值最大化。针对大数据中心的具体情况，后续会进一步以数据安全防护为中心，在组织建设、制度流程、技术工具及人员能力四个层面同时开展数据安全建设工作，按照“知”、“识”、“控”、“察”、“行”5个步骤实现能力落地，从而确立数据安全管理制度，提升数据安全治理与开发利用的技术水平。参考文献1 国务院.关于印发促进大数据发展行动纲要的

17、通知EB/OL.2021-08-31.http:/ 郑攀,陈臣,马扬,等.医疗卫生机构数据安全管理建设J.中国数字医学,2023,18(1):7-11.3 张敏,魏伟,谭天怡,何轶.数据分类分级及其发展路径研究J.网络安全与数据治理,2022,41(7):18-22,29.4 高磊,赵章界,林野丽,翟志佳.基于数据安全法的数据分类分级方法研究J.信息安全研究,2021,7(10):933-940.5 李静,张世红,王岳.区域健康医疗大数据中心数据安全管理机制研究J.中国数字医学,2020,15(12):1-4.6 王月兵,覃锦端,刘隽良等.医疗行业数据安全治理框架研究:2022年西湖论剑网络安全大会论文集C.杭州:信息安全硏究编辑部,2022.科学与信息化23年9月上内文0907.indd 1712023/9/8 17:34:09