為全面深化醫(yī)藥衛(wèi)生體制改革,推動(dòng)醫(yī)療保障體系建設(shè)和社會(huì)保障事業(yè)的發(fā)展,國(guó)家醫(yī)療保障局于2018年5月正式掛牌成立,主要負(fù)責(zé)健康醫(yī)療大數(shù)據(jù)的管理、分析和利用,指導(dǎo)和監(jiān)管城鄉(xiāng)居民基本醫(yī)療保險(xiǎn)、職工基本醫(yī)療保險(xiǎn)、大病保險(xiǎn)和商業(yè)醫(yī)療保險(xiǎn)等各類醫(yī)療保障制度的實(shí)施。
醫(yī)保信息化的不斷推進(jìn),個(gè)人醫(yī)療信息、醫(yī)保支付數(shù)據(jù)、藥店銷售數(shù)據(jù)等醫(yī)保行業(yè)數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長(zhǎng)。這些數(shù)據(jù)的安全性和可靠性直接關(guān)系到醫(yī)保系統(tǒng)的正常運(yùn)行,如何防范化解醫(yī)療保障系統(tǒng)數(shù)據(jù)安全風(fēng)險(xiǎn),促進(jìn)數(shù)據(jù)合理安全開發(fā)利用,保障醫(yī)保體系的數(shù)據(jù)安全成為了亟待解決的問(wèn)題。
2021年國(guó)家醫(yī)療保障局發(fā)布《關(guān)于印發(fā)加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見》,明確了“七大”加強(qiáng)數(shù)據(jù)安全保護(hù)的方向
昂楷對(duì)醫(yī)保體系的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行了梳理,發(fā)現(xiàn)了當(dāng)前醫(yī)療保障體系存在的部分風(fēng)險(xiǎn):
●數(shù)據(jù)泄露和隱私侵犯
醫(yī)保體系存儲(chǔ)著大量的個(gè)人健康信息和醫(yī)療支付數(shù)據(jù)。如果這些數(shù)據(jù)被黑客獲取或泄露,將導(dǎo)致個(gè)人隱私侵犯和信任危機(jī)。
●內(nèi)部威脅
醫(yī)保體系員工可能濫用其訪問(wèn)權(quán)限,竊取敏感數(shù)據(jù)或故意破壞系統(tǒng),需要實(shí)施訪問(wèn)控制和監(jiān)控機(jī)制,以防止內(nèi)部威脅。
●非法訪問(wèn)和入侵
黑客可能試圖入侵醫(yī)保體系的網(wǎng)絡(luò)系統(tǒng),以獲取敏感數(shù)據(jù)或干擾系統(tǒng)的正常運(yùn)行。
●第三方合作伙伴風(fēng)險(xiǎn)
醫(yī)保系統(tǒng)可能與其他機(jī)構(gòu)或供應(yīng)商共享數(shù)據(jù)或合作,這些合作伙伴可能存在數(shù)據(jù)安全風(fēng)險(xiǎn),需要確保他們有適當(dāng)?shù)陌踩胧┖秃弦?guī)性控制。
●技術(shù)漏洞風(fēng)險(xiǎn)
醫(yī)保體系的數(shù)據(jù)系統(tǒng)可能存在安全漏洞的軟件和硬件設(shè)備。黑客可以利用這些漏洞入侵系統(tǒng)或獲取敏感數(shù)據(jù),需要進(jìn)行定期的漏洞掃描,以確保系統(tǒng)的安全性。
●社交工程和釣魚攻擊
黑客可能通過(guò)社交工程手段,誘騙員工提供敏感信息或訪問(wèn)系統(tǒng),需要加強(qiáng)員工的安全意識(shí)培訓(xùn),教育他們識(shí)別和防范釣魚攻擊。
●合規(guī)性要求
醫(yī)保體系需要遵守相關(guān)的數(shù)據(jù)保護(hù)法規(guī)和隱私法規(guī),如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等,需要建立合規(guī)性框架和流程,以確保數(shù)據(jù)的合規(guī)性和安全性。
基于以上風(fēng)險(xiǎn)評(píng)估,結(jié)合國(guó)家醫(yī)保局的指導(dǎo)意見和地方醫(yī)保局的實(shí)際情況,昂楷從先進(jìn)性、可執(zhí)行性、完整性和效益方面考慮,遵循統(tǒng)籌規(guī)劃與局部發(fā)力并重原則、管理與技術(shù)并重原則、預(yù)防與處置并重原則、防護(hù)與應(yīng)用并重原則為醫(yī)療保障體系設(shè)計(jì)了可落地的數(shù)據(jù)安全防護(hù)方案。
01醫(yī)保體系數(shù)據(jù)安全解決方案
醫(yī)療保障體系數(shù)據(jù)安全保護(hù)工作的落地執(zhí)行需要內(nèi)外部多方面的支撐與協(xié)作,具體來(lái)講就是組織體系、管理體系、技術(shù)體系和運(yùn)營(yíng)體系四大部分的統(tǒng)籌建設(shè)。
梳理醫(yī)療保障體系現(xiàn)有數(shù)據(jù)安全管理團(tuán)隊(duì)情況,為其在數(shù)據(jù)安全管理方面搭建數(shù)據(jù)安全防護(hù)管理的組織架構(gòu),依據(jù)醫(yī)療保障體系數(shù)據(jù)安全防護(hù)要求和目標(biāo),對(duì)組織架構(gòu)中各崗位劃分?jǐn)?shù)據(jù)安全責(zé)任,落實(shí)數(shù)據(jù)安全管理職責(zé)。
采用分層設(shè)計(jì),頂層文件規(guī)劃數(shù)據(jù)安全管理工作的頂層方針、策略、基本原則和總的管理要求;第二層文件明確數(shù)據(jù)安全通用和各生命周期階段中某個(gè)安全域或多個(gè)安全域的規(guī)章制度要求;第三層對(duì)醫(yī)保體系數(shù)據(jù)各生命周期及具體某個(gè)安全域的操作流程、規(guī)范,及相應(yīng)的作業(yè)指導(dǎo)書或指南制定配套的模板文件;第四層為執(zhí)行數(shù)據(jù)安全管理制度產(chǎn)生的相應(yīng)計(jì)劃、表格、報(bào)告、各種運(yùn)行/檢查記錄、日志文件等。層與層之間,同一層不同模塊之間相互邏輯關(guān)聯(lián)。
圍繞數(shù)據(jù)的生命周期進(jìn)行監(jiān)控與防御,及時(shí)發(fā)現(xiàn)數(shù)據(jù)及數(shù)據(jù)平臺(tái)的異常,從防范、控制、追溯等不同階段、不同維度進(jìn)行安全保障。2022年已建成了全國(guó)統(tǒng)一的醫(yī)保信息平臺(tái),總體應(yīng)用架構(gòu)采用中臺(tái)設(shè)計(jì)模式,根據(jù)承載業(yè)務(wù)對(duì)象不同,將中臺(tái)劃分為核心業(yè)務(wù)區(qū)中臺(tái)和公共服務(wù)區(qū)中臺(tái),不同服務(wù)區(qū)的中臺(tái)又由不同的網(wǎng)絡(luò)承載。
核心業(yè)務(wù)區(qū)由醫(yī)療保障核心業(yè)務(wù)網(wǎng)、政府專網(wǎng)承載,提供醫(yī)保系統(tǒng)內(nèi)縱向的業(yè)務(wù)互通和與關(guān)聯(lián)單位的橫向業(yè)務(wù)互通;公共服務(wù)區(qū)主要通過(guò)互聯(lián)網(wǎng)為公眾提供服務(wù),兩者的數(shù)據(jù)互通范圍廣、數(shù)據(jù)流通頻繁。分別在兩個(gè)中臺(tái)區(qū)部署數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全綜合治理平臺(tái)、數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)、數(shù)據(jù)庫(kù)防火墻系統(tǒng)、數(shù)據(jù)庫(kù)狀態(tài)監(jiān)控系統(tǒng)、數(shù)據(jù)庫(kù)漏洞掃描系統(tǒng)、數(shù)據(jù)脫敏系統(tǒng)、數(shù)據(jù)庫(kù)加密系統(tǒng)等產(chǎn)品,再由數(shù)據(jù)安全綜合治理平臺(tái)將各產(chǎn)品形成協(xié)同的防護(hù)組合,利用大數(shù)據(jù)、人工智能技術(shù),打破數(shù)據(jù)安全技術(shù)孤島,達(dá)成數(shù)據(jù)安全態(tài)勢(shì)感知、合成作戰(zhàn)、聯(lián)防聯(lián)控效果,可以有效降低數(shù)據(jù)安全治理成本,提升運(yùn)營(yíng)效率,從全局掌握數(shù)據(jù)動(dòng)態(tài),進(jìn)行全生命周期、全數(shù)據(jù)形態(tài)、全流通環(huán)節(jié)的數(shù)據(jù)安全防護(hù)。
4、運(yùn)營(yíng)體系建設(shè)方面從業(yè)務(wù)、合規(guī)等需求中提煉出相應(yīng)的運(yùn)營(yíng)指標(biāo);通過(guò)持續(xù)監(jiān)測(cè)、風(fēng)險(xiǎn)識(shí)別、安全防護(hù)、應(yīng)急響應(yīng)等手段落實(shí)到日常運(yùn)營(yíng)工作中;通過(guò)風(fēng)險(xiǎn)評(píng)估、定期審計(jì)、意識(shí)培訓(xùn)等考核監(jiān)督手段,不斷總結(jié)、完善、優(yōu)化運(yùn)營(yíng)指標(biāo)和日常運(yùn)營(yíng)動(dòng)作,實(shí)現(xiàn)“事前、事中、事后”的全過(guò)程覆蓋。從以事后處置為核心,轉(zhuǎn)向以事前預(yù)防為核心,支撐識(shí)別、預(yù)防、發(fā)現(xiàn)、響應(yīng)等,變被動(dòng)為主動(dòng),直至自適應(yīng)的數(shù)據(jù)安全能力。
通過(guò)加強(qiáng)數(shù)據(jù)加密與隱私保護(hù)、安全審計(jì)與監(jiān)控、訪問(wèn)控制與權(quán)限管理等措施,可以有效應(yīng)對(duì)醫(yī)保行業(yè)數(shù)據(jù)安全的痛點(diǎn),提升醫(yī)保體系數(shù)據(jù)的安全性和可靠性,為醫(yī)保體系的數(shù)據(jù)安全治理保駕護(hù)航,保障醫(yī)保制度的公平性和可持續(xù)發(fā)展。
提升醫(yī)保數(shù)據(jù)的安全性:通過(guò)醫(yī)保數(shù)據(jù)安全解決方案,可以有效防止數(shù)據(jù)泄露、篡改、濫用等風(fēng)險(xiǎn),提升醫(yī)保數(shù)據(jù)的安全性和可靠性。
保障醫(yī)保制度的公平性和可持續(xù)發(fā)展:通過(guò)對(duì)醫(yī)保支付數(shù)據(jù)的安全管理,可以防止醫(yī)保基金的浪費(fèi)和濫用,維護(hù)醫(yī)保制度的公平性和可持續(xù)發(fā)展。
提升醫(yī)保行業(yè)的公信力:通過(guò)加強(qiáng)數(shù)據(jù)安全管理,可以提升醫(yī)保行業(yè)的公信力,增強(qiáng)公眾對(duì)醫(yī)保制度的信任。
保護(hù)個(gè)人隱私和財(cái)產(chǎn)安全:通過(guò)數(shù)據(jù)加密和隱私保護(hù)措施,可以有效保護(hù)個(gè)人醫(yī)療數(shù)據(jù)和財(cái)產(chǎn)安全,維護(hù)個(gè)人隱私權(quán)益。
醫(yī)療無(wú)小事,作為關(guān)系國(guó)計(jì)民生的重要領(lǐng)域,醫(yī)療數(shù)據(jù)關(guān)系到千千萬(wàn)萬(wàn)患者的隱私和健康安全。統(tǒng)籌網(wǎng)絡(luò)安全保障和數(shù)據(jù)安全保護(hù),夯實(shí)醫(yī)療保障信息化發(fā)展的安全底線,推動(dòng)醫(yī)保大數(shù)據(jù)建設(shè)需要醫(yī)療保障體系與各大數(shù)據(jù)安全廠商共同發(fā)力,昂楷科技將繼續(xù)精耕醫(yī)療領(lǐng)域,為醫(yī)療保障體系筑牢安全防線,推進(jìn)合法合規(guī)的數(shù)據(jù)使用、流通、共享提供有力支撐。
題-4.jpg)
