堵住健康医疗大数据的安全“漏洞
当前,健康医疗大数据已成为国家重要的基础性战略资源,其应用发展将带来健康医疗模式的深刻变化。同时,我国健康医疗大数据安全也面临前所未有的挑战,必须找准关键、深入剖析,提出有针对性的对策,切实好健康医疗大数据的安全。
由于病人的健康医疗数据具有高度性,必须对其进行加密存储、管理和使用,否则一旦发生数据泄露,后果难以。更重要的是,信息时代中大数据的边界越来越模糊、越来越,导致各类网络黑客的手段越来越先进,呈现出较强的目的性、功利性和隐蔽性。因此,健康医疗数据的安全工作可谓难上加难。当前,数据安全隐患主要表现在以下几个方面:
一是数据安全意识较弱。不少医疗机构或有关企业的数据安全意识和措施还很薄弱,信息系统多采用“用户名+口令”等较弱的访问控制方式,对于数据更是无任何措施,可以说,很多数据正在“裸奔”。这容易导致传统纸质记录、台式电脑、笔记本电脑、平板电脑、服务器、电子医疗档案、电子邮件、电子备份等设备的失窃或者数据丢失,泄露个人健康信息。
二是数据系统漏洞易招致黑客入侵。目前,个人医疗信息主要从以下三大类机构中泄露:医疗保险商、医疗机构和商业合作公司。其中,大部分机构并没有把数据和非数据分开,也没有定期检查基础设施是否含有漏洞。由于业务不能中断,需要让数据库保持长时间稳定运行,更无法实时更新补丁,出现的漏洞也越来越多,极易被黑客利用。
三是医疗机构内部人员出现技术性失误。由于医疗机构内部缺少有效的管理控制手段,工作人员未将信息工作做到位或技术性失误,导致信息接受者错误、电子信息未加密等情况发生,会泄露个人健康信息。同时,工作人员未对纸质记录文档进行正确处理,或没有将过期的电子信息彻底删除,也可能会导致信息泄露。还有极少数怀有不良用意的员工访问并窃取用户的信息,这一情况也需要得到关注。
四是缺乏具备健康医疗行业特色的信息安全技术标准。健康医疗行业的复杂性、特殊性较高,虽然目前已按照国家信息安全等级的要求,加强健康医疗信息的安全防护与规范管理,但尚未建设具备其业务特点的信息安全保障体系,以及专门的信息安全技术标准,不利于有针对性地开展安全工作。
五是数据安全人才与经费保障缺口较大。在数据安全人才队伍方面,具备较强实战对抗能力的专业数据安全人员严重缺失,许多医疗机构甚至出现“大夫在看病之余兼管数据安全”的状况。在资金投入方面,对于有较高安全保障要求的行业,一般要求安全经费占总投入比不低于10%。2015年健康医疗行业整体信息化建设资金投入超过300亿元,但信息安全投入不足6亿元,占比不足2%,差距还较大。
一是加强健康医疗大数据安全风险评估和防范。比如,建立大数据安全治理组织结构,包括治理委员会、管理委员会、业务组、技术组、评估组,以及相应的组员;实施健康医疗大数据及网络安全人才队伍建设工程,研究设立网络空间安全一级学科,完善相关政策,培养和引进网络安全专业人才;定期组织人员参与信息安全培训,提高安全防控意识及权责意识,做好信息安全风险评估,有效预防可能出现的安全风险。
二是对个人健康医疗信息进行立法。随着个人信息意识的提高,立法机关应加快制定和出台个人信息单行法的进程,明确法律要的个人信息的范围、类型、责任与义务,尤其要加强对未成年人的个人信息。
三是从源头上加强对健康医疗大数据的。大力推动构建可信的信息安全体系,建立起统一权威、互联互通的人口健康信息平台,将数据源牢牢把控并回归到国家层面,健康医疗行业的信息安全可控;运用DES、3DES、RSA、AES等常用的加密算法的源代码,对的数据信息进行加密,使经过加密处理的隐私信息只有获得权限后才能进行安全浏览;医疗设备供应商要不断检测物联网设备和应用程序的安全,如发现系统漏洞应及时通知相关医疗机构,快速响应修复漏洞。
四是制定统一的健康医疗大数据安全标准。国际标准化组织(ISO)在健康信息方面已经制定了一些实践指南,例如,ISO27799:2008就是直接适用于健康信息各个方面的国际标准,包括信息采集的方式、信息存储和传递的手段等。参照此标准制定有可操作性的健康医疗大数据安全标准,具体分为基础性和应用性标准,有效各业务部门、系统间数据的规范性、融合性、流通性、共享性、安全性。
五是加强健康医疗大数据的全生命周期管理。从关键系统入手,比如,建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统、电子签名技术、加密技术等,加强“事前防护”“事中加密”“事后保障”,为健康医疗大数据的全生命周期安全保驾护航。
本文为国家社科基金项目“大数据背景下城市社区医养结合养老模式创新研究(16BRK012)”的阶段性研究
免责声明:中国网财经转载此文目的在于传递更多信息,不代表本网的观点和立场。文章内容仅供参考,不构成投资。投资者据此操作,风险自担。
把握好渐进可控、平衡效率与安全的原则,稳妥推进银行间债券市场的对外。
要留住优质企业需要真正明确新三板的市场定位,给市场以明确预期,加快制度建立健全以及完善。
新三板市场属于新兴市场,制度等方面都在创新,市场发展伴随制度的不断完善。
市场加强监管,是对加强企业经营合规的重视,在促进市场规范化方面起到重要作用。
中国网是国务院新闻办公室领导,中国外文出版发行事业局管理的国家重点新闻网站。本网通过10个语种11个文版,24小时对外发布信息,是中国进行国际、信息交流的重要窗口。