最新解读 | 国家医保局明确加强网络安全和数据保护工作

时间:2021-04-14 栏目:

2021 年 4 月 9 日,国家医疗保障局下发了“关于印发加强网络安全和数据保护工作指导意见的通知”,涵盖了“总体要求、加强网络安全管理、加强数据安全保护、保障措施”四大部分。

一、总体要求

“通知”在总体要求中,提出了医疗保障信息化的主要目标:

到 2022 年,基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末,医疗保障系统网络安全和数据安全保护制度体系更加健全,智慧医保和安全医保建设达到新水平。

“通知”关于加强数据保护工作目标提了具体要求:

其一:数据安全管理有效实施。数据安全审批制度全面建立,分级分类管理及重要数据保护目录全面落实,数据实现全生命周期安全管理,数据安全评估机制日益完善。

其二:数据共享使用安全有序。数据共享使用流程明晰、机制健全,医疗保障数字化、智能化水平显著提升。

解读:进入数据时代,机构数据保护工作面对的环境更加复杂,医卫机构需要在本地及云端等不同场景下,解决自身关切的业务连续性、数据可恢复性、法规遵从性等问题。作为监管部门,国家医保局在充分调研、前期部分医疗机构等保建设经验等基础之上,系统性提出了数据保护工作的指导意见,可谓是高瞻远瞩,意义非凡。同时,我们可以看到,数据保护工作是基础要求,医疗大数据统计、分析、挖掘、应用是未来医疗数据行业非常重要的趋势。

二、加强网络安全管理

网络安全关乎数据安全,勒索病毒软件、DDOS 攻击等对机构业务连续性安全带来严峻挑战。近年来,医疗机构受到了网络不法分子的“特别照顾”,究其原因,一是医疗业务与信息系统捆绑程度高,医院 HIS、LIS、PACS、EMR、CDR 等业务系统一旦发生故障,可能会直接危害患者生命健康;二是医疗数据关乎病患个人隐私,针对网络不法分子采用公开受害者数据的新做法,很多医疗机构只能缴纳赎金,息事宁人。

“通知”关于加强网络安全管理六大要求,其中有两个关键要求如下:

一是落实网络安全主体责任。建立健全网络安全责任制,各级医保部门是本级网络安全的责任主体,各级医保部门主要负责人是第一责任人。各级医保部门要组建网络安全和信息化领导小组,落实网络安全主体责任,明确信息技术保障和意识形态工作责任边界,强化行政部门网络安全管理责任和担当,健全考核机制,严格责任追究,确保网络安全责任全覆盖。

二是加强关键信息基础设施安全保护。全面推进网络安全等级保护工作,根据行业规范合理定级备案,在系统规划、设计阶段同步确定安全保护等级,按照国家和行业标准进行等级测评。切实落实关键信息基础设施重点保护要求,加强关键信息基础设施网络安全监测预警体系建设,提升关键信息基础设施应急响应和恢复能力等。

解读:网络安全事关医疗机构业务连续性工作,“通知”明确了落实网络安全主体责任,建立健全网络安全责任制的工作,真正把网络安全工作归为“一把手工程”。同时等级保护工作将全面推进,医院不管大小,将严格按照等保要求逐一建设包括灾备体系在内的信息化安全保障机制,信息化灾备市场将迎来巨大的新需求和新机遇

三、加强数据安全保护

数据作为重要的生产资料,加强数据安全保护是基础要求。在确保数据安全的基础之上,如何利用好医疗大数据,实现数据安全、合规应用,助力医疗信息化发展,给医疗机构、患者带来更加安全、智能、经济的应用体验,是医卫行业未来要探讨的重要方向之一。

“通知”关于加强数据安全保护提出了七大要求,其中有三个关键要求如下:

一是实施数据全生命周期安全管理。依法依规对数据的产生、传输、存储、使用、共享、销毁等实行全生命周期安全管理,提高数据安全防护能力和个人隐私保护力度……采用适当的系统架构、技术手段对数据传输和数据存储进行安全加固,确保数据安全和高效可用等。

二是实施分级分类管理。根据本单位本系统数据安全保护的实际需要,结合医疗保障数据特点,制定统一的分级分类管理制度,按照数据分级分类保护标准、规则,对数据划分安全等级,实行分级分类管理。地方医保部门要落实分级分类规则标准,参照《国家医疗保障局数据安全管理办法》制定本地的数据安全管理办法。

三是加强重要数据和敏感字段保护。制定重要数据保护目录,对列入目录的数据进行重点保护,涉及国家秘密、工作秘密的数据应严格保密,不予共享及公开。建立敏感数据字段库,包含但不限于个人隐私数据、参保单位隐私数据、协议机构隐私数据、药品诊疗目录项目隐私数据等。

解读:强调数据全生命周期安全管理,说明主管机构非常注重数据治理与数据价值的并轨发展。等保建设依然是数据安全保护的指导性纲领文件,针对信息系统的等级要求,三甲、二甲医院各不相同,采用的灾备方案也不相同。但无论如何,灾备建设是基础要求。加强重要数据和敏感字段保护,是个人隐私保护的重要体现,根据监管要求,数据脱敏市场也将迎来爆发期,至于是动态脱敏还是静态脱敏,是在源库脱敏还是在目标库脱敏,取决于实际的应用场景与监管要求。

四、保障措施

为了贯彻落实指导意见的内容,国家医保局专门制定了保障措施,一共是五条,其中有两个关键要求如下:

一是加强人才队伍建设。加大网络安全和数据保护人才培养投入,加强从业人员技能培训,形成培养、选拔、吸引和使用网络安全和数据保护人才的良性机制。建立各级医保部门网络和数据安全专家库。

二是加强资金投入。各级医保部门应加强统筹规划,做好网络安全和数据保护体系顶层设计,制定工作计划。按照总体进度安排和工作目标,将网络安全和数据保护建设、运行维护经费纳入信息化建设项目投入,加强资金保障和使用监管,确保网络安全和数据保护工作的资金投入。

解读:信息安全人才队伍建设,是衡量一个行业、单位机关是否重视相关工作的重要参照物,信息安全产品方案的部署落地和应用创新,技术人才其实发挥了关键的作用。将医疗信息安全人才队伍建设纳入保障措施,意味着信息安全人才培训机制、专业认证等领域也将迎来发展机遇。加强资金投入,则意味医疗机构的信息安全、数据保护工作所需的建设与运维费用,将成为医疗机构信息化项目建设中不可或缺的组成部分,各级机构的信息安全建设资金使用更有保障。

医疗保障信息化是医疗保障事业高质量发展的基础,是医保治理体系和治理能力现代化的重要支撑。过去一年,各类医疗信息技术在应对新冠疫情时发挥了关键的作用,而医疗信息系统的正常运行,离不开网络与灾备技术的支撑。国家医保局明确加强网络安全和数据保护工作,将极大地推动医疗行业网络安全建设、数据安全保护、数据合规应用等工作的发展。

及时响应,快速服务,为您保驾续航

立即注册

请先完成图形验证

验  证  码:

请先完成图形验证

验  证  码:

隐私声明
当您在本网站进行合作伙伴注册登记,本网站将收集您的相关信息,并保存记录。本网站收集的个人信息包括但不限于:姓名、地址、公司、所在地区、电话号码以及电子邮件地址等。您主动提供的信息越多及越准确,我们就能够更好地为您提供有关服务。
咨询·购买