更多
為全面深化醫(yī)藥衛(wèi)生體制改革,推動醫(yī)療保障體系建設和社會保障事業(yè)的發(fā)展,國家醫(yī)療保障局于2018年5月正式掛牌成立,主要負責健康醫(yī)療大數(shù)據(jù)的管理、分析和利用,指導和監(jiān)管城鄉(xiāng)居民基本醫(yī)療保險、職工基本醫(yī)療保險、大病保險和商業(yè)醫(yī)療保險等各類醫(yī)療保障制度的實施。
醫(yī)保信息化的不斷推進,個人醫(yī)療信息、醫(yī)保支付數(shù)據(jù)、藥店銷售數(shù)據(jù)等醫(yī)保行業(yè)數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長。這些數(shù)據(jù)的安全性和可靠性直接關(guān)系到醫(yī)保系統(tǒng)的正常運行,如何防范化解醫(yī)療保障系統(tǒng)數(shù)據(jù)安全風險,促進數(shù)據(jù)合理安全開發(fā)利用,保障醫(yī)保體系的數(shù)據(jù)安全成為了亟待解決的問題。
2021年國家醫(yī)療保障局發(fā)布《關(guān)于印發(fā)加強網(wǎng)絡安全和數(shù)據(jù)保護工作指導意見》,明確了“七大”加強數(shù)據(jù)安全保護的方向
昂楷對醫(yī)保體系的數(shù)據(jù)安全風險進行了梳理,發(fā)現(xiàn)了當前醫(yī)療保障體系存在的部分風險:
●數(shù)據(jù)泄露和隱私侵犯
醫(yī)保體系存儲著大量的個人健康信息和醫(yī)療支付數(shù)據(jù)。如果這些數(shù)據(jù)被黑客獲取或泄露,將導致個人隱私侵犯和信任危機。
●內(nèi)部威脅
醫(yī)保體系員工可能濫用其訪問權(quán)限,竊取敏感數(shù)據(jù)或故意破壞系統(tǒng),需要實施訪問控制和監(jiān)控機制,以防止內(nèi)部威脅。
●非法訪問和入侵
黑客可能試圖入侵醫(yī)保體系的網(wǎng)絡系統(tǒng),以獲取敏感數(shù)據(jù)或干擾系統(tǒng)的正常運行。
●第三方合作伙伴風險
醫(yī)保系統(tǒng)可能與其他機構(gòu)或供應商共享數(shù)據(jù)或合作,這些合作伙伴可能存在數(shù)據(jù)安全風險,需要確保他們有適當?shù)陌踩胧┖秃弦?guī)性控制。
●技術(shù)漏洞風險
醫(yī)保體系的數(shù)據(jù)系統(tǒng)可能存在安全漏洞的軟件和硬件設備。黑客可以利用這些漏洞入侵系統(tǒng)或獲取敏感數(shù)據(jù),需要進行定期的漏洞掃描,以確保系統(tǒng)的安全性。
●社交工程和釣魚攻擊
黑客可能通過社交工程手段,誘騙員工提供敏感信息或訪問系統(tǒng),需要加強員工的安全意識培訓,教育他們識別和防范釣魚攻擊。
●合規(guī)性要求
醫(yī)保體系需要遵守相關(guān)的數(shù)據(jù)保護法規(guī)和隱私法規(guī),如《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》等,需要建立合規(guī)性框架和流程,以確保數(shù)據(jù)的合規(guī)性和安全性。
基于以上風險評估,結(jié)合國家醫(yī)保局的指導意見和地方醫(yī)保局的實際情況,昂楷從先進性、可執(zhí)行性、完整性和效益方面考慮,遵循統(tǒng)籌規(guī)劃與局部發(fā)力并重原則、管理與技術(shù)并重原則、預防與處置并重原則、防護與應用并重原則為醫(yī)療保障體系設計了可落地的數(shù)據(jù)安全防護方案。
醫(yī)療保障體系數(shù)據(jù)安全保護工作的落地執(zhí)行需要內(nèi)外部多方面的支撐與協(xié)作,具體來講就是組織體系、管理體系、技術(shù)體系和運營體系四大部分的統(tǒng)籌建設。
梳理醫(yī)療保障體系現(xiàn)有數(shù)據(jù)安全管理團隊情況,為其在數(shù)據(jù)安全管理方面搭建數(shù)據(jù)安全防護管理的組織架構(gòu),依據(jù)醫(yī)療保障體系數(shù)據(jù)安全防護要求和目標,對組織架構(gòu)中各崗位劃分數(shù)據(jù)安全責任,落實數(shù)據(jù)安全管理職責。
采用分層設計,頂層文件規(guī)劃數(shù)據(jù)安全管理工作的頂層方針、策略、基本原則和總的管理要求;第二層文件明確數(shù)據(jù)安全通用和各生命周期階段中某個安全域或多個安全域的規(guī)章制度要求;第三層對醫(yī)保體系數(shù)據(jù)各生命周期及具體某個安全域的操作流程、規(guī)范,及相應的作業(yè)指導書或指南制定配套的模板文件;第四層為執(zhí)行數(shù)據(jù)安全管理制度產(chǎn)生的相應計劃、表格、報告、各種運行/檢查記錄、日志文件等。層與層之間,同一層不同模塊之間相互邏輯關(guān)聯(lián)。
圍繞數(shù)據(jù)的生命周期進行監(jiān)控與防御,及時發(fā)現(xiàn)數(shù)據(jù)及數(shù)據(jù)平臺的異常,從防范、控制、追溯等不同階段、不同維度進行安全保障。2022年已建成了全國統(tǒng)一的醫(yī)保信息平臺,總體應用架構(gòu)采用中臺設計模式,根據(jù)承載業(yè)務對象不同,將中臺劃分為核心業(yè)務區(qū)中臺和公共服務區(qū)中臺,不同服務區(qū)的中臺又由不同的網(wǎng)絡承載。
從業(yè)務、合規(guī)等需求中提煉出相應的運營指標;通過持續(xù)監(jiān)測、風險識別、安全防護、應急響應等手段落實到日常運營工作中;通過風險評估、定期審計、意識培訓等考核監(jiān)督手段,不斷總結(jié)、完善、優(yōu)化運營指標和日常運營動作,實現(xiàn)“事前、事中、事后”的全過程覆蓋。從以事后處置為核心,轉(zhuǎn)向以事前預防為核心,支撐識別、預防、發(fā)現(xiàn)、響應等,變被動為主動,直至自適應的數(shù)據(jù)安全能力。
通過加強數(shù)據(jù)加密與隱私保護、安全審計與監(jiān)控、訪問控制與權(quán)限管理等措施,可以有效應對醫(yī)保行業(yè)數(shù)據(jù)安全的痛點,提升醫(yī)保體系數(shù)據(jù)的安全性和可靠性,為醫(yī)保體系的數(shù)據(jù)安全治理保駕護航,保障醫(yī)保制度的公平性和可持續(xù)發(fā)展。
提升醫(yī)保數(shù)據(jù)的安全性:通過醫(yī)保數(shù)據(jù)安全解決方案,可以有效防止數(shù)據(jù)泄露、篡改、濫用等風險,提升醫(yī)保數(shù)據(jù)的安全性和可靠性。
保障醫(yī)保制度的公平性和可持續(xù)發(fā)展:通過對醫(yī)保支付數(shù)據(jù)的安全管理,可以防止醫(yī)保基金的浪費和濫用,維護醫(yī)保制度的公平性和可持續(xù)發(fā)展。
提升醫(yī)保行業(yè)的公信力:通過加強數(shù)據(jù)安全管理,可以提升醫(yī)保行業(yè)的公信力,增強公眾對醫(yī)保制度的信任。
保護個人隱私和財產(chǎn)安全:通過數(shù)據(jù)加密和隱私保護措施,可以有效保護個人醫(yī)療數(shù)據(jù)和財產(chǎn)安全,維護個人隱私權(quán)益。
醫(yī)療無小事,作為關(guān)系國計民生的重要領域,醫(yī)療數(shù)據(jù)關(guān)系到千千萬萬患者的隱私和健康安全。統(tǒng)籌網(wǎng)絡安全保障和數(shù)據(jù)安全保護,夯實醫(yī)療保障信息化發(fā)展的安全底線,推動醫(yī)保大數(shù)據(jù)建設需要醫(yī)療保障體系與各大數(shù)據(jù)安全廠商共同發(fā)力,昂楷科技將繼續(xù)精耕醫(yī)療領域,為醫(yī)療保障體系筑牢安全防線,推進合法合規(guī)的數(shù)據(jù)使用、流通、共享提供有力支撐。
