当前的数据安全检查评估主要是围绕安全管理和网络安全方面的“传统”检查展开,缺乏围绕医疗用数场景展开的数据安全检查。在《数据安全治理白皮书 5.0》中医院数据安全检查评估建议,主要是针对电子病历数据的收集、存储、使用、共享等环节,检查医院在患者隐私信息使用保护上的安全制度、数据安全能力和落地执行情况,结合医院数据场景,针对数据安全“普遍、易出问题、受关注程度高”的场景提出检查和评估建议。
一、数据安全检查评估的目标和原则
目标是通过本建议帮助医疗主管机构、医院信息化部门对医院数据处理活动定期或按需开展安全检查和风险评估活动,并形成一套相对科学和可落地的数据安全检查办法。通过评价医院自身数据处理活动的数据安全保护能力,为医院建立数据安全保护体系、明确数据安全保护策略和提升医院数据效能提供参考性资料。
为了实现上述目标,建议按照以下原则来设计检查评估评估机制:
1、数据安全检查不能替代网络安全检查,需要在网络安全检查合规的基础上,有针对性开展数据安全检查;
2、数据安全检查侧重在数据存储、传输、使用、共享等环节上具备合理的安全管控措施,确保数据不被泄露、篡改;数据安全检查不侧重于防止网络攻击;
3、数据安全检查可参考《数据安全法》、《个人信息保护法》,以及国家卫健委等部门发布的《医疗卫生机构网络安全管理办法》,其中国家颁布的两法中主要是《个人信息保护法》;未来可进一步参考网信办颁布的《网络数据安全评估指南》和《个人信息保护合规审计》等文件;
4、数据安全检查不能过度强调安全,应在医疗服务发展需要、医疗数据开放利用和医疗数据安全之间取得平衡;
5、数据安全检查应覆盖安全管理建设、技术能力建设、制度落地执行状况三个方面的检查,要关注三者的统一落地;
6、数据安全检查评估要秉承“持续建设,持续检查,持续整改”的原则,可结合医疗机构的规模、等级,或不同的建设阶段,设置不同的安全评价目标。
二、数据安全检查评估方法和评价机制
2.1 数据安全检查评估框架
数据安全检查的整体框架如下图:
图 1 医院数据安全检查评估体系框架建议
根据该框架建议,数据安全检查评估分为 3 个方面,包括:
1、数据安全管理检查
数据安全管理检查,主要是看整个数据安全管理体系和基础的建设状况,包括数据安全相关的组织结构的建设状况、数据安全相关的制度和规范体系的建设状况、医院数据资产的梳理和纳管状况、数据资产的分类分级的打标状况检查;以通过安全管理检查,帮助监管机构和医院自身能够对医院的安全管理上的现状快速完成评价,以及提出改善建议。
2、数据安全技术能力检查
数据安全技术能力检查是评价医院在数据安全监测与防护技术基础设施的建设情况,通过对这些基础设施的评估,帮助监管机构和医院信息化部门能够完成数据安全技术能力建设现状的快速评价,以及提出改善意见。
3、数据安全场景和保护状况检查
结合数据生命周期和医院的数据应用场景,对数据安全制度的落地执行情况,具体的数据安全技术工具在执行中的使用情况进行安全检查,避免有了制度执行不力,有了工具软件或设备没有实际使用或使用不当,从而帮助监管机构和医院能够完成数据安全制度的执行状况进行快速评价,以及提出改善建议。
2.2 数据安全检查评估方法
医院数据安全检查评估采用的方法与风险评估类似,对每个具体的检查点的检查方法可以采用如下方式:
(1) 问卷调查:通过编制并组织填写问卷形式,对被检查评估单位的数据安全保护、合规状况等情况进行统计和调查,获取基本信息。
(2) 人员访谈:通过与被检查评估方进行交流、讨论方式,获取检查评估有关信息。
(3) 文档查验:由被检查评估方提供与数据安全相关文档材料,检查评估方查验相关文档材料是否已涵盖完整数据生命周期和医院数据场景的数据安全要求。
(4) 配置核查:根据被检查评估方提供数据安全策略、规范规则相关技术材料,登录相关系统工具进行配置检查,核查是否与材料保持一致,对配置内容进行核实。
(5) 旁站验证:通过被检查评估方人员对承载数据的系统、数据库、网络进行现场操作,由检查评估方人员查看数据采集界面、数据展示界面、数据存储界面、数据导出、数据加工处理、数据操作日志记录等,评估数据安全保障措施是否有效。
2.3 数据安全检查的结果评价
数据安全检查的结果评价体系设计如下:
图 1-2 数据安全检查结果评价体系
整体检查评估结论要依据数据安全管理、数据安全能力、数据安全执行三个检查类的评价结论得出。
每个检查类的评价结论要根据下面的检查项的评价结论得出。每个检查项的评价结论要根据具体检查点的评价结论得出。
1、检查点的结果评价
对于每个具体的数据安全检查点,我们可以得出的结论包括:通过(完全符合)、有建议性问题、有一般性问题、有严重性问题。
问题等级的分类标准如下:
A、严重性问题:与相关法律法规、标准规范有明显冲突;存在高等级数据安全风险,并对患者个人隐私信息、诊疗隐私造成严重的风险;
B、一般性问题:不存在合法合规风险,但存在中等级数据安全风险,会对患者个人隐私信息、诊疗隐私造成潜在的损害;
C、建议性问题:符合基本安全检查要求,但不够完善;不会对患者个人隐私信息、诊疗隐私造成损害,但安全管理体系不够完善、或安全技术能力需要进一步提升、或安全执行落地要更细致等。
2、检查项的结果评价
对于具体的检查项的结果将根据检查点的评价形成结论如下: 符合:只存在建议性问题检查点,其余检查点均通过。
基本符合:只存在一般性问题检查点,其余检查点均通过或存在建议性问题。
不符合:存在严重性问题检查点。
3、检查类的结果评价
对于数据安全管理、数据安全能力建设、数据安全场景和保护状况三大类的检查结论,将按照具体检查项的结论形成,规则如下:
A、数据安全管理检查
不符合:组织架构不完备或管理制度不完备或单个检查项(单个制度)存在不符合评价(存在严重性问题)
符合:组织架构和管理制度完备,单个检查项(单个制度)均为基本符合(只存在一般性问题) 或符合(只存在建议性问题)评价
优秀:组织架构和管理制度完备,单个检查项(单个制度)均为符合(只存在建议性问题)
B、数据安全能力检查
不符合:能力建设不完备,单个检查项(单个能力)存在不符合评价(存在严重性问题)
符合:能力建设完备,单个检查项(单个能力)均为基本符合(只存在一般性问题)或符合(只存在建议性问题)评价
优秀:能力建设完备,单个检查项(单个能力)均为符合(只存在建议性问题)
C、数据安全执行检查
不符合:场景覆盖不完备或单个检查项(场景)存在不符合评价(严重性问题)或 80% 以上检查项(场景)都仅为基本符合(存在一般性问题)
符合:场景覆盖完备,单个检查项(场景)不存在不符合评价(严重性问题),且仅 80% 以下检查项(场景)都为基本符合(存在一般性问题),其余均为符合
优秀:场景覆盖完备,单个检查项(场景)不存在不符合评价(严重性问题),且仅 20% 以下检查项(场景)都为基本符合(存在一般性问题),其余均为符合
4、对于检查结果的整体评价
不符合:存在不符合评价的大类
符合:不存在不符合评价的大类,但也无优秀评价的大类良好:不存在不符合评价的大类,有一项优秀评价的大类
优秀:不存在不符合评价的大类,有两项及以上优秀评价的大类
三、数据安全管理检查评估
数据安全管理检查评估总体上分为如下检查项:
图 3 数据安全管理检查
理据数据安全管理检查包括组织架构建设、制度和规范建设、数据据资产管理建设、数据分类分级建设四个部分,其中制度和规范建设中的每个制度建设要点都成为独立的检查项。每个检查项的具体检查要求如下:
3.1 组织架构检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 应设立由医院高级管理层组成的领导小组,总体负责数据安全工作的统筹组织、指导推进和协调落实,明确数据安全管理部门,协调机构内部数据安全管理资源调配 | 文档检查 | (严重性问题) 1. 查验正式发布的数据安全管理委员会领导小组成立相关文件,确认领导小组由医院高级管理层构成。 2. 查验相关文件,明确领导小组的工作职责,主要涵盖总体负责数据安全工作的统筹组织、指导推进和协调落实,明确数据安全管理部门、协调机构内部数据安全管理资源调配等。 |
2 | 应设立数据安全管理委员会,成员应至少包含主要部门的主要负责人,负责数据安全相关工作的实施、相关政策和制度的制定评审工作,保障数据安全管理工作所需资源,并设立数据安全管理专职岗位,负责日常数据安全管理工作 | 文档检查人员访谈 | (严重性问题) 1. 查验正式发布的数据安全管理委员会成立相关文件,确认委员会成员,至少包括信息部门、业务部门、数据部门等相关部门的主要负责人。 2. 查验相关文件,明确委员会的工作职责,主要涵盖负责数据安全相关工作的实施、相关政策和制度的制定评审工作,保障数据安全管理工作所需资源等。 3. 查验相关文档,确认设立数据安全管理专职岗位, 职责为日常数据安全管理工作。 4. 访谈数据安全管理专职岗位人员,确认日常数据安全管理工作落实到人、岗位职责明确。 |
3 | 应由信息部门、业务部门、数据部门设立数据安全岗位,作为数据安全管理的执行层 | 文档检查人员访谈 | (一般性问题) 1. 查验关于设立数据安全岗位作为数据安全管理执行层的相关文件,文件涉及到信息部门、业务部门、数据部门。 2. 访谈数据安全执行相关人员,确认日常数据安全管理工作落实到人。 |
3.2 安全管理制度和规范检查
1、安全管理总则检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 应依据国家与行业主管和监管部门要求,结合医院自身安全策略和业务等因素,制定医院数据安全总体安全策略、方针、目标、原则 | 文档检查 | 1. 查验医院数据安全总体规划相关文件,确认是在依据国家与行业主管和监管部门要求的同时,也结合了机构自身安全策略和业务等因素,制定本机构数据安全总体安全策略、方针、目标、原则。(严重性问题) 2. 文档中明确了数据安全管理需要执行的活动、所需资源、实施步骤等。(一般性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验医院数据安全制度,确认制度符合:网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。(严重性问题) |
2、数据资产管理制度检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 建立数据资产管理制度,覆盖数据存储、平台、数据应用和 API | 文档检查 | 查验医院数据资产管理制度相关文件,确认是在依据国家与行业主管和监管部门要求的同时,也结合了机构自身数据资源存储和分布情况,制定本机的数据资产管理制度。(严重性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验医院数据资产管理制度,确认制度并符合:网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。(严重性问题) |
3 | 明确数据资产定期梳理和更新要求,明确数据梳理更新的条件和频率,明确数据资产使用、留存及报废管理流程 | 文档检查 | 1. 文档中的流程清晰。(一般性问题) 2. 文档中的表单清晰齐备。(建议性问题) |
3、分类分级规范检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 建立数据安全分类分级相关制度规范,明确数据分类分级中的具体工作内容 | 文档检查 | 1. 查验医院数据安全相关制度文件,确认制定了本医院的数据分类分级规范。(严重性问题) 2. 制度中明确数据分级目标和原则、分类分级方法、分类分级对应的安全原则、分类分级工作负责部门及职责、分类分级的发布机制。(严重性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验医院分类分级制度,确认制度符合:网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。 (严重性问题) |
3 | 明确日常管理流程和操作规程、相关绩效考核和评价机制、备案和管理规定以及数据分类分级清单审核与修订的原则和周期等内容 | 文档检查 | 1. 文档中的要求和流程清晰。(一般性问题) 2. 文档中的表单清晰齐备。(建议性问题) |
4、数据生命周期场景安全要求制度检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 建立数据生命周期场景安全要求制度 | 文档检查 | 1. 查验医院数据安全相关制度文件,确认制定了本医院的数据生命周期场景安全要求制度。(严重性问题) 2. 制度中覆盖了数据生命周期和本医院涉及的主要数据使用场景。(严重性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验医院检查评估制度,确认制度符合: 网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。 (严重性问题) |
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
3 | 对数据生命周期和场景中的安全要求清晰;明确日常管理流程和操作规程、相关绩效考核和评价机制等内容 | 文档检查 | 1. 制度结合分类分级规范要求,对不同场景的数据使用安全要求进行了说明。(一般性问题) 2. 文档中的要求和流程清晰。(一般性问题) 3. 文档中的表单清晰齐备。(建议性问题) |
5、数据安全事件管理和应急处置制度检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 制定应急响应与事件处置规范, 建立完善的应急响应与事件处置和问责机制 | 文档检查 | 1. 查验医院数据安全相关制度文件,确认制定了本医院的数据安全事件管理和应急处置制度。(严重性问题) 2. 制度中依据国家及行业主管部门规定、事件性质、影响范围等,对安全事件进行分级管理。制定应急预案和安全策略,对不同级别的安全事件进行相应处置,对重大事件发生后及时启动应急响应机制。确定数据安全事件上报机制,按照国家及行业的规定对相应级别的数据安全事件及处置情况进行上报。(严重性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验安全事件管理和应急处置制度,确认制度符合: 网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。(严重性问题) |
3 | 明确安全事件管理和应急处置日常管理流程和操作规程、相关绩效考核和评价机制等内容 | 文档检查 | 1. 文档中的要求和流程清晰。(一般性问题) 2. 文档中的表单清晰齐备。(建议性问题) |
6、数据安全检查评估管理制度检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 建立数据安全检查评估制度,制定数据安全检查评估规范和计划和具体要求 | 文档检查 | 1. 查验医院数据安全相关制度文件,确认制定了本医院的数据安全检查评估制度。(严重性问题) 2. 制度中明确了数据安全检查的计划和要求。对检查评估过程中发现的问题,指定了责任部门,以及对应的处理处理要求。(严重性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验医院检查评估制度,确认制度符合: 网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。(严重性问题) |
3 | 对数据安全评估检查评估的要求清晰;明确日常管理流程和操作规程、相关绩效考核和评价机制等内容 | 文档检查 | 1. 文档中的要求和流程清晰。检查动作要求覆盖了:系统或 API 发布前;在国家及行业主管部门的相关要求发生变化时;在业务流程、系统运行环境发生重大变更时;发生重大数据安全事件时。(一般性问题) 2. 文档中的表单清晰齐备。(建议性问题) |
7、数据安全技术规范检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 建立数据安全技术规范 | 文档检查 | 1. 查验医院数据安全相关文件,确认制定了本医院的数据安全技术规范。(严重性问题) 2. 制度中覆盖了主要的数据安全能力:边界防护、身份鉴别和访问控制、数据分类分级、数据脱敏、数据库审计、应用和 API 审计、数据安全监测、数据加密。(严重性问题) |
8、人员安全管理制度检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 建立了建立数据使用人员管理的制度、流程,对数据相关岗位和人员进行了安全管理要求 | 文档检查 | 1. 查验医院相关制度文件,确认制定了本医院的数据使用人员的安全管理制度。(严重性问题) 2. 制度中要求了与可能接触 3 级及以上数据的员工,以及数据安全相关岗位的员工签署保密协议。(严重性问题) 3. 制度中明确在发生人员调离岗位时,立即完成相关人员数据访问、使用等权限的配置调整,并明确相关人员的数据保护管理权限和保密责任。(严重性问题) 4. 制度中明确数据使用相关岗位人员终止劳动合同时,应立即终止并收回其对数据的访问权限, 明确并告知其继续履行有关信息的保密义务要求, 并签订保密承诺书。(严重性问题) 5. 制度中明确建立外部人员管理制度,对外部人员可能访问的系统、网络、数据资源建立数据存取控制机制、认证机制。明确对外部人员的数据安全要求和培训,必要时签署保密协议。(严重性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验数据使用人员安全管理制度,确认制度符合:网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。 (严重性问题) |
3 | 对人员管理的安全要求清晰; 明确日常管理流程和操作规程、相关绩效考核和评价机制等内容 | 文档检查 | 1. 文档中的要求和流程清晰;有明确的安全协议模板。 2. 文档中的表单清晰齐备。(建议性问题) |
4 | 对一些人员管理的增强要求 | 文档检查 | 1. 制度中明确了明确数据安全相关岗位人员的专项培训相关要求。( 一般性问题 ) 2. 制度中明确要求列明所有外部用户名单及其权限。(建议性问题) 3. 明确对数据库管理员、系统管理员、操作员及安全审计人员等岗位设立专人专岗,并实行职责分离。(建议性问题) |
9、第三方服务安全管理制度检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 建立了第三方 IT 服务管理制度 | 文档检查 | 1. 查验医院相关制度文件,确认制定了本医院的第三方 IT 服务的管理制度。(严重性问题) 2. 制度中明确第三方机构审查与评估机制,评估其数据安全保护能力。明确应通过合同协议等方式,对第三方机构的数据使用行为进行约束,并明确双方在数据安全方面的责任及义务。(严重性问题) 3. 制度中明确对可能访问数据的第三方机构及人员,应要求第三方机构向有关人员传达数据安全要求,与其签署保密协议,并对协议履行情况进行监督。(严重性问题) 4. 制度中明确对接入的第三方系统和服务(API、SDK 等)进行专门的数据安全管理,确保不因第三方的应用接入而危害数据安全。(严重性问题) 5. 制度中明确与第三方机构解除合作关系时,应要求第三方机构不再以任何方式保存获取的数据及相关衍生数据(国家及行业主管部门另有规定的除外)。(严重性问题) |
2 | 制度符合国家相关法规和行业规范的要求 | 文档检查 | 查验第三方 IT 服务管理制度,确认制度符合: 网络安全法、密码法、国家数据安全法、个人信息保护法、数据出境安全管理办法等国家法规和行业规范的要求。(严重性问题) |
3 | 对第三方 IT 服务的安全要求清晰;明确日常管理流程和操作规程、相关绩效考核和评价机制等内容 | 文档检查 | 1. 文档中的要求和流程清晰。 2. 文档中的表单清晰齐备。(建议性问题) |
4 | 对第三方服务机构的安全能力评估 | 文档检查 | 制度中明确了第三方服务机构的安全能力评估办法。(建议性问题) |
3.3 数据资产管理状况检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 应对数据进行盘点、梳理,形成统一的数据资产清单 | 文档检查旁站验证 | 1. 查验数据资产盘点相关工作材料内容是否完整。(严重性问题) 2. 查验数据资产清单,确认清单内容至少包含库、表、字段数据类型、用途、数据介质(数据库、大数据组件、位置、IP、MAC、端口)等相关内容。(严重性问题) 3. 查验数据资产清单和数据资产梳理相关资料, 确认数据资产梳理和资产清单已覆盖全部数据,包含当前评估内容及范围内的所有电子数据。(严重性问题) |
2 | 应定期梳理数据资产并及时更新数据资产清单 | 文档检查旁站验证 | 查验数据资产清单更新记录,确认已对数据资产使用、上线及下线报废、变更等状态进行登记,并能做到定期更新。(一般性问题) |
3.4 数据分类分级状况检查
序号 | 安全要求 | 检查方法 | 检查内容和不符合判定 |
1 | 根据分类分级规范完成对数据资产的定级 | 文档检查旁站验证 | (严重性问题) 1. 查验数据安全定级原则,对数据安全分级规则进行确认。 2. 查验数据资产清单,确认使用数据安全定级方法进行定级。 3. 查验数据资产清单,并与定级规则进行对比,确认规则和定级结果匹配。 |
2 | 应对符合变更条件的数据按照定级流程实施级别变更 | 文档检查旁站验证 | (建议性问题) 1. 查验数据级别变更记录,确认已对不再适用的原有数据安全级别做到及时、规范地实施定级变更。 2. 查验数据定级文档及变更记录,确保在数据内容发生变化等情况后,能够按照定级流程要求及时对相关数据进行级别变更。 |
本文摘编自中关村网络安全与信息化产业联盟数据安全治理专业委会编著《数据安全治理白皮书 5.0—医疗数据安全治理实践(医院实践篇)》。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵害到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
在文末扫码关注官方微信公众号“idtzed”,发送“入”直通相关数治x行业共建群、AIGC+X 成长营,@老邪 每周免费领取法规、标准、图谱等工具包。
欢迎先注册,登录后即可下载检索数据安全等相关标准、白皮书及报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。