更多
為全面深化醫(yī)藥衛(wèi)生體制改革,推動醫(yī)療保障體系建設(shè)和社會保障事業(yè)的發(fā)展,國家醫(yī)療保障局于2018年5月正式掛牌成立,主要負(fù)責(zé)健康醫(yī)療大數(shù)據(jù)的管理、分析和利用,指導(dǎo)和監(jiān)管城鄉(xiāng)居民基本醫(yī)療保險、職工基本醫(yī)療保險、大病保險和商業(yè)醫(yī)療保險等各類醫(yī)療保障制度的實施。
醫(yī)保信息化的不斷推進(jìn),個人醫(yī)療信息、醫(yī)保支付數(shù)據(jù)、藥店銷售數(shù)據(jù)等醫(yī)保行業(yè)數(shù)據(jù)量呈現(xiàn)爆發(fā)式增長。這些數(shù)據(jù)的安全性和可靠性直接關(guān)系到醫(yī)保系統(tǒng)的正常運行,如何防范化解醫(yī)療保障系統(tǒng)數(shù)據(jù)安全風(fēng)險,促進(jìn)數(shù)據(jù)合理安全開發(fā)利用,保障醫(yī)保體系的數(shù)據(jù)安全成為了亟待解決的問題。
2021年國家醫(yī)療保障局發(fā)布《關(guān)于印發(fā)加強(qiáng)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)工作指導(dǎo)意見》,明確了“七大”加強(qiáng)數(shù)據(jù)安全保護(hù)的方向
昂楷對醫(yī)保體系的數(shù)據(jù)安全風(fēng)險進(jìn)行了梳理,發(fā)現(xiàn)了當(dāng)前醫(yī)療保障體系存在的部分風(fēng)險:
●數(shù)據(jù)泄露和隱私侵犯
醫(yī)保體系存儲著大量的個人健康信息和醫(yī)療支付數(shù)據(jù)。如果這些數(shù)據(jù)被黑客獲取或泄露,將導(dǎo)致個人隱私侵犯和信任危機(jī)。
●內(nèi)部威脅
醫(yī)保體系員工可能濫用其訪問權(quán)限,竊取敏感數(shù)據(jù)或故意破壞系統(tǒng),需要實施訪問控制和監(jiān)控機(jī)制,以防止內(nèi)部威脅。
●非法訪問和入侵
黑客可能試圖入侵醫(yī)保體系的網(wǎng)絡(luò)系統(tǒng),以獲取敏感數(shù)據(jù)或干擾系統(tǒng)的正常運行。
●第三方合作伙伴風(fēng)險
醫(yī)保系統(tǒng)可能與其他機(jī)構(gòu)或供應(yīng)商共享數(shù)據(jù)或合作,這些合作伙伴可能存在數(shù)據(jù)安全風(fēng)險,需要確保他們有適當(dāng)?shù)陌踩胧┖秃弦?guī)性控制。
●技術(shù)漏洞風(fēng)險
醫(yī)保體系的數(shù)據(jù)系統(tǒng)可能存在安全漏洞的軟件和硬件設(shè)備。黑客可以利用這些漏洞入侵系統(tǒng)或獲取敏感數(shù)據(jù),需要進(jìn)行定期的漏洞掃描,以確保系統(tǒng)的安全性。
●社交工程和釣魚攻擊
黑客可能通過社交工程手段,誘騙員工提供敏感信息或訪問系統(tǒng),需要加強(qiáng)員工的安全意識培訓(xùn),教育他們識別和防范釣魚攻擊。
●合規(guī)性要求
醫(yī)保體系需要遵守相關(guān)的數(shù)據(jù)保護(hù)法規(guī)和隱私法規(guī),如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》等,需要建立合規(guī)性框架和流程,以確保數(shù)據(jù)的合規(guī)性和安全性。
基于以上風(fēng)險評估,結(jié)合國家醫(yī)保局的指導(dǎo)意見和地方醫(yī)保局的實際情況,昂楷從先進(jìn)性、可執(zhí)行性、完整性和效益方面考慮,遵循統(tǒng)籌規(guī)劃與局部發(fā)力并重原則、管理與技術(shù)并重原則、預(yù)防與處置并重原則、防護(hù)與應(yīng)用并重原則為醫(yī)療保障體系設(shè)計了可落地的數(shù)據(jù)安全防護(hù)方案。
醫(yī)療保障體系數(shù)據(jù)安全保護(hù)工作的落地執(zhí)行需要內(nèi)外部多方面的支撐與協(xié)作,具體來講就是組織體系、管理體系、技術(shù)體系和運營體系四大部分的統(tǒng)籌建設(shè)。
梳理醫(yī)療保障體系現(xiàn)有數(shù)據(jù)安全管理團(tuán)隊情況,為其在數(shù)據(jù)安全管理方面搭建數(shù)據(jù)安全防護(hù)管理的組織架構(gòu),依據(jù)醫(yī)療保障體系數(shù)據(jù)安全防護(hù)要求和目標(biāo),對組織架構(gòu)中各崗位劃分?jǐn)?shù)據(jù)安全責(zé)任,落實數(shù)據(jù)安全管理職責(zé)。
采用分層設(shè)計,頂層文件規(guī)劃數(shù)據(jù)安全管理工作的頂層方針、策略、基本原則和總的管理要求;第二層文件明確數(shù)據(jù)安全通用和各生命周期階段中某個安全域或多個安全域的規(guī)章制度要求;第三層對醫(yī)保體系數(shù)據(jù)各生命周期及具體某個安全域的操作流程、規(guī)范,及相應(yīng)的作業(yè)指導(dǎo)書或指南制定配套的模板文件;第四層為執(zhí)行數(shù)據(jù)安全管理制度產(chǎn)生的相應(yīng)計劃、表格、報告、各種運行/檢查記錄、日志文件等。層與層之間,同一層不同模塊之間相互邏輯關(guān)聯(lián)。
圍繞數(shù)據(jù)的生命周期進(jìn)行監(jiān)控與防御,及時發(fā)現(xiàn)數(shù)據(jù)及數(shù)據(jù)平臺的異常,從防范、控制、追溯等不同階段、不同維度進(jìn)行安全保障。2022年已建成了全國統(tǒng)一的醫(yī)保信息平臺,總體應(yīng)用架構(gòu)采用中臺設(shè)計模式,根據(jù)承載業(yè)務(wù)對象不同,將中臺劃分為核心業(yè)務(wù)區(qū)中臺和公共服務(wù)區(qū)中臺,不同服務(wù)區(qū)的中臺又由不同的網(wǎng)絡(luò)承載。
從業(yè)務(wù)、合規(guī)等需求中提煉出相應(yīng)的運營指標(biāo);通過持續(xù)監(jiān)測、風(fēng)險識別、安全防護(hù)、應(yīng)急響應(yīng)等手段落實到日常運營工作中;通過風(fēng)險評估、定期審計、意識培訓(xùn)等考核監(jiān)督手段,不斷總結(jié)、完善、優(yōu)化運營指標(biāo)和日常運營動作,實現(xiàn)“事前、事中、事后”的全過程覆蓋。從以事后處置為核心,轉(zhuǎn)向以事前預(yù)防為核心,支撐識別、預(yù)防、發(fā)現(xiàn)、響應(yīng)等,變被動為主動,直至自適應(yīng)的數(shù)據(jù)安全能力。
通過加強(qiáng)數(shù)據(jù)加密與隱私保護(hù)、安全審計與監(jiān)控、訪問控制與權(quán)限管理等措施,可以有效應(yīng)對醫(yī)保行業(yè)數(shù)據(jù)安全的痛點,提升醫(yī)保體系數(shù)據(jù)的安全性和可靠性,為醫(yī)保體系的數(shù)據(jù)安全治理保駕護(hù)航,保障醫(yī)保制度的公平性和可持續(xù)發(fā)展。
提升醫(yī)保數(shù)據(jù)的安全性:通過醫(yī)保數(shù)據(jù)安全解決方案,可以有效防止數(shù)據(jù)泄露、篡改、濫用等風(fēng)險,提升醫(yī)保數(shù)據(jù)的安全性和可靠性。
保障醫(yī)保制度的公平性和可持續(xù)發(fā)展:通過對醫(yī)保支付數(shù)據(jù)的安全管理,可以防止醫(yī)保基金的浪費和濫用,維護(hù)醫(yī)保制度的公平性和可持續(xù)發(fā)展。
提升醫(yī)保行業(yè)的公信力:通過加強(qiáng)數(shù)據(jù)安全管理,可以提升醫(yī)保行業(yè)的公信力,增強(qiáng)公眾對醫(yī)保制度的信任。
保護(hù)個人隱私和財產(chǎn)安全:通過數(shù)據(jù)加密和隱私保護(hù)措施,可以有效保護(hù)個人醫(yī)療數(shù)據(jù)和財產(chǎn)安全,維護(hù)個人隱私權(quán)益。
醫(yī)療無小事,作為關(guān)系國計民生的重要領(lǐng)域,醫(yī)療數(shù)據(jù)關(guān)系到千千萬萬患者的隱私和健康安全。統(tǒng)籌網(wǎng)絡(luò)安全保障和數(shù)據(jù)安全保護(hù),夯實醫(yī)療保障信息化發(fā)展的安全底線,推動醫(yī)保大數(shù)據(jù)建設(shè)需要醫(yī)療保障體系與各大數(shù)據(jù)安全廠商共同發(fā)力,昂楷科技將繼續(xù)精耕醫(yī)療領(lǐng)域,為醫(yī)療保障體系筑牢安全防線,推進(jìn)合法合規(guī)的數(shù)據(jù)使用、流通、共享提供有力支撐。
題-4.jpg)
