互联网时代的医疗数据安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
国家层面开始关注医疗数据安全
2009年
2014年
2016年
• 2009年2月《刑 法》修正案中, 增加侵犯公民个 人信息犯罪行为。
• 《电子病历基本 规范(试行)》
• 2014年6月《网 络侵权司法解释 》规定了披露个 人信息的侵权责 任
• 《人口健康信息 管理办法(试行) 》
• 2016年《网络安全 法》确立了个人信 息保护、内容识别、 方法和责任原则
• 《“健康中 国”2030规划纲要 》
• 《医疗机构病历管 理规定》
• 《网络安全法》
2017年
• 2017年12月,国家标 准管理委员会发布《信 息安全技术——个人 信息安全规范》
• 《关于推进医疗联合体 建设和发展的指导意见 》
• 《关键信息基础设施安 全保护条例(征求意见 稿)》
2018年
• 关于印发进一步改 善医疗服务行动计 划(2018-2020年) 的通知
浅论医疗数据安全
- - - 互联网时代的医疗数据安全
目录
CONTENT
01 背景和挑战 02 战略 03 战术 04 优势
05 感谢
01 背景和挑战
数据利用——医院信息化进入3.0时代
数据,正变得越来越重要。因为无论哪种进化,都是以数据为基础。无数据,不智慧。3.0 时代,医院正迈入互联网+/大数据/人工智能 时代。
wk.baidu.com
5月,黑客倒卖医院数据落网引 发广州医药圈震荡;
9月,某部委医疗服务信息系统 遭“黑客”入侵,超过7亿条公 民信息遭泄露,8000余万条公 民信息被贩卖;
10月,Petya网络攻击事件使香 港宫颈癌疫苗断货;
(1)医疗卫生行业是勒索病毒的重灾区;也标志着黑暗产业的形成;(月2,)伦各敦种一数知据名泄整漏形/ 医院击
医疗健康大数据利用,存在法律、管理、技术规范等问题,
在此过程中要把握好平衡。既要推动行业应用大数据技术,
在AI方面抢先,又要保证信息安全。要保证现有数据的挖
掘,实现真正的开发应用,包括将来在第三方基础上实现
数据的价值,有很多管理、法规的问题亟待研究解决。国
家卫生健康委规划信息司本着审慎包容的态度,促进大数
医疗数据价值利用,守住数据安全底线是前提
智慧医院还存在一个“安全”的问题:“在很多场合,我 都谈过医院的安全,不仅是患者安全,还有信息系统的安 全、数据的安全。信息系统的安全,可能是外来的网络攻 击。而另外一个安全威胁,可能大家不大在意、很容易忽 略,就是数据的安全。数据安全不仅是信息泄露,要从国 家安全战略高度,认识到医院产生的医疗大数据是国家安 全的重要组成,一定要绷紧医疗数据安全这根弦。
互联网时代的医疗数据在哪里?
互联网医疗
数据,在流动,在分散,分散在各种传感器,移动化,互联网化,同时向各种机构蔓延。。 流动中产生了前所未有的价值和方便,同时也带来巨大的数据安全挑战和风险。。。。。
高速发展的医疗信息化背后——暗藏杀机
2017年的医疗界有些不平静, 近期因黑客攻击而引发的医疗 信息安全事件就有:
拖库,每个月都有报道。已经严重威胁到数据的三个基本安全特性,客保称密名性单/完中整有性皇/室可成用员性;。
比如:oracle rushql勒索,1200天判断(通过wwwp.zlvseqeyl.co开m 发工具植入),5个比特币,不给删
库,CIA全破坏。
© 2018 Minimal Theme. All Rights Reserved.
据技术以及医学AI的应用,同时要求全行业守好安全的底
线。
www.zveey.com
© 2018 Minimal Theme. All Rights Reserved.
02 战略
数据安全治理体系(Data Security Governace)
Garnter 2018年提出了“数据安全治理框架”
数据安全治理体系(Data Security Governace) – 国内
(5)增加数据防泄漏(DLP)解决方案(终端/出口/邮件等)
数据安全治理体系(Data Security Governace) – 国内
国内的机构提出了一套数据安全治理体系框架,这个框架从决策层到技术层,从管理制度到工 具(产品)支撑,自上而下贯穿了整个组织架ww构w.zv。eey.com
© 2018 Minimal Theme. All Rights Reserved.
(3)终端管理/准入 /防病毒3件套; 移动APP 必须加固
有线/无线终端是内部的重要攻击点,需要严 格管控。 移动APP需要进行安全加固。 (大部分医院已经做了网闸/防火墙做内外网 隔离)。 其他按照等保要求,必须的设备还是要上。
(4)增加数据库安全设备(审计/防火墙/运维管控/加密/脱 敏等)
• 国务院办公厅关于 促进“互联网+医疗 健康”发展的意见
• 互联网医院管理办 法(试行)》、《 互联网诊疗管理办 法(试行)》、《 远程医疗服务管理 规范(试行)》
2019年
• 等级保护2.0正 式启动
• 《数据安全管理 办法》征求意见
• 《健康医疗信息 安全指南》征求 意见
健康医疗数据不仅涉及到个人层面,也涉及到公共利益,甚至是国家安全,不能完全用个人隐 私保护的理念来限制健康医疗数据的使用。
数据安全治理体系(DSM)和数据安全成熟度能力模型 (DSMM)的区别
03 战术
(1)数据备份
无论是等保2.0/网络安全法/实操,都证明这 是最后的退路
(2)主动预警(APT) 或者流量分析
在具备了防火墙/IPS/堡垒机/日志审计等基本 设备的情况下,增加1-2台APT设备;做流量分 析,主动预警,带沙盒。投资比态势感知小很 多。
国内的机构提出了一套数据安全治理体系的方法论
数据安全治理体系(Data Security Governace) – 国内
国内的机构提出了一套数据安全治理体系框架,这个框架从决策层到技术层,从管理制度到工 具(产品)支撑,自上而下贯穿了整个组织架构。
数据安全治理体系(DSG)和数据安全保护(DSP)的区别