数据分类分级是一项基础工作,也是提供数据分级保护的基础措施之一,是企业长期的一项技术、管理措施。企业通过制定数据分类分级策略、模板、管理规范能够有助于帮助企业梳理清楚企业数据资产,在面向合规监管、内部数据安全控制时能够提供更完善的解决方案。同时中国内地相关法律提及数据分类分级制度,通过建立数据分类分级保护制度, 对数据实行分类分级保护。各地区、各部门应当按照数据分类分级保护制度, 确定本地区、本部门以及相关行业、领域的重要数据具体目录, 对列入目录的数据进行重点保护。
本文将以医疗行业为例,对医疗业务中的数据进行安全级别划分以及归纳业务敏感数据的处理策略。不同行业以及不同公司会有自己的关于数据划分以及敏感数据的处理策略,这里只是给大家提供基础参考。
涉及数据分类分级的相关法律法规:
-
《数据安全法》
-
《个人信息保护法》
-
《网络安全法》
数据安全级别划分
针对信息保护等级,可以分为以下四种:
对应数据分级的保护措施可参考如下内容:
上述安全级别划分来源阿里云
数据分类和识别_卓越架构(WAF)-阿里云帮助中心
注意:在实际应用过程中,企业需要结合自身的业务,总结自己的L1-L4数据
敏感数据的处理策略
针对敏感数据(主要是L3和L4级别数据)的处理概要策略,如下图所示:
数据访问
1.数据访问应进行身份认证鉴别,并对访问者进行实名认证,将数据访问与实际访问者的身份或者角色进行关联,防止数据的非授权访问
2.数据访问应实现多因素认证,并应结合业务需要对数据采取脱敏或匿名化。
3.数据访问过程应留存相关操作日志,操作日志应至少包含明确的主体、客体、操作时间、具 体操作类型、操作结果等,不应保存未经脱敏处理的L3和L4级明文数据。
4.通过访问控制措施限制大批量、频繁数据访问,确需批量查询的应通过相应审批并留存相关 记录。
5. 访问的L3和L4级数据需要脱敏处理
特权账号数据访问
特权账号访问指不受访问控制措施限制的数据访问,例如使用数据库管理员权限访问数据,或 使用信息系统内可以访问全量数据的特权账号等。 特权账号访问的安全要求如下。
1应建立特权账号数据访问规范和流程制度,指定特权数据访问账号的责任机构和负责人,落 实特权账号保护责任。
2应预先明确特权账号的使用场景和使用规则,并配套建立审批授权机制;针对特权账号的使 用分配,建立严格的内部审批流程。
3发生特权账号泄露的安全事件,应当立即采取补救措施,并及时按要求向负责机构上报。
4严格限定特权账号的使用地点或区域、使用设备,应建立多因素登录验证访问控制措施,采 取生物特征、U 盾、口令等方式进行登录控制,实现对特权账号使用者进行实名认证。
5对L3和L4级数据,应采用数字水印、数据脱敏和匿名化等技术,防止特权管理数据滥用; 若的确因业务或管理需要进行访问的,应经过审批。
6应详细记录特权账号的访问过程和操作命令、操作终端信息(包括 IP 地址和 MAC 地址), 配备事后审计机制,并确保特权账号无法对操作日志进行修改和删除。
数据存储与备份
存储:
例如数据的完整性、保密性、不可篡改。
保证L3和L4级数据加密存储
备份与恢复:
根据数据的安全级别和数据对系统运行的影响,制定数据备份策略和恢复策略,
数据保留期限:
门诊数据留存 15 年、住院数据留存 30 年。
数据脱敏
对L3和L4级数据进行脱敏处理
客户端、自助终端展示
针对不同的前端数据展示场景(如手机、浏览器、护士站、医生站、查房车、PDA、自助机等)
1在医疗数据展示前,应事前评估展示需求,包括展示的条件、环境、权限、内容等,应对展示 业务中涉及的数据按照分类分级制度要求进行去标识化需求进行分析,制定相应的医疗数据展示制度。
2应制定面向终端设备的医疗数据安全管理制度,建立终端入网身份校验识别机制,明确终端设备的准入管理、安全基线管理等。
3应对展示终端设备、用户或服务组件执行有效的访问控制,并将操作执行的网络 IP 地址限 制在有限的范围内。
4对应用系统桌面、移动运维终端、自主终端设备等界面展示增加水印,水印内容应最少包括 访问主体、访问时间。
5应禁用展示界面复制、打印等可将展示数据导出的功能。
6在终端对L3和L4数据进行脱敏展示
7所有的数据访问行为应该都有审计记录,并留存 6 个月以上。
数据开放共享
数据开放共享包括:
医联体间数据共享(这里的医联体主要指医疗集团和县级医共体,不包括联合诊疗和专科联盟);
医保报销结算;
商保查询;
向科研机构提供数据;
数据上报,包括面向卫健委和医疗健康信息平台的数据上报;
针对数据开放共享安全要求建议如下:
1对所有与第三方互联网医疗平台通讯要求加密。
2面向第三方互联网平台(API)接口访问应进行身份认证、鉴权和批量控制措施。
3面向第三方互联网平台(API)所有访问需要审计,审计记录保存不少于6个月。
4L3和L4级信息的输出,需要脱敏加密。
5第三方互联网医疗平台需要签署独立的安全承诺协议或承诺书,有数据安全承诺,包括使用 用途、不非法访问,不攻击、数据不外泄、不出境等。
数据导出
从高等级安全环境中流动至低等级安全环境中的过程,如数据从 HIS 系统导 出至运维终端、移动存储介质等情形。
1应明确医疗数据导出安全评估和授权审批流程,确认医疗数据导出用途及范围,评估数据导出的安全风险,并对大量或L3级及以上敏感数据导出进行授权审批。
2数据导出操作应对医疗数据导出终端设备、用户或服务组件执行有效的访问控制,并将操作执行的网络 IP 地址限制在有限的范围内。
3数据导出操作应通过身份鉴别、多因素认证等措施对导出操作人进行实名认证。
4数据导出应有详细操作记录,包括操作人、操作时间、操作结果、数据类型、数据量、导出 目的、接收人等。
5 L3和L4级数据原则上不应导出,确需导出的,应经过审批后,使用加密、脱敏和匿名化等技术手 段防止个人隐私和个人诊疗敏感数据泄露。
6在医疗数据导出完成后,应对导出通道缓存的数据进行清除,防止数据泄密。
数据访问审计
1审计日志记录内容应包括时间、 用户、IP 地址、操作对象、操作 内容、操作行为和操作结果等相关信息
2日志和审计记录的留存时间应不 少于 6 个月
3审计日志内容中不应出现L3和L4级明文数据
4对数据的访问权限和实际访问控制情况进行定期审计,对访问权限规则和已授权清单进行复核,及时清理已失效的账号和过度授权。
我的每一篇文章都希望帮助读者解决实际工作中遇到的问题!如果文章帮到了您,劳烦点赞、收藏、转发!您的鼓励是我不断更新文章最大的动力!