11月15日-17日,由工业和信息化部、深圳市人民政府主办,中国互联网协会、广东省通信管理局、深圳市工业和信息化局等单位承办的2022中国互联网大会隆重召开。
在互联网医疗健康合规发展论坛上,医疗合规科技实验室合作伙伴计划正式启动,美创科技作为首批合作单位,将与各机构伙伴携手,共同助力医疗数据安全合规体系建设。
医疗合规科技实验室由中国社科院法学所、中国信通院、互联网医疗健康产业联盟、美创科技以及十余家医疗机构等单位共同建设,将在医疗健康领域网络数据合规方面深入研究,推动相关领域的政策研究、标准制定、测试评估、法律咨询、产业化推广等工作,为监管支撑、行业推动、产业协作、科研创新等贡献力量。
作为数据安全领域代表领先厂商,美创科技长期深耕医疗行业,多次牵头参与医疗数据安全标准制定工作,以数据安全治理咨询规划、数据安全全栈产品、综合数据安全运营在内的专业产品服务,助力全国3500+医疗行业用户数据安全建设,多次被IDC、CCIA评选为优秀解决方案、优秀案例实践和医疗数据安全代表服务商,被誉为“医疗行业数据安全第一品牌”。
会议期间,美创科技医疗行业解决方案经理阳磊发表《数据安全分类分级在医疗行业落地分享》主题演讲,分享美创基于数据安全分类分级的整体安全防护思路。包括:
01
以数据安全分类分级为基础、识别核心数据、重要数据、一般数据,“摸清家底,识别关键”。同时对一般数据进行行业化、精细化分级梳理。
02
进行数据安全治理风险评估,充分识别数据资产在各项处理活动中存在的风险情况。
03
基于风险评估结果,填平补齐,完善提高,实现精细化防护、体系化管理、可持续运营。
阳磊表示,现阶段数据安全分类分级是数据安全管理和防护体系建设的基础,是数据流动过程中安全态势保护的底层。
尤其对于医疗行业而言,作为关系国计民生的重要行业,医疗健康数据和国家安全密切相关。目前,在医疗数字化持续推进下,临床业务数据开发利用、医疗机构间数据互联互通、临床数据共享需求正在快速增加,考虑到医疗数据流通过程参与主体的多样性以及应用场景的复杂性,对于医疗机构而言,如果不清楚自己的核心数据、重要数据等存储在哪儿、哪些环节流通、哪些业务在调用、隐藏着哪些风险,极易造成核心数据、重要数据被破坏、被篡改与被泄露。
因此以数据安全分类分级为基础,识别核心数据、重要数据资产,并针对性的设计安全管理机制,显得尤为重要。
数据安全视角下的数据分类分级及应用
那么如何有效的开展数据安全分类分级工作,由于数据天然带有业务属性,所以美创科技认为做好数据安全分类分级工作,首先必须是数据安全专家其次也需要是医疗行业的业务专家。对此,美创科技提供覆盖医疗行业业务咨询服务团队和成熟数据发现与分类分级工具在内的一整套可落地的分类分级路径。包括:
1、在数据安全分类分级咨询服务方面
美创整个咨询服务涉及现状调研、数据资产梳理、分类分级策略制定等,并提供《数据分类分级咨询报告》、《数据分类分级制度》等交付物。对于医疗用户在核心数据、重要数据识别与梳理、一般数据分类分级维度选择、在数据安全等级定义中面临的普遍难点,美创科技对标参考法律法规、国家行业标准,如《数据安全法》、《医疗卫生机构网络安全管理办法》、《国家卫生健康委规划司卫生健康行业数据分类分级指南(征求意见稿)》、《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》及其他行业地方标准等,形成切实可行的核心数据、重要数据识别模型。
2、在数据分类分级工具建设方面
美创暗数据发现分类分级工具推出医疗行业版,内置专业医疗行业的分类分级模板(可落地参考标准),并引入自然语言处理、统计模型、特征分析、机器学习等技术,从而自动并快速识别发现数据,智能打标,完成数据分类分级。
暗数据发现与分类分级系统
同时,产品以报告的形式展示分类分级建设成果,包括敏感数据分布情况、数据分类情况、数据分级情况等,并提供数据安全分类分级结果对外输出能力,可以接口形式与美创自有产品以及第三方平台/安全产品进行联动。
3、在数据安全风险评估方面
为切实提高重要数据资产安全保护的效率和效果,美创科技以《GB/T20984-2022 信息安全技术 信息安全风险评估方法》、《国家卫生健康委规划司卫生健康行业数据分类分级指南(征求意见稿)》等标准为指导,集合数据资产识别、脆弱性识别、威胁识别、风险分析与计算、风险处置建议、报告编制六步,协助医疗用户充分了解数据资产在各项数据处理活动中可能存在的各项风险情况,同时结合安全事件发生时所造成的影响进行分析的结果,给予相关的风险处置措施的加固。
数据安全风险评估实践依据
4、在数据安全能力建设方面
美创科技基于数据分类分级以及安全风险评估结果制定安全策略,围绕美创数据安全管理平台,构建身份认证、数据脱敏、权限管理、访问控制、勒索防护、审计溯源等数据安全保护能力,帮助实现资产全域可管、风险全域可视、策略全域联动。