2月20日,美創科技收到了一份特殊的“新年開工禮包”——來自復旦大學附屬中山醫院的感謝信,讓我們倍受鼓舞,一段數據安全“并肩協作”的故事也再次浮現。
復旦大學附屬中山醫院(以下簡稱“中山醫院”)始建于1937年,為紀念中國民主革命的先驅孫中山先生而命名,是中國人創建和管理的最早的大型綜合性醫院之一,80多年的砥節礪行,中山醫院創下了中國醫學史上諸多“第一”, 獲譽無數。2020年度全國三級公立醫院績效考核中,中山醫院取得“國考”排名第一且連續多年獲得最高評級“A++”。在上海申康醫院發展中心市級醫院院長績效考核中,中山醫院連續多年位列上海市綜合類醫院第一名。
近年來,醫院以規劃引領、基礎支撐、數智創新“三位一體”驅動全院信息化建設,壁畫“1234”十全十美美好未來元醫院建設藍圖。全面打造“5G+數字孿生智慧醫療生態圈”,以數智賦能聚勢前行。
隨著全民健康信息互聯互通、互聯網醫院、電子病歷和智慧醫療等領域的快速發展,醫療數據變得更為重要和敏感。這些數據不僅關系到醫院內部的業務,還涉及到外部的數據共享,因此確保醫院數據的安全、合規和可信變得至關重要。
2023年8月至12月,為了防范化解數據安全風險,推進上海市網絡數據安全風險評估工作,上海市委網信辦發起網絡數據安全風險評估試點工作。
復旦大學附屬中山醫院積極參與試點,攜手在數據安全工作方面有豐富實戰經驗的相關單位共同開展相關工作,美創科技有幸參與其中。
考慮到醫療行業數據的特殊性、場景的多樣性,風險評估需要進行更加典型和細化的分析,因此,本次項目范圍挑選了在數據使用者和數據開放程度上具有明顯代表性的典型系統進行專項的數據安全風險評估工作,旨在通過對使用角色不同、使用場景不同、開放程度不同系統的醫療典型場景探索,細化并總結當前數據使用場景下的數據安全隱患,沉淀數據安全風險評估經驗,為后續同類場景的隱患識別、其他場景的風險識別提供參考思路和實踐經驗。
本次數據安全風險評估廣泛對標法律法規、行業標準指南,重點參考《網絡安全標準實踐指南 網絡數據安全風險評估實施指引》( TC260-PG-20231A )、《信息安全技術 健康醫療數據安全指南》( GB/T 39725-2020 )、《信息安全技術 數據安全風險評估方法》(征求意見稿)等,從評估準備、信息調研、風險識別、綜合分析、評估總結等環節開展。具體包括:
評估準備:依照網絡數據安全風險評估試點工作要求,組建評估團隊,開展前期準備工作,制定評估工作方案與計劃。
信息調研:針對試點業務系統,對應用架構、數據資產、數據處理活動和安全措施進行詳細調研,收集、掌握被評估對象的基本情況。
風險識別:融合網絡數據安全要求、重要數據安全要求、敏感個人信息安全要求、健康醫療數據安全指南等合規要求,設計數據安全評估清單、技術檢查方案等,識別數據安全管理、數據安全技術、數據處理活動和個人信息處理方面的數據安全問題清單。
綜合分析:結合信息調研情況和數據安全評估報告,輸出數據風險清單,并從數據重要性、風險影響程度、可利用性等評估風險的重要性,并對風險進行排序,針對高優先級的數據安全風險提供整改方案。
評估總結:編寫數據安全風險評估試點項目文檔成果,提交試點主管部門結項。
在實施評估過程中,美創數據安全服務團隊參與多輪業務調研會、階段性總結會,通過專業充分的溝通協作,更深入了解組織的業務、數據和數據處理活動的關鍵信息,更好地推動各環節工作有序、有效開展,展現出專業的能力水平和職業素質。
以往的數據安全風險評估工作,主要使用調研問卷作為基礎評估結果來源,雖然可以通過核驗文檔材料的方式驗證落實情況,但在大量的問卷調研中,依舊會存在業務掌握度低、主觀意識強、自由裁量等問題。
而本次風險評估試點工作則在傳統網絡安全檢測工具(漏掃、滲透等)的基礎上,通過應用美創自研的數據安全分類分級平臺、API安全監測與訪問控制系統、數據安全綜合評估系統等自動化工具,更快速識別梳理院內現有數據資產情況、分類分級情況、數據訪問權限情況、敏感數據調用情況,分析潛在的風險問題,在降低人力成本的同時,也提供了更為客觀的信息,極大提高了評估結果的可信度。
其中:
數據安全分類分級平臺:對業務系統數據進行資產掃描、登記和臺賬建立,明確數據資產分布,同時,平臺內置通用分類分級標準,根據醫院實際的數據安全分級訴求,快速自動化完成數據打標工作,分別輸出數據分類分級報告 。
數據權限檢測工具:完成對數據訪問權限的技術探查,判斷是否存在高權限用戶,識別潛在風險項,幫助全面了解數據庫中的權限結構,包括用戶、角色、對象和操作。
API安全監測與訪問控制系統:對試點系統API接口資產進行統一梳理,繪制接口畫像和接口訪問軌跡,監測敏感數據流動風險,識別接口調用的異常用戶行為。
數據安全綜合評估系統:基于豐富的知識庫以及評估分析引擎,整合多維度信息,快速準確完成安全能力差距分析、數據合規風險分析、數據生命周期風險分析,輸出完整的數據安全風險評估報告。
中山醫院圓滿完成數據安全風險評估工作,并榮獲上海市委網信辦數據安全風險評估優秀試點單位,實現“以評促建、以評促改”的建設目標,進一步提升醫療場景數據安全風險管理水平,探索出行業可借鑒的數據安全風險評估實踐。
2024年1月31日,在上海市委網信辦會組織召開的網絡數據安全風險評估試點工作總結暨座談交流會上,復旦大學附屬中山醫院作為優秀單位代表交流發言中,對數據安全自動化工具所展現的出色能力和取得的收益予以了高度認可。
2024年2月20日,復旦大學附屬中山醫院的感謝信悄然而至,這封來自行業客戶的“開工禮包”,不僅是對美創團隊服務能力的認可,更是美創新的一年繼續前行、不斷突破的最好鼓舞。
不負信任,未來,美創科技也將不斷總結先進經驗,持續提升產品服務能力,全力支持復旦大學附屬中山醫院的數據安全工作,也將為更多行業用戶數據安全提供專業、值得信賴的守護,助力數據要素安全釋放價值!
浙公網安備 33010502006954號 
