2月20日,美创科技收到了一份特殊的“新年开工礼包”——来自复旦大学附属中山医院的感谢信,让我们倍受鼓舞,一段数据安全“并肩协作”的故事也再次浮现。
复旦大学附属中山医院(以下简称“中山医院”)始建于1937年,为纪念中国民主革命的先驱孙中山先生而命名,是中国人创建和管理的最早的大型综合性医院之一,80多年的砥节砺行,中山医院创下了中国医学史上诸多“第一”, 获誉无数。2020年度全国三级公立医院绩效考核中,中山医院取得“国考”排名第一且连续多年获得最高评级“A++”。在上海申康医院发展中心市级医院院长绩效考核中,中山医院连续多年位列上海市综合类医院第一名。
近年来,医院以规划引领、基础支撑、数智创新“三位一体”驱动全院信息化建设,壁画“1234”十全十美美好未来元医院建设蓝图。全面打造“5G+数字孪生智慧医疗生态圈”,以数智赋能聚势前行。
随着全民健康信息互联互通、互联网医院、电子病历和智慧医疗等领域的快速发展,医疗数据变得更为重要和敏感。这些数据不仅关系到医院内部的业务,还涉及到外部的数据共享,因此确保医院数据的安全、合规和可信变得至关重要。
2023年8月至12月,为了防范化解数据安全风险,推进上海市网络数据安全风险评估工作,上海市委网信办发起网络数据安全风险评估试点工作。
复旦大学附属中山医院积极参与试点,携手在数据安全工作方面有丰富实战经验的相关单位共同开展相关工作,美创科技有幸参与其中。
考虑到医疗行业数据的特殊性、场景的多样性,风险评估需要进行更加典型和细化的分析,因此,本次项目范围挑选了在数据使用者和数据开放程度上具有明显代表性的典型系统进行专项的数据安全风险评估工作,旨在通过对使用角色不同、使用场景不同、开放程度不同系统的医疗典型场景探索,细化并总结当前数据使用场景下的数据安全隐患,沉淀数据安全风险评估经验,为后续同类场景的隐患识别、其他场景的风险识别提供参考思路和实践经验。
本次数据安全风险评估广泛对标法律法规、行业标准指南,重点参考《网络安全标准实践指南 网络数据安全风险评估实施指引》( TC260-PG-20231A )、《信息安全技术 健康医疗数据安全指南》( GB/T 39725-2020 )、《信息安全技术 数据安全风险评估方法》(征求意见稿)等,从评估准备、信息调研、风险识别、综合分析、评估总结等环节开展。具体包括:
评估准备:依照网络数据安全风险评估试点工作要求,组建评估团队,开展前期准备工作,制定评估工作方案与计划。
信息调研:针对试点业务系统,对应用架构、数据资产、数据处理活动和安全措施进行详细调研,收集、掌握被评估对象的基本情况。
风险识别:融合网络数据安全要求、重要数据安全要求、敏感个人信息安全要求、健康医疗数据安全指南等合规要求,设计数据安全评估清单、技术检查方案等,识别数据安全管理、数据安全技术、数据处理活动和个人信息处理方面的数据安全问题清单。
综合分析:结合信息调研情况和数据安全评估报告,输出数据风险清单,并从数据重要性、风险影响程度、可利用性等评估风险的重要性,并对风险进行排序,针对高优先级的数据安全风险提供整改方案。
评估总结:编写数据安全风险评估试点项目文档成果,提交试点主管部门结项。
在实施评估过程中,美创数据安全服务团队参与多轮业务调研会、阶段性总结会,通过专业充分的沟通协作,更深入了解组织的业务、数据和数据处理活动的关键信息,更好地推动各环节工作有序、有效开展,展现出专业的能力水平和职业素质。
以往的数据安全风险评估工作,主要使用调研问卷作为基础评估结果来源,虽然可以通过核验文档材料的方式验证落实情况,但在大量的问卷调研中,依旧会存在业务掌握度低、主观意识强、自由裁量等问题。
而本次风险评估试点工作则在传统网络安全检测工具(漏扫、渗透等)的基础上,通过应用美创自研的数据安全分类分级平台、API安全监测与访问控制系统、数据安全综合评估系统等自动化工具,更快速识别梳理院内现有数据资产情况、分类分级情况、数据访问权限情况、敏感数据调用情况,分析潜在的风险问题,在降低人力成本的同时,也提供了更为客观的信息,极大提高了评估结果的可信度。
其中:
数据安全分类分级平台:对业务系统数据进行资产扫描、登记和台账建立,明确数据资产分布,同时,平台内置通用分类分级标准,根据医院实际的数据安全分级诉求,快速自动化完成数据打标工作,分别输出数据分类分级报告 。
数据权限检测工具:完成对数据访问权限的技术探查,判断是否存在高权限用户,识别潜在风险项,帮助全面了解数据库中的权限结构,包括用户、角色、对象和操作。
API安全监测与访问控制系统:对试点系统API接口资产进行统一梳理,绘制接口画像和接口访问轨迹,监测敏感数据流动风险,识别接口调用的异常用户行为。
数据安全综合评估系统:基于丰富的知识库以及评估分析引擎,整合多维度信息,快速准确完成安全能力差距分析、数据合规风险分析、数据生命周期风险分析,输出完整的数据安全风险评估报告。
中山医院圆满完成数据安全风险评估工作,并荣获上海市委网信办数据安全风险评估优秀试点单位,实现“以评促建、以评促改”的建设目标,进一步提升医疗场景数据安全风险管理水平,探索出行业可借鉴的数据安全风险评估实践。
2024年1月31日,在上海市委网信办会组织召开的网络数据安全风险评估试点工作总结暨座谈交流会上,复旦大学附属中山医院作为优秀单位代表交流发言中,对数据安全自动化工具所展现的出色能力和取得的收益予以了高度认可。
2024年2月20日,复旦大学附属中山医院的感谢信悄然而至,这封来自行业客户的“开工礼包”,不仅是对美创团队服务能力的认可,更是美创新的一年继续前行、不断突破的最好鼓舞。
不负信任,未来,美创科技也将不断总结先进经验,持续提升产品服务能力,全力支持复旦大学附属中山医院的数据安全工作,也将为更多行业用户数据安全提供专业、值得信赖的守护,助力数据要素安全释放价值!
浙公网安备 33010502006954号 
