在个人信息贩卖与医疗数据窃取风险高企的当下,健康医疗数据安全已成为医疗机构守护患者生命健康、维系机构公信力、保障医疗体系稳定的核心命脉。
面对日益严峻的数据安全形势,山东省某大型三甲医院(以下简称:A院)携手美创科技,构建基于数据分类分级的精细化数据安全防护体系,为健康医疗数据穿上"隐形盔甲",实现数据安全与业务发展的协同并进。
01建设背景
A院日均接诊量超万人次,建有HIS、LIS、EMR、PACS等十余个核心业务系统,每日产生海量结构化、半结构化及非结构化数据,涵盖患者身份信息、健康状况、诊疗记录、生物特征等高敏感内容。
根据《数据安全法》、《个人信息保护法》、《医疗卫生机构网络安全管理办法》及等保2.0等相关法规要求,医疗机构必须对敏感数据进行有效识别与保护。然而,传统"一刀切"的安全策略已无法满足精细化管理需求:
· 敏感数据资产不清,难定位风险点;
· 当前测试、开发、培训等非生产环境所需数据,依赖手工脱敏完成,效率低、易出错;
· 数据共享与合规难以兼顾。
02建设方案
经过多轮产品选型与技术验证,A院最终联合美创科技,打造基于分类分级的数据安全防护建设方案。
智能化工具支撑完成高效数据分类分级
分类分级是整个数据安全措施落地的基础,因此智能、准确、高效的数据识别能力尤为关键。美创智能数据安全分类分级平台,基于AI智能化技术,动态发现并精准识别国家、组织和个人安全的各类分级数据,形成符合行业诉求的数据资产目录,以满足数据安全合规及精细化安全防护诉求。
目前,平台已基于大量行业实践和标准研究,内置医疗行数据分类分级模板、丰富业务类型和发现规则及大量医疗行业数据标准,开箱即用。平台充分发挥大模型强大的多源数据识别及自然语言处理优势,一键作业实现精准识别语义,经医疗、金融等领域实测,语义识别率位居行业前列。
平台通过接入医院多类型数据资产(包括关系型数据库、大数据平台、云数据库、文件等),基于对资产扫描到的元数据信息、采集到的样本数据,通过多种智能算法和大模型能力实现对数据语义的识别与理解,并根据分类分级标准和数据规模对数据进行自动的分类和分级打标,形成符合行业标准的多视角资产目录清单。通过导出、接口推送、订阅等方式实现外发,为实现安全共享和精细化安全防护提供数据依据。最终实现分类分级结果合规、作业安全,数据不出域名、高效和精准的数据分类分级、以及可持续的运营目标。
分类分级联动,构建精细化安全管控体系
当前院内各系统大量医疗数据需要通过精准脱敏后传输到非生产环境,用于开发、测试等环节,但由于业务系统后台数据库表的规模越来越庞大、结构越来越复杂,传统脱敏方式往往容易导致所获取的敏感数据表、字段等信息不准确,无法满足使用需求。
美创数据脱敏通过与智能数据安全分类分级平台实施策略联动,精准识别高敏感数据(如患者姓名、身份证、联系方式、诊断详情等),极大减少脱敏后仍存在敏感字段的现象。当开发测试过程中需要用数时,美创数据脱敏通过定义精确、灵活的脱敏策略,对不同类别的数据以不同方式进行脱敏变形处理,最大限度保证脱敏后数据的特征一致性、逻辑一致性、业务规则关联性,以差异化的脱敏手段提升了脱敏效率和精准度。
03方案收益
合规遵循。满足合规要求:满足《网络安全法》、《数据安全法》、《个人信息保护法》、等保2.0以及行业、地方相关法规政策要求。
厘清家底。针对核心业务系统实施数据安全分类分级,有效厘清敏感数据分布,助力精细化防护进一步开展。
效率跃升。基于数据分类分级结果,对于高敏感数据进行脱敏处理效率更高、速度更快、安全性更强。
价值释放。有效提升数据共享质量,防止生产数据泄露,符合监管部门数据安全要求。