鞠 鑫 丁松松 張俊杰

1(蘇州市衛(wèi)生計生統(tǒng)計信息中心 江蘇蘇州 215002) 2(綠盟科技集團股份有限公司 杭州 310020)

數字經濟作為繼農業(yè)經濟、工業(yè)經濟之后的重要經濟形態(tài)，通過對數據資源的挖掘和應用，推動著社會生產方式、生活方式和治理方式的變革.數據資源作為數字經濟結構的核心要素，成為全球資源博弈的關鍵.2021年是我國數據安全的政策元年，《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》2部上位法相繼生效，對于數據的保護正式由行政法規(guī)上升到法律層面，合規(guī)性已成為數據安全治理與建設的重要驅動力.在數據安全合規(guī)視角下，數據安全的需求和驅動力發(fā)生了根本性的改變[1].衛(wèi)生健康行業(yè)之所以是國家數據安全重點關注的行業(yè)，是因為擁有大量關乎國家安全的大健康產業(yè)宏觀數據、公共衛(wèi)生數據以及涉及個人隱私的敏感數據.

1 衛(wèi)生健康行業(yè)數據安全標準建設背景

隨著醫(yī)療業(yè)務的發(fā)展，人工智能、大數據、物聯(lián)網等創(chuàng)新技術的應用，醫(yī)療過程中的數據種類、數據載體以及數據處理方式呈現多樣化的趨勢.而伴隨我國醫(yī)改政策的推進，“醫(yī)療服務共同體”“醫(yī)療聯(lián)合體”等醫(yī)療協(xié)同業(yè)務的落地，醫(yī)療數據共享、數據開放已成為衛(wèi)生健康行業(yè)發(fā)展的必要條件.行業(yè)的發(fā)展離不開數據的挖掘和應用.保障數據的安全性是一切發(fā)展的前提.

開展信息化建設時，醫(yī)療衛(wèi)生機構會充分考慮網絡安全等級保護標準要求的建議，也會根據業(yè)務現狀零星補充數據安全能力，如HIS數據庫內的賬號密碼的加密、候診室叫號屏的文字脫敏等.但是，衛(wèi)生健康行業(yè)普遍缺乏以數據為核心的安全建設思維，缺少對醫(yī)療數據資產的分類分級管控，無法準確評估數據安全風險；缺少對醫(yī)療機構運營的安全管理制度建設，極易出現人為醫(yī)療數據泄露事件.

數據安全治理工作具有行業(yè)性和場景性，很難形成統(tǒng)一的標準.因此，數據處理者開展數據安全治理工作需從自身業(yè)務出發(fā)，在借鑒產業(yè)實踐的基礎上，探索符合自身的數據安全治理實踐[2].如何開展數據安全治理已成為衛(wèi)生健康行業(yè)推進業(yè)務發(fā)展和安全建設的最大難題，標準體系的建設完善或成為解決問題的關鍵.

高質量的標準基于科學的建設方法.本文主要圍繞《醫(yī)療機構數據安全管理規(guī)范》的建設過程，總結實踐經驗，提煉相對科學、客觀的標準建設方法理論，可為其他領域數據安全類標準建設提供參考經驗.

2 明確數據安全類標準建設依據

數據安全類標準建設依賴于基礎信息系統(tǒng)的標準.從2019年起，國家衛(wèi)生健康標準委員會針對醫(yī)療衛(wèi)生行業(yè)信息系統(tǒng)先后推出《基于電子病歷的醫(yī)院信息平臺技術規(guī)范》《基于居民健康檔案的區(qū)域衛(wèi)生信息平臺技術規(guī)范》等基礎信息系統(tǒng)的建設規(guī)范，為各類醫(yī)療衛(wèi)生機構提供依據.數據安全標準建設是基于標準基礎信息系統(tǒng)分析數據維度的安全性要求.基礎系統(tǒng)的標準化能夠提升數據安全標準的科學性和普適性.

行業(yè)數據安全類標準建設應以國家標準為基礎，并聚焦行業(yè)特色.國家數據安全類標準已發(fā)布且被引用較多的標準包括《信息安全技術 個人信息安全規(guī)范》《信息安全技術 數據安全能力成熟度模型》等.在衛(wèi)生健康行業(yè)，國家標準化管理委員會在2020年12 月發(fā)布《信息安全技術 健康醫(yī)療數據安全指南》，該標準從個人信息安全風險的角度出發(fā)劃分數據分級，提出多場景下安全措施要點并給出安全指南[3].

現有的國家標準、團體標準等難以適應衛(wèi)生健康行業(yè)數據安全需求，因此，急需深度開展衛(wèi)生健康行業(yè)數據安全標準規(guī)范系統(tǒng)研究[4].根據國家衛(wèi)生健康委2022年1月11日印發(fā)的《“十四五”衛(wèi)生健康標準化工作規(guī)劃》，要求在“十四五”期間健全衛(wèi)生健康信息標準體系，完善基礎類、數據類、應用類、技術類、管理類、安全與隱私類6類信息標準的制定.

衛(wèi)生健康行業(yè)數據安全的標準建設滿足基礎的建設條件，也符合國家、行業(yè)完善數據安全標準體系的發(fā)展需求，具備可執(zhí)行性.

3 明確數據安全類標準建設方向

標準的建設首先應明確建設方向.數據安全標準分為3大類：要求類標準，如分類分級、加密、脫敏等技術要求；評估類標準，如安全風險評估、個人信息安全評估、安全能力評估等；實施指南類標準，如分類分級實施、安全風險評估實施指南等.每類標準的框架和側重點存在很大的差異，如要求類標準偏向于建設要求，評估類標準偏向于評估過程、評價依據，指南類標準則更偏向整體建設規(guī)劃、實施落地的方法.

為了更規(guī)范地開展數據安全標準建設工作，在蘇州市衛(wèi)生健康委的大力支持下，組建了由30余名衛(wèi)生健康行業(yè)信息化專家、安全專家構成的標準工作小組.經過標準工作小組對蘇州各級醫(yī)療機構的調研和采訪，了解到各單位推進數據安全建設的主要難點是缺少數據分類分級的參考標準，同時缺少體系化開展數據安全治理的工作思路.國標《信息安全技術 健康醫(yī)療數據安全指南》的施行，一定程度上彌補了分類分級標準的缺失.但是如何開展數據安全治理，蘇州衛(wèi)生健康行業(yè)需要探索出統(tǒng)一的、符合地方特色的建設體系.

標準工作小組選擇《醫(yī)療機構數據安全管理規(guī)范》的標準建設方向，并定性為更符合蘇州地方現狀及特色的“要求類標準”.該標準將作為地方數據安全和隱私保護相關法律法規(guī)落地的重要延伸，對醫(yī)院落實相關法律法規(guī)要求具有重要意義[5].

4 設計標準主題框架及推進計劃

已發(fā)布的安全類標準大部分主要依靠理論研究和經驗總結，對于實際業(yè)務的安全技術問題和管理風險隱患缺乏實際調研，導致施行的標準在落地時大打折扣.

數據安全標準體系區(qū)別于傳統(tǒng)網絡安全標準.不同業(yè)務模型標準框架會有很大的差異.行業(yè)業(yè)務的差異性導致數據安全標準建設相比傳統(tǒng)標準更依賴于現狀調研.調研維度、調研方法、調研效率直接決定標準的建設質量.科學、適用、可推廣或成為數據安全類標準建設的核心要求.

根據標準工作小組在本次標準建設的實踐情況，總結出一套從標準主體選擇、標準推進策略、標準調研過程、標準推廣應用到標準建設支撐保障等多個維度的方式方法，供業(yè)界參考.

4.1 標準選題及框架選擇

標準選題思路及框架設計如圖1所示.選擇醫(yī)院作為標準對象，除了考慮地方調研資源支撐，同時也考慮行業(yè)的整體規(guī)劃.根據“十四五”規(guī)劃要求，衛(wèi)生健康信息標準體系的建設將圍繞“電子健康檔案”和“電子病歷”2大核心開展.以電子病歷為核心的醫(yī)院信息系統(tǒng)建設在短期內依舊是各醫(yī)院開展信息化建設的核心方向，而基于此信息系統(tǒng)標準的數據安全標準更具普適性.結合蘇州市各級醫(yī)院的信息化建設現狀來看，大部分醫(yī)院已完成以電子病歷為核心的信息架構改造，符合調研對象的選擇要求.

標準的框架設計應充分參考業(yè)界同類標準模板，同時結合行業(yè)和區(qū)域特色，形成框架的亮點.本次標準框架設計時，充分參考Gartner數據安全治理框架、數據安全能力成熟度模型(data security capability maturity model, DSMM)等行業(yè)權威的框架理念，保障標準框架在大方向上的準確性.從框架的體系結構上總結出合規(guī)、管理、防護、運營和評價5大體系.相比傳統(tǒng)的管理、防護和運營3大體系，增加了符合中國特色的合規(guī)體系和體現監(jiān)管決心的評價體系.

要求類標準正文內容通常簡明扼要，為了提升標準的可執(zhí)行性，建議在標準附錄中補充落地參考的指導建議.本次標準附錄中包含醫(yī)院數據分類分級建議以及特殊醫(yī)療場景的數據安全風險描述等內容，幫助各類醫(yī)療衛(wèi)生機構更好地引用標準開展工作.

標準的基本格式則須依據GB/T 1.1—2020提出的規(guī)則嚴格執(zhí)行.

4.2 標準推進計劃

標準的建設需要基于調研、匯總、論證、研討、分析、總結、刪減，形成通用性的建議和結論.一個標準的建立往往需要大量的專業(yè)人員投入，而合理的工作拆解和分工是標準建設的第1步.

標準工作小組從成立初期即采用分體系、分小組的責任制模式，對復雜的標準工作進行拆解，如圖2所示:

圖2 標準工作小組責任拆解

工作拆解為小組成員框定研究方向，在前期豐富素材的基礎上，采取集中學習、分組討論和自主研究等形式，進行“去粗去精，去偽存真、由此及彼、由表及里”式研究，確保調研觀點的準確、可靠[6].

各小組負責對應體系的調研項設計、現場調研、調研結果匯總、調研結果論證等工作.由專業(yè)協(xié)助單位提供調研培訓、標準編寫培訓等工作，并對小組工作提供必要保障.

標準推進設置總協(xié)調人負責總體工作協(xié)調，并設置評委專家組對小組成果進行考核評審.

標準工作的推進計劃采用“甘特圖”工具進行管理，將調研工作階段化，并設置階段性里程碑，如圖3所示.

5 設計標準調研方案

標準調研方案設計應充分參考市場調研和數據分析方法論，選擇適合標準主題的調研對象、調研類型、調研方式方法，保障調研工作的高效執(zhí)行.

5.1 明確調研對象

標準調研對象的選取應充分考慮調研基數和投入產出比.

本次標準為地方標準，調研對象應從蘇州市的綜合醫(yī)院、特色醫(yī)院、特色醫(yī)療場景中選取.而調研對象數量的選擇既要考慮覆蓋度問題，又要考慮調研人力、調研時間的投入和安排.對于業(yè)務架構相似、應用系統(tǒng)廠商相同的醫(yī)院進行合理的去重篩選，集中資源投入到具有特色的醫(yī)療業(yè)務和醫(yī)療場景的醫(yī)院.

標準工作小組最終選取蘇州市5家三甲綜合醫(yī)院和3家三甲?？漆t(yī)院作為主要調研對象，同時涵蓋中小醫(yī)院、醫(yī)聯(lián)體、醫(yī)共體、分級診療的場景調研.調研對象的選擇實現了蘇州市90%以上的醫(yī)療場景覆蓋.

圖3 2022年標準工作推進計劃

5.2 選擇調研類型

標準調研前應充分理解業(yè)務邏輯和系統(tǒng)架構，靈活運用“探索性調研”“因果調研”“描述性調研”3種調研類型.

“探索性調研”，即通過醫(yī)院信息系統(tǒng)標準解讀和小組內部討論，結合醫(yī)療行業(yè)發(fā)生過的數據泄露事件，梳理出醫(yī)院數據安全的重點風險要素.標準工作小組從管理、技術層面梳理風險原因，形成調研思路.如醫(yī)院統(tǒng)方數據泄露場景、醫(yī)院科研數據泄露場景可采用此調研類型進行提前探索，提升現場調研的針對性.

“描述性調研”，即通過對各醫(yī)院的業(yè)務系統(tǒng)現狀開展評估分析，明確醫(yī)院的通用性安全問題，提煉出具體的調研方向和調研模板.如醫(yī)院數據庫的備份恢復問題、HIS數據庫加密問題等可采用此調研類型開展.

“因果調研”，即針對調研出的數據安全風險現狀，評估是否可以通過一定的安全手段降低風險，從而形成明確的安全建設建議.要求類標準的內容主要來自于因果調研.

3種調研類型的靈活組合能夠保障調研范圍的覆蓋度，同時能夠有效地支撐標準的建設落地.

5.3 調研方式方法

標準調研的推進應充分評估調研對象的現狀，靈活采取“重點調研”“典型調研”2種調研方式.

“重點調研”主要面向蘇州市大型三甲醫(yī)院，分析大型醫(yī)院信息系統(tǒng)存在的數據安全風險.大型醫(yī)院的信息系統(tǒng)建設一般屬于區(qū)域內的行業(yè)標桿，更具備代表性.中小醫(yī)院主要基于大型醫(yī)院的調研結論展開驗證.

“典型調研”圍繞“醫(yī)療服務共同體”“醫(yī)療聯(lián)合體”等具備醫(yī)療協(xié)同業(yè)務的醫(yī)院開展.此類醫(yī)院不一定屬于大型醫(yī)院，但具備特殊的醫(yī)療業(yè)務，屬于標準調研的典型場景.

調研方法包含訪談、問卷、收集3種類別.調研前應完成調研訪談模板和調查問卷的設計.模板應涵蓋重點調研對象“探索性調研”“因果調研”的調研內容，并充分考慮到典型調研對象調研內容的差異性.調研收集側重于對調研內容的真實性驗證，同時作為標準建設的基礎支撐.

合理利用調研方法能夠提升現場調研的執(zhí)行效率.本次調研工作針對醫(yī)院現有技術架構、信息系統(tǒng)建設、日常管理、日常監(jiān)管等采用訪談的調研方法；針對醫(yī)院數據樣例、管理制度樣例等采用收集的調研方法；針對醫(yī)護人員安全意識則采用問卷的調研方法.

5.4 調研過程管理

標準調研的執(zhí)行應具備完善的過程管理方案，通過組織架構和職責設定，保障調研進度以及調研質量.

標準工作小組單獨設置評委專家組，對調研過程進行監(jiān)督，并對調研質量進行評價，主要工作職責如下：

1) 調研過程質量評估，如調研人員訪談過程是否規(guī)范、問卷填寫是否合格、工作記錄是否齊備、調研周期是否規(guī)范等.

2) 調研數據質量評估，如受訪者的配合程度、問卷的設計是否被調查者理解、訪談內容的回答率等.

3) 調研計劃管理，如調研計劃執(zhí)行情況、調研人員投入調控等.

4) 調研數據復核機制，如針對已完成的訪談結果、問卷結果，抽取一定的信息進行回訪調研.

標準工作小組設置總協(xié)調人，負責總體標準工作推進，為調研過程提供必要的技術和資源保障.

5.5 調研結果分析論證

調研結果分析主要是根據調研的目的，對調研收集到的資料進行檢驗、歸類，并開展論證分析.可采用“定量分析”“定性分析”2種靈活的分析方法，提升調研結果的整合效率.

“定量分析”主要針對以數量表示的調研結果.在本次調研中，定量分析主要用于分析醫(yī)院的數據安全運營、評價指標.如醫(yī)院敏感數據數量與醫(yī)院規(guī)模的量級關系分析，敏感數據流轉數量與醫(yī)院人流量的量級關系分析等.

“定性分析”主要針對以文字為主的描述性調研結果.在本次調研中，定性分析主要用于分析醫(yī)院數據安全管理、防護措施的可行性.如數據全生命周期的管理制度在醫(yī)院可落地性分析，醫(yī)院技術防護建設對醫(yī)院業(yè)務的影響分析等.

調研結果論證是在調研分析之后經過專家研討形成的通用性結論，并作為標準的主體內容.非通用性的結論則按需形成標準附錄參考.

6 標準落地及推廣

標準的落地需要經過行業(yè)專家和標準委員會的評審，評審主要對標準建設支撐材料、標準建設論證結果進行審核，并對標準中描述本標準和相關標準的銜接關系進行核查.

標準的推廣包括互聯(lián)互通標準化成熟度測評、標準實施評估、標準應用管理培訓和宣貫等多種方式[7].標準工作小組后續(xù)會編制數據安全治理實施指南和宣貫材料，并開設專題研討會，加強醫(yī)院對標準的理解，提升標準的推廣效果.

7 結 語

衛(wèi)生信息標準化工作是衛(wèi)生信息化建設的基礎和重要組成部分，要實現信息互聯(lián)互通，數據共享應用，建設完善的標準體系和推進標準應用是關鍵[8].《醫(yī)療機構數據安全管理規(guī)范》是標準工作小組結合蘇州地方衛(wèi)生健康行業(yè)現狀提煉的醫(yī)院數據安全治理體系，也是蘇州市標準協(xié)會在數據安全標準化邁出的第1步.標準的建設經驗將為區(qū)域內各行業(yè)數據安全體系化建設工作持續(xù)賦能.