在2021年7月之前，提及健康醫(yī)療數(shù)據(jù)安全的時候，大家的反應(yīng)通常都是“這很重要”，但具體落實到實施的時候，又總覺得也并不是那么緊要。但2021年下半年扎堆發(fā)生的幾件大事必將極大地改變現(xiàn)有觀念，讓健康醫(yī)療數(shù)據(jù)安全成為聚光燈下的主角。

首先是2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過《中華人民共和國數(shù)據(jù)安全法》，自2021年9月1日起施行。這一法律將成為我國大數(shù)據(jù)戰(zhàn)略中至關(guān)重要的法制基礎(chǔ)，并成為數(shù)據(jù)安全保障和數(shù)字經(jīng)濟發(fā)展領(lǐng)域的重要基石。

隨后，就是眾所周知的滴滴出行赴美上市引發(fā)監(jiān)管的事件，并成為自2020年4月《網(wǎng)絡(luò)安全審查辦法》頒布以來，首個公開的網(wǎng)絡(luò)安全審查案例。受此影響，原定近期赴美上市的科技企業(yè)紛紛暫時擱置上市計劃。

比如，重點聚焦腫瘤領(lǐng)域，提供面向癌癥患者的大數(shù)據(jù)平臺，為醫(yī)療機構(gòu)和醫(yī)藥公司提供服務(wù)的醫(yī)療科技公司零氪科技便在7月8日宣布擱置其原定次日赴美于納斯達克上市的計劃，擬掛牌交易時間被延期。在此之前的7月1日，該公司剛剛更新了其招股書，并于7月6日正式向美國證券交易委員會（SEC）更新IPO申請。

幾乎是與滴滴赴美上市同一時間點的7月1日，《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》（GB／T 39725－2020，以下簡稱《安全指南》）正式實施。

這一連串事件引發(fā)的強震還在持續(xù)。7月10日，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》，要求掌握超過100萬用戶個人信息的運營者赴國外上市時必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。此外，征求意見稿多數(shù)新增內(nèi)容為防范數(shù)據(jù)跨境潛在風(fēng)險，重點強調(diào)相關(guān)市場主體境外上市的數(shù)據(jù)安全性。

近年來，相關(guān)部門已經(jīng)注意到了健康醫(yī)療數(shù)據(jù)安全存在的隱患，并逐步推動法規(guī)標準建設(shè)來完善頂層設(shè)計。根據(jù)動脈網(wǎng)統(tǒng)計，自2020年至今，相關(guān)部門已經(jīng)陸續(xù)發(fā)布了12條涉及健康醫(yī)療數(shù)據(jù)安全的政策及標準，強度之高令人側(cè)目。在可預(yù)測的未來，這一趨勢將有增無減。

毋庸置疑，隨著監(jiān)管的加強，包括醫(yī)療健康在內(nèi)的各行業(yè)將在接下來的一段時間重新審視數(shù)據(jù)安全，并調(diào)整其在計劃中的權(quán)重。動脈網(wǎng)（微信號：VCBeat）也將推出系列文章，對當(dāng)下醫(yī)療健康數(shù)據(jù)安全進行解讀。

一直列倒數(shù)，從來未例外！健康醫(yī)療數(shù)據(jù)安全不容樂觀

“健康醫(yī)療數(shù)據(jù)安全的現(xiàn)狀并不樂觀！”華中科技大學(xué)協(xié)和深圳醫(yī)院信息科主任朱歲松認為，隨著近年來健康醫(yī)療領(lǐng)域信息化建設(shè)的推進，以及5G、大數(shù)據(jù)、人工智能及物聯(lián)網(wǎng)等新型技術(shù)的發(fā)展，健康醫(yī)療的數(shù)據(jù)應(yīng)用程度和開放程度也在逐漸深入。這也使得健康醫(yī)療數(shù)據(jù)在全生命周期各階段面臨著越來越多的安全挑戰(zhàn)。

至于什么是健康醫(yī)療數(shù)據(jù)，在此之前各部門對此有著各自不同的解釋。新發(fā)布的《安全指南》對此做出了明確的界定——“包括個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)。”

“個人健康醫(yī)療數(shù)據(jù)”是指“單獨或者與其他信息結(jié)合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)�！薄坝蓚�人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)”則包括群體總體分析結(jié)果、趨勢預(yù)測、疾病防治統(tǒng)計數(shù)據(jù)等。也就是說，健康醫(yī)療數(shù)據(jù)分為“個人”和“群體”兩個方面。

總的來說，健康醫(yī)療數(shù)據(jù)可以分為個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)和公共衛(wèi)生數(shù)據(jù)。

截圖來自《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》

不難看出，健康醫(yī)療數(shù)據(jù)具有普遍的真實性和隱私性。這些數(shù)據(jù)從微觀上包含個體身體健康情況、醫(yī)療就診情況等數(shù)據(jù)，從宏觀上包含疾病傳播、區(qū)域人口健康狀況等數(shù)據(jù)，健康醫(yī)療數(shù)據(jù)安全事關(guān)患者生命安全、個人信息安全、社會公共利益和國家安全。

通常而言，由于醫(yī)護人員的基本職業(yè)操守，手握大量醫(yī)療健康數(shù)據(jù)的醫(yī)療機構(gòu)并不會主動泄露健康醫(yī)療數(shù)據(jù)。然而，對健康醫(yī)療數(shù)據(jù)安全的擔(dān)憂并不是空穴來風(fēng)。畢竟，無論國內(nèi)國外，醫(yī)療機構(gòu)在數(shù)據(jù)安全上的表現(xiàn)都是乏善可陳。

根據(jù)騰訊智慧安全《醫(yī)療行業(yè)勒索病毒專題報告》的統(tǒng)計，2017年WannaCry勒索病毒流行期間，全國有247家三甲醫(yī)院檢出了勒索病毒。這一勒索病毒可以通過永恒之藍漏洞呈蠕蟲式傳播。因此，一旦WannaCry入侵到醫(yī)療機構(gòu)內(nèi)網(wǎng)，便能迅速在內(nèi)網(wǎng)擴散。

然而，令人啼笑皆非的是，針對永恒之藍漏洞，微軟官方早已于事發(fā)一年前便發(fā)布了漏洞修復(fù)補丁。

到了2018年2月，華中某醫(yī)院遭受勒索病毒攻擊，服務(wù)器所有數(shù)據(jù)文件被強行加密，導(dǎo)致醫(yī)院系統(tǒng)癱瘓，所有業(yè)務(wù)受到影響。黑客要求院方必須在六小時內(nèi)為每臺感染終端支付1個比特幣贖金，約合每臺終端解鎖需要支付人民幣66000余元。無獨有偶，有報道稱華東某醫(yī)院信息系統(tǒng)也曾被黑，并被勒索價值2億元的以太幣。

當(dāng)然，國外的情況也沒有好到那里去。2020年9月，德國杜塞爾多夫大學(xué)醫(yī)院遭到勒索病毒攻擊，導(dǎo)致該院30臺服務(wù)器被加密，醫(yī)院信息系統(tǒng)崩潰。然而，從勒索要求來看，黑客實際上是打算勒索杜塞爾多夫大學(xué)醫(yī)院所附屬的海因里�！ずＲ虼髮W(xué)，而不是醫(yī)院本身。

警方立即聯(lián)系并告知黑客其所勒索的是關(guān)乎人命的醫(yī)院而非大學(xué)。這位“有良心”的黑客隨后竟撤回勒索企圖，并提供了解密數(shù)據(jù)的數(shù)字密鑰。然而，這起事故已經(jīng)導(dǎo)致了一出悲劇的發(fā)生——因為醫(yī)院系統(tǒng)崩潰，一名當(dāng)時被送往醫(yī)院急需搶救的病人不得不轉(zhuǎn)送至距離該院約32公里的伍珀塔爾某醫(yī)院。由于延誤了治療，這位不幸的病人不治身亡。

IBM Security的《2020數(shù)據(jù)泄露成本報告》對17個國家和地區(qū)17個行業(yè)進行了調(diào)查，2020年數(shù)據(jù)泄露平均總成本最高的行業(yè)是醫(yī)療行業(yè)，其平均總成本高達713萬美元，比2020年所有行業(yè)386萬美元的數(shù)據(jù)泄露平均總成本高出接近一倍。

按行業(yè)劃分數(shù)據(jù)泄露平均總成本（單位：百萬美元），數(shù)據(jù)出自《2020數(shù)據(jù)泄露成本報告》，動脈網(wǎng)制圖

2019－2020年間各行業(yè)平均總成本百分比變化，數(shù)據(jù)出自《2020數(shù)據(jù)泄露成本報告》，動脈網(wǎng)制圖

更為尷尬的是，自2015年開始，醫(yī)療保健行業(yè)的數(shù)據(jù)泄露成本就一直位列榜首。2020年的平均總成本又比本行業(yè)2019年的水平增長了10％。

各行業(yè)發(fā)現(xiàn)并控制數(shù)據(jù)泄露的平均時間（單位：天），數(shù)據(jù)出自《2020數(shù)據(jù)泄露成本報告》，動脈網(wǎng)制圖

在發(fā)現(xiàn)和控制數(shù)據(jù)泄露的平均時間上，醫(yī)療健康行業(yè)的表現(xiàn)也是最糟糕的——平均需要236天發(fā)現(xiàn)數(shù)據(jù)泄露，再需93天遏制數(shù)據(jù)泄露。相比之下，表現(xiàn)最好的金融行業(yè)發(fā)現(xiàn)泄露時間和遏制泄露時間加起來也只要233天（177天發(fā)現(xiàn)，56天遏制）。

換句話說，當(dāng)金融行業(yè)已經(jīng)處理完數(shù)據(jù)泄露的同時，醫(yī)療行業(yè)甚至還壓根沒有發(fā)現(xiàn)出現(xiàn)了數(shù)據(jù)泄露事件。

按行業(yè)劃分數(shù)據(jù)泄露事件數(shù)，數(shù)據(jù)出自《2021 DBIR》，動脈網(wǎng)制圖

在Verizon的《2021數(shù)據(jù)泄露調(diào)查報告》（2021 DBIR）中，醫(yī)療行業(yè)的表現(xiàn)也比較糟糕。調(diào)查錄得472次經(jīng)確認的數(shù)據(jù)泄露事件，也排在泄露數(shù)據(jù)的所有行業(yè)前三位。從數(shù)據(jù)泄露的類型來看，36％是交付錯誤，過往幾年的情況一樣。雖然性質(zhì)上并不惡意，但這代表著基本的人為錯誤持續(xù)困擾著行業(yè)。

除此以外，在藝術(shù)和娛樂行業(yè)中也報告了一部分醫(yī)療信息泄露事件。通過進一步挖掘數(shù)據(jù)發(fā)現(xiàn)，這或許與相關(guān)的體育項目相關(guān)。這也表明，不要以為非醫(yī)療健康機構(gòu)就沒有醫(yī)療數(shù)據(jù)或者沒有義務(wù)保護健康醫(yī)療數(shù)據(jù)。

為什么健康醫(yī)療數(shù)據(jù)安全風(fēng)險在急劇增加？

那么，為什么醫(yī)療健康行業(yè)在數(shù)據(jù)安全上面臨如此之大的風(fēng)險呢？原因很簡單，錢！在Verizon《2021數(shù)據(jù)泄露調(diào)查報告》中對數(shù)據(jù)泄露動機的調(diào)查，醫(yī)療行業(yè)有61％的威脅來自外部，91％的動機來自財務(wù)。

總的來說，醫(yī)療健康領(lǐng)域的數(shù)據(jù)風(fēng)險主要分為數(shù)據(jù)不可用風(fēng)險和數(shù)據(jù)泄露風(fēng)險。

首先是數(shù)據(jù)不可用風(fēng)險。與其他機構(gòu)相比，醫(yī)院信息系統(tǒng)比較特殊，絕大部分數(shù)據(jù)都屬于需要緊急使用的信息。一旦被勒索病毒加密導(dǎo)致數(shù)據(jù)不可用，或使得系統(tǒng)發(fā)生故障都會對業(yè)務(wù)造成極大影響，直接影響到患者正常就醫(yī)，甚至關(guān)系到患者生命安全。所以，醫(yī)療健康行業(yè)一般會想盡辦法以最快速度恢復(fù)業(yè)務(wù)正常運作，乖乖交贖金的可能性更大。

其次，則是數(shù)據(jù)泄露風(fēng)險。健康醫(yī)療數(shù)據(jù)具有極強的隱私性，個人屬性數(shù)據(jù)包括個人姓名、住址、聯(lián)系方式、社會保險號碼、銀行賬號信息等海量信息。這些信息足以在黑市上賣個好價錢，還可能被人盜用身份，非法獲取處方藥甚至騙取保險。

一些公眾人物的健康隱私一旦泄露更是會對其生活、工作帶來嚴重負面影響。因此，這些健康醫(yī)療數(shù)據(jù)往往會被黑客盯上，以此索要金錢，或轉(zhuǎn)手賣給狗仔獲利。就在近日，某頂流歌星的植發(fā)照便被泄露公開，成為健康醫(yī)療數(shù)據(jù)泄露的最新受害者。這種情況在近年一再上演。

此外，大量醫(yī)療數(shù)據(jù)開始提供第三方開發(fā)測試使用，也容易造成個人隱私數(shù)據(jù)泄露。涉及國家人類遺傳資源、基因編輯等高價值生物數(shù)據(jù)的新興的生物技術(shù)產(chǎn)業(yè)，一旦發(fā)生數(shù)據(jù)泄漏，后果非常嚴重。

目前以醫(yī)院為主的健康醫(yī)療數(shù)據(jù)安全隱患嚴重，行業(yè)普遍認為主要原因有以下幾點。

第一，醫(yī)院信息系統(tǒng)不是一個孤立系統(tǒng)，隨著信息系統(tǒng)互聯(lián)互通建設(shè)及健康醫(yī)療數(shù)據(jù)應(yīng)用挖掘的進一步深入，缺乏足夠準備的醫(yī)院正在面臨更多的外部安全威脅，被黑客入侵、網(wǎng)絡(luò)攻擊的風(fēng)險將進一步加劇。

第二，相比對醫(yī)療質(zhì)量安全的重視，醫(yī)院的安全意識較為淡薄，管理制度也不完善。多數(shù)醫(yī)院沒有專門的信息安全管理組織及成套規(guī)范的管理體系，嚴重滯后于信息化發(fā)展速度。

舉例來說，大多數(shù)醫(yī)院內(nèi)外網(wǎng)劃分不清晰，缺少內(nèi)外網(wǎng)隔離措施；同時，也沒有部署終端安全管理和審計系統(tǒng)，甚至出現(xiàn)不合規(guī)終端也可隨時接入內(nèi)部網(wǎng)絡(luò)的情況，導(dǎo)致終端安全事故發(fā)生后無法追查。

第三，醫(yī)院信息系統(tǒng)的安全措施不夠完善。比如，核心HIS系統(tǒng)運營缺少有效的安全保護措施和審計機制；醫(yī)院門戶網(wǎng)站缺少必要的安全保護措施，存在被SQL注入攻擊、網(wǎng)站掛馬的風(fēng)險。

第四，醫(yī)療健康行業(yè)的患者信息、診療信息等一系列健康醫(yī)療數(shù)據(jù)具有很大的商業(yè)價值，漸漸受到灰色產(chǎn)業(yè)鏈的覬覦。

第五，醫(yī)院對各類信息系統(tǒng)的依賴程度越來越高。比如，HIS系統(tǒng)就涉及到醫(yī)院所屬各部門對人流、物流、財流的全方位管理，患者就診各環(huán)節(jié)都需與其直接掛鉤，一旦核心信息系統(tǒng)出現(xiàn)問題，影響面巨大。

深信服醫(yī)療事業(yè)部解決方案總監(jiān)陳磊在接收動脈網(wǎng)采訪時提到，大部分醫(yī)療行業(yè)的客戶實際上并不知道自己的痛點在哪里。目前醫(yī)療健康行業(yè)對于數(shù)據(jù)安全的認知和意識不太夠。很多時候醫(yī)院其實并不清楚自己真正有多少數(shù)據(jù)資產(chǎn)，更不用說數(shù)據(jù)安全。

同時，多數(shù)機構(gòu)在建設(shè)時沒有整體規(guī)劃，根據(jù)事件驅(qū)動做數(shù)據(jù)安全的某一個點的情況很多，疲于應(yīng)付；最后，數(shù)據(jù)安全一直和政策力度關(guān)系較大。在目前政策和推廣沒有在行業(yè)細化到一定程度時，也會造成建設(shè)過程中的“迷茫期”。

正因為此，健康醫(yī)療數(shù)據(jù)安全狀況愈發(fā)嚴重，已經(jīng)到了迫在眉睫的地步。

近18個月政策12連發(fā)，健康醫(yī)療數(shù)據(jù)安全頂層規(guī)劃逐步加碼

數(shù)據(jù)安全一直是我國政府高度重視的領(lǐng)域。早在1994年2月，國務(wù)院就頒布了《計算機信息系統(tǒng)安全保護條例》，首次確定將在全國范圍內(nèi)實行計算機信息系統(tǒng)安全等級保護。

所謂“行業(yè)發(fā)展，立法標準先行”，在進入到二十一世紀后，我國開始完善健康醫(yī)療數(shù)據(jù)安全的頂層規(guī)劃設(shè)計，并在近年來明顯加大力度。

2007年5月，公安部發(fā)布《信息安全等級保護管理辦法》。隨后，國家質(zhì)檢總局和國家標準化管理委員會陸續(xù)制定和發(fā)布了《信息系統(tǒng)安全等級保護基本要求（GB／T22239－2008）》等國家標準，等級保護制度正式實施，也就是俗稱的等保1．0。等保1．0被廣泛應(yīng)用于各個行業(yè)，在我國推進信息化建設(shè)過程中起到了至關(guān)重要作用。

以醫(yī)療健康行業(yè)來說，2011年12月，前衛(wèi)生部發(fā)布《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》。要求衛(wèi)生行業(yè)按照《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》開展定級工作，并明確重要衛(wèi)生信息系統(tǒng)安全保護等級原則上不低于三級。

2014年4月15日，在中央國家安全委員會第一次全體會議上首次提出包括信息安全在內(nèi)的“總體國家安全觀”重大戰(zhàn)略思想。2015年頒布的《國家安全法》明確將數(shù)據(jù)安全納入國家安全的范疇。從這時起，我國在健康醫(yī)療數(shù)據(jù)安全領(lǐng)域的政策開始快速推出。

為了使互聯(lián)網(wǎng)安全監(jiān)管和保護適應(yīng)新時代技術(shù)要求，2017年6月，《網(wǎng)絡(luò)安全法》成為我國網(wǎng)絡(luò)安全領(lǐng)域的首部綜合性立法�！熬W(wǎng)絡(luò)安全”以立法形式進入我國頂層設(shè)計，對我國網(wǎng)絡(luò)安全建設(shè)提出了更高標準和要求。并為后續(xù)的等級保護標準的更新奠定了法律基礎(chǔ)。

國家衛(wèi)健委則在2018年成立以后陸續(xù)通過各種政策強化醫(yī)療健康行業(yè)對數(shù)據(jù)安全的重視。2018年4月，國家衛(wèi)健委發(fā)布了《全國醫(yī)院信息化建設(shè)標準與規(guī)范（試行）》，對二級醫(yī)院以上醫(yī)院的數(shù)據(jù)中心安全、終端安全、網(wǎng)絡(luò)安全及容災(zāi)備份提出要求。

2018年，國家衛(wèi)健委又先后發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法（試行）》和《互聯(lián)網(wǎng)醫(yī)院管理辦法（試行）》，明確規(guī)定承載健康醫(yī)療大數(shù)據(jù)的平臺及承載互聯(lián)網(wǎng)醫(yī)院的平臺必須通過規(guī)定級別的等保測試。

作為首部完全針對健康醫(yī)療數(shù)據(jù)安全的標準，《健康醫(yī)療信息安全指南》則借鑒了國外立法和標準的研究，尤其是美國HIPPA法案和ISO 27799、NIST800－66等標準，能解決健康醫(yī)療數(shù)據(jù)的融合共享和開放應(yīng)用，讓數(shù)據(jù)在為個人及國家利益服務(wù)的同時，也保證個人信息的安全和國家公共利益的需要。

從2020年開始，相關(guān)法規(guī)及標準的實施呈現(xiàn)出高強度的特點，從2020年至今18個月時間，政策已經(jīng)“12連發(fā)”。

我國健康醫(yī)療數(shù)據(jù)安全主要政策及標準

天鵬天元大數(shù)據(jù)總裁陸廣林認為，從陸續(xù)出臺的政策法規(guī)可以看出，國家對醫(yī)療行業(yè)數(shù)據(jù)安全高度重視。無論從醫(yī)院、基層醫(yī)療機構(gòu)信息化建設(shè)，還是當(dāng)前發(fā)展火熱的“互聯(lián)網(wǎng)＋醫(yī)療健康”、“醫(yī)療大數(shù)據(jù)”，再到一些基本惠民便民的傳統(tǒng)醫(yī)療信息系統(tǒng)建設(shè)，以及國家出臺的第一部衛(wèi)生健康領(lǐng)域基礎(chǔ)性、綜合性法律，無不強調(diào)落實做好健康醫(yī)療網(wǎng)絡(luò)信息與數(shù)據(jù)安全工作。

這些政策對于加強醫(yī)療健康行業(yè)的數(shù)據(jù)安全和系統(tǒng)網(wǎng)絡(luò)安全水平起到了重要的作用，醫(yī)療機構(gòu)及其從業(yè)人員的安全意識正在不斷增強。以醫(yī)療機構(gòu)網(wǎng)絡(luò)安全等級保護實施情況為例，根據(jù)CHIMA《2019－2020年度中國醫(yī)院信息化狀況調(diào)查》，在1017家參與調(diào)查的醫(yī)院中，超50％的醫(yī)院有二級和三級網(wǎng)絡(luò)安全保護備案系統(tǒng)。

同時，根據(jù)動脈網(wǎng)對某直轄市數(shù)家頭部三甲醫(yī)院醫(yī)護人員的了解。目前，醫(yī)院對于安全已經(jīng)相當(dāng)重視，不僅定期舉行有關(guān)數(shù)據(jù)安全的培訓(xùn)演練，對于醫(yī)護人員可能產(chǎn)生泄密的渠道也有相應(yīng)的保護。

比如，醫(yī)護人員工作站硬件上取消了USB接口，無法通過移動存儲拷貝數(shù)據(jù)。在權(quán)限上則予以嚴格控制，若需復(fù)制數(shù)據(jù)則需要層層報批至上級領(lǐng)導(dǎo)。相比之下，部隊醫(yī)院對安全的要求更為嚴格，早年就已實施嚴格的管控。

數(shù)據(jù)安全一票否決，等保2．0將進一步加持健康醫(yī)療數(shù)據(jù)安全

不過，等保1．0制定的年代已經(jīng)較為久遠，造成一些新技術(shù)和新應(yīng)用的等級保護規(guī)范缺乏，比如云計算、物聯(lián)網(wǎng)等。其次，除傳統(tǒng)的5步驟外，風(fēng)險評估、安全監(jiān)測和通報預(yù)警等工作不完善。最后是政策、標準、測評、技術(shù)和服務(wù)等體系不完善。

這使得等保1．0逐漸難以滿足全球范圍內(nèi)移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工業(yè)互聯(lián)網(wǎng)、人工智能、物聯(lián)網(wǎng)等技術(shù)大量應(yīng)用的現(xiàn)狀。

因此，相關(guān)機構(gòu)開始著手對現(xiàn)有等保標準進行更新。2019年5月，國家市場監(jiān)督總局和國家標準化管理委員會發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求（GB／T22239－2019）》，并于 2019年12月開始實施，標志著我國進入等保2．0時代。

等保2．0與等保1．0的主要區(qū)別

相比等保1．0，等保2．0的要求更加細化：其所包含的系統(tǒng)更加廣泛，從原本的基礎(chǔ)信息網(wǎng)絡(luò)和信息系統(tǒng)擴展到了包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、信息系統(tǒng)、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)、工控系統(tǒng)、移動互聯(lián)網(wǎng)、智能設(shè)備等。

2020年底發(fā)布的《三級醫(yī)院評審標準（2020年版）》則對安全實施“一票否決制”。在第一部分前置要求中提到“發(fā)生大規(guī)模醫(yī)療數(shù)據(jù)泄露或其他重大網(wǎng)絡(luò)安全事件，造成嚴重后果�！睂⒅苯友悠谝荒暝u審。延期期間醫(yī)院原等次取消，按照“未定等”管理。對于醫(yī)院來說，若不重視安全將造成極其嚴重的后果。

同時，評審標準還提出“落實《網(wǎng)絡(luò)安全法》，實施國家信息安全等級保護制度，實行信息系統(tǒng)按等級保護分級管理”的要求。這并非多此一舉。事實上，就目前的情況而言，多數(shù)醫(yī)院對于等保僅僅以最低限度的通過為標準，違背了等級保護的初衷。

前面我們提到在CHIMA《2019－2020年度中國醫(yī)院信息化狀況調(diào)查》中有超50％的醫(yī)院有二級和三級網(wǎng)絡(luò)安全保護備案系統(tǒng)。但是，其中僅有1個系統(tǒng)通過二級和三級等保備案的數(shù)量居多。

無論是三級保護備案還是二級保護備案，僅有一個系統(tǒng)通過的醫(yī)院比例是最高的，分別為21．34％和19．76％，加上未通過的比例，意味著有多個系統(tǒng)通過備案的醫(yī)院比例只有三成左右。

醫(yī)院等級保護備案現(xiàn)狀，數(shù)據(jù)出自《2019－2020年度中國醫(yī)院信息化狀況調(diào)查》，動脈網(wǎng)制圖

按照新的要求，三級醫(yī)院應(yīng)全面落實國家信息安全等級保護制度，實行信息系統(tǒng)按等級保護分級管理。如果沒有開展等級保護工作，或者只將一個核心系統(tǒng)通過等保的醫(yī)院，其安全工作顯然是不夠完善的。

一方面，部分醫(yī)院是為了節(jié)約成本。舉例來說，據(jù)動脈橙消息，2021年7月21日，廣東省茂名市婦幼保健院發(fā)起等保2．0建設(shè)項目招標，其預(yù)算金額就達到了207．63萬元，這對于多數(shù)醫(yī)院來說不是一筆小數(shù)目。

深信服醫(yī)療事業(yè)部解決方案總監(jiān)陳磊表示，等保建設(shè)需要一定的經(jīng)費支持，有些醫(yī)院對安全業(yè)務(wù)支持不夠，費用審批比較緊張。此外，等保需要采購不少安全設(shè)備，在評測后，這些設(shè)備是否真正發(fā)揮安全價值醫(yī)院并不清楚。

另外一方面，部分醫(yī)院也存在被企業(yè)誤導(dǎo)的情況，采取將多個系統(tǒng)打包合并成一個醫(yī)院信息系統(tǒng)來通過測試。這一“捷徑”并不可取。首先，大部分醫(yī)院的信息化系統(tǒng)是較為獨立的業(yè)務(wù)系統(tǒng)；其次，等保的初衷就是對不同等級的系統(tǒng)進行分級管理，對于核心系統(tǒng)重點保護，全部合一個系統(tǒng)顯然是不合適的。

華中科技大學(xué)協(xié)和深圳醫(yī)院信息科主任朱歲松對此認為，等保不是應(yīng)付檢查，而是加強企業(yè)自身安全；除了重要系統(tǒng)必須上等保，不同系統(tǒng)也應(yīng)分級管理。

深信服醫(yī)療事業(yè)部解決方案總監(jiān)陳磊也認為等保測評的推進目的不是為了單純過等保，需要建設(shè)趨于實戰(zhàn)化的安全體系：“目前，智慧醫(yī)院建設(shè)過程中數(shù)據(jù)服務(wù)類型的應(yīng)用越來越多。核心業(yè)務(wù)系統(tǒng)定義范疇從基礎(chǔ)的HIS、EMR，再到臨床數(shù)據(jù)中心、科研數(shù)據(jù)中心等不斷發(fā)展和變化的，從安全建設(shè)來說，趨于實戰(zhàn)化的安全體系建設(shè)，同時適配行業(yè)業(yè)務(wù)變化的安全建設(shè)才是未來的發(fā)展方向�！�

政策仍需完善，技術(shù)同樣重要

總體來看，盡管醫(yī)療健康數(shù)據(jù)安全的形勢仍然較為嚴峻，但隨著近年來的立法及標準制定，情況正在向可控的方向發(fā)展。

當(dāng)然，在現(xiàn)行已頒布的法律法規(guī)及標準體系下，健康醫(yī)療數(shù)據(jù)安全的頂層設(shè)計仍然還存在著交叉和空白，配套制度的細則不夠完善等問題。

以目前炙手可熱的健康醫(yī)療大數(shù)據(jù)來說，天鵬天元大數(shù)據(jù)總裁陸廣林便表示健康醫(yī)療大數(shù)據(jù)應(yīng)用近幾年興起，法律法規(guī)還在跟進過程，在沒有明確法律法規(guī)時會依據(jù)適用原則做為參考標準，如《個人信息保護法》《信息安全等級保護管理辦法（試行）》等。

“目前在行業(yè)內(nèi)、協(xié)會、學(xué)術(shù)團體里形成了一些標準與規(guī)范。比如廣州市標準促進會就發(fā)布了《廣東省健康醫(yī)療數(shù)據(jù)脫敏技術(shù)規(guī)范》。我認為這些標準規(guī)范通過實踐完善后將形成國家標準�！彼�補充道。

深信服醫(yī)療事業(yè)部解決方案總監(jiān)陳磊也提到，目前，數(shù)據(jù)安全的頂層設(shè)計在行業(yè)適配層面做的不夠。數(shù)據(jù)安全的基礎(chǔ)是數(shù)據(jù)的分級分類，這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同，需要非常強的技術(shù)和行業(yè)的適配結(jié)合。從每個醫(yī)院的角度，其對數(shù)據(jù)的使用、管理、流程都不一致。因此，需要在細節(jié)標準去更加細化。

與此同時，安全技術(shù)也將在其中扮演更加重要的角色，并帶動行業(yè)的發(fā)展。安全領(lǐng)域的分類相當(dāng)細化，按照產(chǎn)品保護范圍，網(wǎng)絡(luò)安全產(chǎn)品可以分為端點安全、邊界安全和云安全。其中，各個領(lǐng)域又有多個細分領(lǐng)域。

根據(jù)安全牛的定義，將安全細分為14項一級安全分類，106項二級細分領(lǐng)域，共計有347家國產(chǎn)安全企業(yè)。這些企業(yè)默默地在隱秘的戰(zhàn)線上保護著我們的安全。那么，健康醫(yī)療數(shù)據(jù)安全行業(yè)的前景如何？哪些新興產(chǎn)品和技術(shù)在醫(yī)療健康行業(yè)有較好的探索經(jīng)驗？接下來，動脈網(wǎng)將持續(xù)關(guān)注健康醫(yī)療數(shù)據(jù)安全，并推出系列文章，敬請期待。也歡迎廣大讀者提供相關(guān)話題及線索。

參考資料

IBM Security：《2020數(shù)據(jù)泄露成本報告》

Verizon：2021 Data Breach Investigations Report

H3C．com：《醫(yī)院等保解決方案》

騰訊智慧安全：《醫(yī)療行業(yè)勒索病毒專題報告》

國家工業(yè)信息安全發(fā)展研究中心：《數(shù)據(jù)安全白皮書》

安華金和等單位：《數(shù)據(jù)安全治理白皮書3．0》

中國信通院：《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測報告》

CHIMA：《2019－2020年度中國醫(yī)院信息化狀況調(diào)查》

財新網(wǎng)：《零氪科技推遲赴美IPO 律師吁關(guān)注醫(yī)療數(shù)據(jù)保護使用》

財經(jīng)十一人：《中國進入網(wǎng)絡(luò)監(jiān)管新階段》

雷鋒網(wǎng)：《上海某公立醫(yī)院HIS系統(tǒng)被黑，被勒索2億“以太幣”》

Securityweek．com：German Hospital Hacked， Patient Taken to Another City Dies

安全牛：《中國網(wǎng)絡(luò)安全行業(yè)全景圖（2021年3月第八版）》

作者：陳鵬