官方发文

近日，国家卫生健康委、国家中医药管理局联合发布《关于印发公立医院内部控制管理办法的通知》（国卫财务发〔2020〕31号）。

《办法》明确医院内部控制主要包括风险评估、内部控制建设、内部控制报告、内部控制评价四部分内容。

在“风险评估”及“内部控制建设”部分，《办法》明确要求各部门单位建立健全信息化建设管理制度、重点建设信息系统管理体系，加强内部控制系统的安全管理，确保重要信息系统安全可靠，增强信息安全保障能力。

行业痛点

医疗卫健体系相关应用系统操作人员分布范围广、素质层次不一、机构复杂导致数据安全面临巨大挑战。

问题主要表现为：

• 网络空间资产端口开放较多，隐患大，如开放远程登录服务的比例高达50%；

• 外网电脑的安全风险较多，可能会给不法访问者以可乘之机；

• 线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄露的风险；

• 医疗行业已经成为勒索病毒攻击的主要目标，医疗业务连续性受到挑战。

敏捷解决方案

敏捷科技根据各医院的实际需求，结合自身在数据安全领域及应用系统安全方面的技术积累，提供了适用于医院的数据安全保护解决方案，对医院的重要数据资料进行全方位的保护。

案例分享

此前，珠海市卫健局下属8家大型医院、24二级公立医院、1家非公立医院、123家社区卫生服务中心（站）、10家其他医疗机构、151村卫生室（农村社区卫生服务中心）共317家医疗机构中安装珠海市民健康信息服务系统的1800+台终端部署的敏捷数据安全卫士部署完成，将有效的保障珠海的妇幼保健系统、社区医生服务系统、基层医疗数据应用安全。

实施调研时，敏捷技术团队发现卫健局应用系统操作人员分布范围广、素质层次不一、机构复杂导致数据安全面临巨大挑战。项目已建立了安全存储、加密数据库、安全文件系统、异地备份、安全访问等保障措施。但在医疗人员应用系统操作方面，如妇幼保健系统、社区医生服务系统等系统数据下载后没有更好的防泄密方案，珠海市民健康信息服务系统未建立专网用户安全防护系统，对用户行为操作进行管控，对应用系统数据外传进行审计，也缺少数据外发审批流程。

基于此敏捷给所有安装妇幼保健系统、社区医生服务系统、基层医疗数据系统的终端上部署了敏捷数据安全卫士DGS ,并与这一些系统进行安全集成，实施后达到以下效果：

• 文档透明加密系统：实现本地文件新建不加密，使用智能模式，此模式下能查看加密文档，但是本身的文档不会被加密，通过公卫、妇幼、全科三个系统下载的文档强制加密；

• 系统集成：与公卫、妇幼、全科三个系统集成，员工通过公卫、妇幼、全科三个系统上传的文档自动解密；

• 应用安全认证：只允许安装加密客户端的终端才能访问公卫、妇幼、全科三个系统，未安装加密客户端的终端无法访问公卫、妇幼、全科三个系统。

在项目推进会上，珠海卫健局领导对项目给予了高度肯定，表示敏捷数据安全方案的实施既符合等保建设的数据安全要求，又与现有安全体系建设互补，项目实施应用后极大的提升了珠海卫健体系的医疗数据安全性杜绝医患信息泄密事件的发生，后续将与敏捷持续合作继续加固数据安全体系建设。

敏捷科技系统数据安全方案已成功应用在卫生、医疗、金融、海关、港口等领域，后续敏捷科技将持续为各界用户提供数据安全服务。