为全面深化医药卫生体制改革,推动医疗保障体系建设和社会保障事业的发展,国家医疗保障局于2018年5月正式挂牌成立,主要负责健康医疗大数据的管理、分析和利用,指导和监管城乡居民基本医疗保险、职工基本医疗保险、大病保险和商业医疗保险等各类医疗保障制度的实施。
医保信息化的不断推进,个人医疗信息、医保支付数据、药店销售数据等医保行业数据量呈现爆发式增长。这些数据的安全性和可靠性直接关系到医保系统的正常运行,如何防范化解医疗保障系统数据安全风险,促进数据合理安全开发利用,保障医保体系的数据安全成为了亟待解决的问题。
2021年国家医疗保障局发布《关于印发加强网络安全和数据保护工作指导意见》,明确了“七大”加强数据安全保护的方向
昂楷对医保体系的数据安全风险进行了梳理,发现了当前医疗保障体系存在的部分风险:
●数据泄露和隐私侵犯
医保体系存储着大量的个人健康信息和医疗支付数据。如果这些数据被黑客获取或泄露,将导致个人隐私侵犯和信任危机。
●内部威胁
医保体系员工可能滥用其访问权限,窃取敏感数据或故意破坏系统,需要实施访问控制和监控机制,以防止内部威胁。
●非法访问和入侵
黑客可能试图入侵医保体系的网络系统,以获取敏感数据或干扰系统的正常运行。
●第三方合作伙伴风险
医保系统可能与其他机构或供应商共享数据或合作,这些合作伙伴可能存在数据安全风险,需要确保他们有适当的安全措施和合规性控制。
●技术漏洞风险
医保体系的数据系统可能存在安全漏洞的软件和硬件设备。黑客可以利用这些漏洞入侵系统或获取敏感数据,需要进行定期的漏洞扫描,以确保系统的安全性。
●社交工程和钓鱼攻击
黑客可能通过社交工程手段,诱骗员工提供敏感信息或访问系统,需要加强员工的安全意识培训,教育他们识别和防范钓鱼攻击。
●合规性要求
医保体系需要遵守相关的数据保护法规和隐私法规,如《网络安全法》《数据安全法》《个人信息保护法》等,需要建立合规性框架和流程,以确保数据的合规性和安全性。
基于以上风险评估,结合国家医保局的指导意见和地方医保局的实际情况,昂楷从先进性、可执行性、完整性和效益方面考虑,遵循统筹规划与局部发力并重原则、管理与技术并重原则、预防与处置并重原则、防护与应用并重原则为医疗保障体系设计了可落地的数据安全防护方案。
医疗保障体系数据安全保护工作的落地执行需要内外部多方面的支撑与协作,具体来讲就是组织体系、管理体系、技术体系和运营体系四大部分的统筹建设。
梳理医疗保障体系现有数据安全管理团队情况,为其在数据安全管理方面搭建数据安全防护管理的组织架构,依据医疗保障体系数据安全防护要求和目标,对组织架构中各岗位划分数据安全责任,落实数据安全管理职责。
采用分层设计,顶层文件规划数据安全管理工作的顶层方针、策略、基本原则和总的管理要求;第二层文件明确数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求;第三层对医保体系数据各生命周期及具体某个安全域的操作流程、规范,及相应的作业指导书或指南制定配套的模板文件;第四层为执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等。层与层之间,同一层不同模块之间相互逻辑关联。
围绕数据的生命周期进行监控与防御,及时发现数据及数据平台的异常,从防范、控制、追溯等不同阶段、不同维度进行安全保障。2022年已建成了全国统一的医保信息平台,总体应用架构采用中台设计模式,根据承载业务对象不同,将中台划分为核心业务区中台和公共服务区中台,不同服务区的中台又由不同的网络承载。
从业务、合规等需求中提炼出相应的运营指标;通过持续监测、风险识别、安全防护、应急响应等手段落实到日常运营工作中;通过风险评估、定期审计、意识培训等考核监督手段,不断总结、完善、优化运营指标和日常运营动作,实现“事前、事中、事后”的全过程覆盖。从以事后处置为核心,转向以事前预防为核心,支撑识别、预防、发现、响应等,变被动为主动,直至自适应的数据安全能力。
通过加强数据加密与隐私保护、安全审计与监控、访问控制与权限管理等措施,可以有效应对医保行业数据安全的痛点,提升医保体系数据的安全性和可靠性,为医保体系的数据安全治理保驾护航,保障医保制度的公平性和可持续发展。
提升医保数据的安全性:通过医保数据安全解决方案,可以有效防止数据泄露、篡改、滥用等风险,提升医保数据的安全性和可靠性。
保障医保制度的公平性和可持续发展:通过对医保支付数据的安全管理,可以防止医保基金的浪费和滥用,维护医保制度的公平性和可持续发展。
提升医保行业的公信力:通过加强数据安全管理,可以提升医保行业的公信力,增强公众对医保制度的信任。
保护个人隐私和财产安全:通过数据加密和隐私保护措施,可以有效保护个人医疗数据和财产安全,维护个人隐私权益。
医疗无小事,作为关系国计民生的重要领域,医疗数据关系到千千万万患者的隐私和健康安全。统筹网络安全保障和数据安全保护,夯实医疗保障信息化发展的安全底线,推动医保大数据建设需要医疗保障体系与各大数据安全厂商共同发力,昂楷科技将继续精耕医疗领域,为医疗保障体系筑牢安全防线,推进合法合规的数据使用、流通、共享提供有力支撑。