一、數(shù)據(jù)分類分級的必要性

　　伴隨智慧醫(yī)院建設(shè)，許多醫(yī)院應(yīng)用數(shù)字化和健康醫(yī)療大數(shù)據(jù)，提供精準預(yù)約、智能預(yù)問診、處方外配、臨床輔助決策、專病研究等數(shù)據(jù)服務(wù)，提升患者就醫(yī)體驗、醫(yī)療質(zhì)量和醫(yī)院管理能力。醫(yī)院的健康醫(yī)療數(shù)據(jù)一方面為智慧醫(yī)院建設(shè)提供重要支撐，蘊含著巨大價值，另一方面也隱含了大量的個人隱私，隱藏著巨大的數(shù)據(jù)安全風(fēng)險。如何開展數(shù)據(jù)安全治理工作，防范健康醫(yī)療數(shù)據(jù)泄露、保護患者個人隱私，以充分釋放健康醫(yī)療數(shù)據(jù)的價值，是擺在醫(yī)院CIO們面前的一道難題。

　　依據(jù)國際咨詢機構(gòu)Gartner的數(shù)據(jù)安全治理框架，數(shù)據(jù)分類分級是數(shù)據(jù)安全治理過程中至關(guān)重要的環(huán)節(jié)，是數(shù)據(jù)安全保護工作開展的前置條件。網(wǎng)絡(luò)安全等級保護工作的保護對象是重要的信息系統(tǒng)，而醫(yī)院數(shù)據(jù)安全治理工作的保護對象是敏感數(shù)據(jù)。如果不知道醫(yī)院內(nèi)部的擁有哪些數(shù)據(jù)，不知道數(shù)據(jù)分布在哪里，不清楚數(shù)據(jù)的含義，不了解哪些是敏感數(shù)據(jù)，將導(dǎo)致醫(yī)院的數(shù)據(jù)安全保護工作難以有效的開展。因此，醫(yī)院在開展數(shù)據(jù)安全治理工作時，首先需要開展醫(yī)院數(shù)據(jù)分類分級工作，對醫(yī)院的健康醫(yī)療數(shù)據(jù)進行盤點與識別，按照既定標準進行歸類、確定等級，才能明確哪些數(shù)據(jù)需要重點保護、需要如何保護、哪些數(shù)據(jù)可以開放共享、如何開放共享等問題，才能讓數(shù)據(jù)的保護工作有理有據(jù)有序的開展起來，才能切實提高數(shù)據(jù)安全保護的效率和效果。

　　同時，醫(yī)院基于數(shù)據(jù)分類分級開展數(shù)據(jù)保護工作，也是具有法律依據(jù)的。2021年頒布實施的《中華人民共和國數(shù)據(jù)安全法》明確要求應(yīng)當(dāng)對數(shù)據(jù)實行分類分級保護，《中華人民共和國個人信息保護法》明確規(guī)定對個人信息進行分類保護。

二、數(shù)據(jù)分類分級工作的復(fù)雜性

　　盡管明確了數(shù)據(jù)分類分級工作，在數(shù)據(jù)安全治理工作中的重要性。對于許多醫(yī)院CIO來說，數(shù)據(jù)分類分級該從何做起，該怎么做，依然是一件十分困難的事情。

　　如何選擇數(shù)據(jù)的分類維度

　　臨床科研數(shù)據(jù)中心建設(shè)過程中進行的數(shù)據(jù)分類，通常是根據(jù)業(yè)務(wù)類別、數(shù)據(jù)來源、數(shù)據(jù)用途等多個維度，對業(yè)務(wù)數(shù)據(jù)進行劃分，將同類型數(shù)據(jù)存放在一起，便于快速查找需要的內(nèi)容和數(shù)據(jù)開發(fā)利用，但是通常忽略了數(shù)據(jù)安全合規(guī)保護的需要。

　　如何定義數(shù)據(jù)的安全等級

　　在健康醫(yī)療數(shù)據(jù)分級時，需要找到一個合適的級數(shù)別，使得在使用過程中達到效率和安全管控的平衡。過多的分級會給實際使用帶來困難，太少的分級又會使得管控難以精準地約束數(shù)據(jù)；對數(shù)據(jù)定義過高的安全等級，則直接影響數(shù)據(jù)的開發(fā)利用和共享交換，對數(shù)據(jù)定義過低的安全等級，有可能無法達到數(shù)據(jù)合規(guī)保護的要求。

　　如何提升數(shù)據(jù)分類分級工作效率

　　健康醫(yī)療數(shù)據(jù)數(shù)量龐大，許多大型三甲醫(yī)院僅僅HIS系統(tǒng)就有超過1萬張數(shù)據(jù)表，單純依靠人工進行分類分級打標是極大的工作量，且難以追蹤數(shù)據(jù)資產(chǎn)變化。如何提升分類分級效率，降低工作量，是數(shù)據(jù)分類分級落地的實質(zhì)性難題。

三、健康醫(yī)療數(shù)據(jù)分級分類實踐思路

　　醫(yī)院的健康醫(yī)療數(shù)據(jù)分類分級工作，可以通過五個步驟來進行實施，見下圖。

　　圈定范圍

　　分類分級建設(shè)的第一步是圈定分類分級的范圍，明確數(shù)據(jù)的管理主體。圈定分類分級的范圍才能針對性的建立組織保障體系，明確主體責(zé)任。數(shù)據(jù)管理主體的確定是數(shù)據(jù)分類準確性和定級準確性的基本保證。

　　建立組織保障

　　醫(yī)院數(shù)據(jù)分類分級工作是一項龐大的工程，涉及到醫(yī)院的數(shù)十個醫(yī)療信息系統(tǒng)及其軟件供應(yīng)商。因此，數(shù)據(jù)分類分級工作的開展，需要獲得醫(yī)院領(lǐng)導(dǎo)和各個相關(guān)部門的支持，做好各個相關(guān)部門和醫(yī)療軟件供應(yīng)商的溝通協(xié)調(diào)工作。組建專門的團隊、制定工作流程和制度、確定專門的決策團隊和領(lǐng)導(dǎo)人，以保證分類分級工作可正常有序的開展。

　　制定分類分級標準

　　針對數(shù)據(jù)分類維度選擇、數(shù)據(jù)安全等級定義的問題，可以參考《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020)、《信息安全技術(shù)個人信息安全規(guī)范》(GB/T35273-2020)及其他行業(yè)標準，制定符合醫(yī)院的健康醫(yī)療數(shù)據(jù)分類分級標準。

　　下表是依據(jù)《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》的一個數(shù)據(jù)分類表。

　　根據(jù)醫(yī)療數(shù)據(jù)重要程度、風(fēng)險級別、可能造成的損害以及影響的級別，可以將數(shù)據(jù)分為以下五個安全級別，五級數(shù)據(jù)的安全防護要求最高，下表是《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》中的醫(yī)療數(shù)據(jù)安全等級定義。

　　下表是結(jié)合某三甲醫(yī)院實際情況和數(shù)據(jù)安全合規(guī)保護要求，制定的醫(yī)院數(shù)據(jù)分類分級規(guī)范示例（部分）。

　　數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)

　　接下來是針對確定范圍內(nèi)的醫(yī)療信息系統(tǒng)數(shù)據(jù)庫，開展數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工作。通常是通過專門的數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具，使用配置的醫(yī)療信息系統(tǒng)數(shù)據(jù)庫賬號、數(shù)據(jù)庫IP、實例等信息，連接數(shù)據(jù)庫進行自動化的數(shù)據(jù)資產(chǎn)掃描，獲取數(shù)據(jù)庫schema、數(shù)據(jù)表、視圖、數(shù)據(jù)表字段、存儲過程、觸發(fā)器等信息，數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具依據(jù)獲取的這些信息，生成醫(yī)院的數(shù)據(jù)資產(chǎn)目錄。

　　分類分級打標

　　最后，依據(jù)所制定的醫(yī)院健康醫(yī)療數(shù)據(jù)分類分級標準，通過數(shù)據(jù)資產(chǎn)分析工具對數(shù)據(jù)源自動掃描分析并結(jié)合人工審核，對數(shù)據(jù)資產(chǎn)進行分類分級打標，標識敏感數(shù)據(jù)，識別敏感數(shù)據(jù)資產(chǎn)，進行分類統(tǒng)計，形成醫(yī)院的敏感數(shù)據(jù)資產(chǎn)目錄。

　　需要特別提到的是，由于健康醫(yī)療數(shù)據(jù)格式復(fù)雜多樣，盡管數(shù)據(jù)資產(chǎn)分析工具使用正則匹配、機器學(xué)習(xí)、NLP自然語言處理等模型算法能極大提升數(shù)據(jù)文本分類的識別率和準確率，但是仍然需要結(jié)合人工對數(shù)據(jù)分類結(jié)果進行審核，對數(shù)據(jù)分類識別規(guī)則進行優(yōu)化和運營。

四、結(jié)語

　　隨著國家“健康中國2030”戰(zhàn)略的推進，“三位一體”智慧醫(yī)院建設(shè)工作的深化，數(shù)據(jù)安全和個人信息保護相關(guān)法律法規(guī)的持續(xù)健全，健康醫(yī)療數(shù)據(jù)安全將成為各級衛(wèi)生醫(yī)療行政主管機構(gòu)、各級衛(wèi)生醫(yī)療機構(gòu)的重點工作。與網(wǎng)絡(luò)安全等級保護建設(shè)一樣，醫(yī)院的數(shù)據(jù)安全治理工作是一個持續(xù)和漫長的過程，健康醫(yī)療數(shù)據(jù)分類分級僅僅是數(shù)據(jù)安全治理工作的開始。通過建立醫(yī)院網(wǎng)絡(luò)信息與數(shù)據(jù)安全管理機構(gòu)，制定醫(yī)院數(shù)據(jù)安全管理制度，持續(xù)推進和實施數(shù)據(jù)安全管理和保護工作，提升數(shù)據(jù)安全治理與開發(fā)利用的技術(shù)水平，才能從容應(yīng)對數(shù)據(jù)安全風(fēng)險與挑戰(zhàn)，讓健康醫(yī)療數(shù)據(jù)發(fā)揮最大價值。

[責(zé)編：姚坤森 ]

相關(guān)知識

醫(yī)療大數(shù)據(jù)安全與隱私保護：數(shù)據(jù)分類分級的基石作用
醫(yī)療健康大數(shù)據(jù)分類分析.docx
《廣東省醫(yī)療健康數(shù)據(jù)安全分類分級管理技術(shù)規(guī)范》團體標準發(fā)布實施 保障醫(yī)療健康數(shù)據(jù)安全
醫(yī)療健康大數(shù)據(jù)分類分級使用標準研究（一）
循證醫(yī)學(xué)：證據(jù)的分類、分級與推薦
醫(yī)療健康數(shù)據(jù)分析
健康醫(yī)療數(shù)據(jù)共享分析平臺
《健康醫(yī)療數(shù)據(jù)安全指南》數(shù)據(jù)安全措施實踐
健康數(shù)據(jù)實時分析
經(jīng)驗淺談：天津市哪家醫(yī)院治療男科較好

網(wǎng)址: 經(jīng)驗分享丨淺談健康醫(yī)療數(shù)據(jù)分類分級的實施 http://www.gysdgmq.cn/newsview1264109.html