本文由南京市中医院信息中心副主任国强投递并参与由数智猿×数据猿×上海大数据联盟共同推出的
医疗行业作为典型的高价值数据密集型领域,承载着海量患者隐私数据、临床诊疗记录及生物基因信息等核心敏感数据,其安全防护直接关乎公众健康权益、医疗机构公信力乃至社会稳定。在数字化转型浪潮下,智慧医疗、互联网医院等新业态的蓬勃发展与医疗大数据平台的建设,使得数据流动加剧、应用场景复杂化,数据泄露与滥用风险呈指数级增长态势。
监管层面,《数据安全法》、《个人信息保护法》与《医疗卫生机构网络安全管理办法》等,均对医疗数据安全提出了明确合规要求。
为深入贯彻国家健康中国战略,保障医疗数据全生命周期安全,提升医院数据治理能力,南京市中医院依据国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019,简称“DSMM”),系统构建以业务驱动安全、以安全赋能业务的数据安全防护体系,以实现数据安全治理与医疗服务创新的动态平衡。
南京市中医院(南京中医药大学附属南京中医院、南京市中医院互联网医院、南京市体育医院),成立于1934年,现有2个院区,在职人数1985人。南京市中医院,是新中国成立最早的中医医院之一,传承金陵医派,发展到现在已是一所中医特色突出,现代医技科室设置完善,急诊急救水平过硬的现代化大型三级甲等中医医院。2020年通过互联互通标准化成熟度测评四级甲等。2021年通过电子病历应用水平分级评价五级评审。2025年入选国家中医药管理局智慧中医医院试点项目建设单位名单,并通过国家“智慧服务三级”评审。
其二,安全防护 碎片化,缺乏体系的数据安全建设。因平台规模庞大,数据安全建设需分阶段推进,但实施过程常呈现零散化、孤立化特点,各阶段间缺乏科学衔接,根源在于缺失体系化的分阶段解决方案。
其三,数据安全管理制度与标准体系不健全。数据安全制度体系尚不完备,数据安全管理和标准体系亟待完善,以支撑系统性数据安全治理需求。
我们摒弃了“打补丁式”的安全建设,依据“DSMM”二级标准,借鉴供应商丰富的行业实践,设计了一套体系化的数据安全平台建设方案,不仅能快速识别敏感数据和重要资产,实现数据的智能分类分级,还能深度分析数据处理活动中用户、角色与权限的关联关系,并针对不同级别、类别的数据量身定制安全策略与规划。同时建立属于南京中医院的数据安全管理组织,形成跨部门协作的数据安全管理机制,帮助医院更好地了解和应对数据安全层面的风险,系统性地提升医院的数据安全防护能力。
在这个架构下,我们“体系规划、分段实施”,引入数据分类分级、数据库安全审计、数据库加密、数据脱敏、数据水印溯源、数据库运维管理、数据库运行安全管理、数据安全管理平台等技术手段,构建覆盖数据全链路的数据安全技术防护体系。同步配套开展安全意识培训、技术培训、制度建设等,实现数据安全防护能力的整体跃升。
敏感资产梳理及数据分类分级。基于《信息安全技术个人信息安全规范》(GB/T 35273-2020)、BG大游《信息安全技术—健康医疗数据安全指南》、《江苏省公共数据管理办法》等,我们采用调研访谈、文件分析与工具探查相结合的方式,多维度了解数据资产,形成数据资产清单、数据权限现状和数据流向图。同时,引入自动化工具“数据安全分类分级平台”辅助落地实施,基于自然语言处理(NLP)的医疗数据自动分类引擎,训练“脉象”“舌苔”“方剂组成”等中医术语词库,对电子病历、中药处方、科研文献等非结构化数据进行语义识别,自动标注敏感等级,如“患者身份证号-极高敏感”、“中药配方-中敏感”、“科研统计数据-低敏感”。数据资产盘点及分类分级覆盖医院HIS、LIS、PACS、电子病历系统、科研数据平台等核心业务系统,并根据识别结果形成《数据资产清单》、《数据分类分级管理目录》及《数据分类分级报告》等。相关的结果直接指导后续数据访问权限设计,建立分级管控矩阵,为数据脱敏、权限管理、访问控制、审计溯源等提供策略联动依据。
针对数据脱敏,我们建立了医院静态脱敏数据库和动态脱敏机制,实现数据自动化脱敏,全方位保护敏感数据,一方面防止生产数据的泄露,另一方面提升数据共享的数据质量,同时满足监管部门的脱敏要求。针对电子病历中“患者姓名、身份证号、联系方式”等敏感字段,通过动态脱敏技术,根据诊疗、科研、会诊等不同场景需求“按场景脱敏”。我们还引入联邦学习技术,实现中医临床科研场景的“数据不动模型动”,各研究机构仅共享模型参数,原始病历数据不出院,既保障科研协作又确保数据安全,为“中医辨证论治AI模型研发”等多项省级重点科研项目提供了安全可靠的数据支撑。
国强,男,南京市中医院信息中心副主任(高级工程师),参与并主持南京市中医院信息化建设工作,医院目前已经达到互联互通四甲、电子病历五级、智慧服务三级水平。国家中医药管理局监测统计中心智慧中医医院试点项目专家,江苏省级电子病历系统应用水平分级评价专家,荣获医院信息化建设杰出人物,医疗卫生健康行业优秀CTO。
