一、數(shù)據(jù)分類分級(jí)的必要性

　　伴隨智慧醫(yī)院建設(shè)，許多醫(yī)院應(yīng)用數(shù)字化和健康醫(yī)療大數(shù)據(jù)，提供精準(zhǔn)預(yù)約、智能預(yù)問診、處方外配、臨床輔助決策、專病研究等數(shù)據(jù)服務(wù)，提升患者就醫(yī)體驗(yàn)、醫(yī)療質(zhì)量和醫(yī)院管理能力。醫(yī)院的健康醫(yī)療數(shù)據(jù)一方面為智慧醫(yī)院建設(shè)提供重要支撐，蘊(yùn)含著巨大價(jià)值，另一方面也隱含了大量的個(gè)人隱私，隱藏著巨大的數(shù)據(jù)安全風(fēng)險(xiǎn)。如何開展數(shù)據(jù)安全治理工作，防范健康醫(yī)療數(shù)據(jù)泄露、保護(hù)患者個(gè)人隱私，以充分釋放健康醫(yī)療數(shù)據(jù)的價(jià)值，是擺在醫(yī)院CIO們面前的一道難題。

　　依據(jù)國際咨詢機(jī)構(gòu)Gartner的數(shù)據(jù)安全治理框架，數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全治理過程中至關(guān)重要的環(huán)節(jié)，是數(shù)據(jù)安全保護(hù)工作開展的前置條件。網(wǎng)絡(luò)安全等級(jí)保護(hù)工作的保護(hù)對(duì)象是重要的信息系統(tǒng)，而醫(yī)院數(shù)據(jù)安全治理工作的保護(hù)對(duì)象是敏感數(shù)據(jù)。如果不知道醫(yī)院內(nèi)部的擁有哪些數(shù)據(jù)，不知道數(shù)據(jù)分布在哪里，不清楚數(shù)據(jù)的含義，不了解哪些是敏感數(shù)據(jù)，將導(dǎo)致醫(yī)院的數(shù)據(jù)安全保護(hù)工作難以有效的開展。因此，醫(yī)院在開展數(shù)據(jù)安全治理工作時(shí)，首先需要開展醫(yī)院數(shù)據(jù)分類分級(jí)工作，對(duì)醫(yī)院的健康醫(yī)療數(shù)據(jù)進(jìn)行盤點(diǎn)與識(shí)別，按照既定標(biāo)準(zhǔn)進(jìn)行歸類、確定等級(jí)，才能明確哪些數(shù)據(jù)需要重點(diǎn)保護(hù)、需要如何保護(hù)、哪些數(shù)據(jù)可以開放共享、如何開放共享等問題，才能讓數(shù)據(jù)的保護(hù)工作有理有據(jù)有序的開展起來，才能切實(shí)提高數(shù)據(jù)安全保護(hù)的效率和效果。

　　同時(shí)，醫(yī)院基于數(shù)據(jù)分類分級(jí)開展數(shù)據(jù)保護(hù)工作，也是具有法律依據(jù)的。2021年頒布實(shí)施的《中華人民共和國數(shù)據(jù)安全法》明確要求應(yīng)當(dāng)對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)，《中華人民共和國個(gè)人信息保護(hù)法》明確規(guī)定對(duì)個(gè)人信息進(jìn)行分類保護(hù)。

二、數(shù)據(jù)分類分級(jí)工作的復(fù)雜性

　　盡管明確了數(shù)據(jù)分類分級(jí)工作，在數(shù)據(jù)安全治理工作中的重要性。對(duì)于許多醫(yī)院CIO來說，數(shù)據(jù)分類分級(jí)該從何做起，該怎么做，依然是一件十分困難的事情。

　　如何選擇數(shù)據(jù)的分類維度

　　臨床科研數(shù)據(jù)中心建設(shè)過程中進(jìn)行的數(shù)據(jù)分類，通常是根據(jù)業(yè)務(wù)類別、數(shù)據(jù)來源、數(shù)據(jù)用途等多個(gè)維度，對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行劃分，將同類型數(shù)據(jù)存放在一起，便于快速查找需要的內(nèi)容和數(shù)據(jù)開發(fā)利用，但是通常忽略了數(shù)據(jù)安全合規(guī)保護(hù)的需要。

　　如何定義數(shù)據(jù)的安全等級(jí)

　　在健康醫(yī)療數(shù)據(jù)分級(jí)時(shí)，需要找到一個(gè)合適的級(jí)數(shù)別，使得在使用過程中達(dá)到效率和安全管控的平衡。過多的分級(jí)會(huì)給實(shí)際使用帶來困難，太少的分級(jí)又會(huì)使得管控難以精準(zhǔn)地約束數(shù)據(jù)；對(duì)數(shù)據(jù)定義過高的安全等級(jí)，則直接影響數(shù)據(jù)的開發(fā)利用和共享交換，對(duì)數(shù)據(jù)定義過低的安全等級(jí)，有可能無法達(dá)到數(shù)據(jù)合規(guī)保護(hù)的要求。

　　如何提升數(shù)據(jù)分類分級(jí)工作效率

　　健康醫(yī)療數(shù)據(jù)數(shù)量龐大，許多大型三甲醫(yī)院僅僅HIS系統(tǒng)就有超過1萬張數(shù)據(jù)表，單純依靠人工進(jìn)行分類分級(jí)打標(biāo)是極大的工作量，且難以追蹤數(shù)據(jù)資產(chǎn)變化。如何提升分類分級(jí)效率，降低工作量，是數(shù)據(jù)分類分級(jí)落地的實(shí)質(zhì)性難題。

三、健康醫(yī)療數(shù)據(jù)分級(jí)分類實(shí)踐思路

　　醫(yī)院的健康醫(yī)療數(shù)據(jù)分類分級(jí)工作，可以通過五個(gè)步驟來進(jìn)行實(shí)施，見下圖。

　　圈定范圍

　　分類分級(jí)建設(shè)的第一步是圈定分類分級(jí)的范圍，明確數(shù)據(jù)的管理主體。圈定分類分級(jí)的范圍才能針對(duì)性的建立組織保障體系，明確主體責(zé)任。數(shù)據(jù)管理主體的確定是數(shù)據(jù)分類準(zhǔn)確性和定級(jí)準(zhǔn)確性的基本保證。

　　建立組織保障

　　醫(yī)院數(shù)據(jù)分類分級(jí)工作是一項(xiàng)龐大的工程，涉及到醫(yī)院的數(shù)十個(gè)醫(yī)療信息系統(tǒng)及其軟件供應(yīng)商。因此，數(shù)據(jù)分類分級(jí)工作的開展，需要獲得醫(yī)院領(lǐng)導(dǎo)和各個(gè)相關(guān)部門的支持，做好各個(gè)相關(guān)部門和醫(yī)療軟件供應(yīng)商的溝通協(xié)調(diào)工作。組建專門的團(tuán)隊(duì)、制定工作流程和制度、確定專門的決策團(tuán)隊(duì)和領(lǐng)導(dǎo)人，以保證分類分級(jí)工作可正常有序的開展。

　　制定分類分級(jí)標(biāo)準(zhǔn)

　　針對(duì)數(shù)據(jù)分類維度選擇、數(shù)據(jù)安全等級(jí)定義的問題，可以參考《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020)、《信息安全技術(shù)個(gè)人信息安全規(guī)范》(GB/T35273-2020)及其他行業(yè)標(biāo)準(zhǔn)，制定符合醫(yī)院的健康醫(yī)療數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)。

　　下表是依據(jù)《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》的一個(gè)數(shù)據(jù)分類表。

　　根據(jù)醫(yī)療數(shù)據(jù)重要程度、風(fēng)險(xiǎn)級(jí)別、可能造成的損害以及影響的級(jí)別，可以將數(shù)據(jù)分為以下五個(gè)安全級(jí)別，五級(jí)數(shù)據(jù)的安全防護(hù)要求最高，下表是《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》中的醫(yī)療數(shù)據(jù)安全等級(jí)定義。

　　下表是結(jié)合某三甲醫(yī)院實(shí)際情況和數(shù)據(jù)安全合規(guī)保護(hù)要求，制定的醫(yī)院數(shù)據(jù)分類分級(jí)規(guī)范示例（部分）。

　　數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)

　　接下來是針對(duì)確定范圍內(nèi)的醫(yī)療信息系統(tǒng)數(shù)據(jù)庫，開展數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工作。通常是通過專門的數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具，使用配置的醫(yī)療信息系統(tǒng)數(shù)據(jù)庫賬號(hào)、數(shù)據(jù)庫IP、實(shí)例等信息，連接數(shù)據(jù)庫進(jìn)行自動(dòng)化的數(shù)據(jù)資產(chǎn)掃描，獲取數(shù)據(jù)庫schema、數(shù)據(jù)表、視圖、數(shù)據(jù)表字段、存儲(chǔ)過程、觸發(fā)器等信息，數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具依據(jù)獲取的這些信息，生成醫(yī)院的數(shù)據(jù)資產(chǎn)目錄。

　　分類分級(jí)打標(biāo)

　　最后，依據(jù)所制定的醫(yī)院健康醫(yī)療數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，通過數(shù)據(jù)資產(chǎn)分析工具對(duì)數(shù)據(jù)源自動(dòng)掃描分析并結(jié)合人工審核，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)打標(biāo)，標(biāo)識(shí)敏感數(shù)據(jù)，識(shí)別敏感數(shù)據(jù)資產(chǎn)，進(jìn)行分類統(tǒng)計(jì)，形成醫(yī)院的敏感數(shù)據(jù)資產(chǎn)目錄。

　　需要特別提到的是，由于健康醫(yī)療數(shù)據(jù)格式復(fù)雜多樣，盡管數(shù)據(jù)資產(chǎn)分析工具使用正則匹配、機(jī)器學(xué)習(xí)、NLP自然語言處理等模型算法能極大提升數(shù)據(jù)文本分類的識(shí)別率和準(zhǔn)確率，但是仍然需要結(jié)合人工對(duì)數(shù)據(jù)分類結(jié)果進(jìn)行審核，對(duì)數(shù)據(jù)分類識(shí)別規(guī)則進(jìn)行優(yōu)化和運(yùn)營。

四、結(jié)語

　　隨著國家“健康中國2030”戰(zhàn)略的推進(jìn)，“三位一體”智慧醫(yī)院建設(shè)工作的深化，數(shù)據(jù)安全和個(gè)人信息保護(hù)相關(guān)法律法規(guī)的持續(xù)健全，健康醫(yī)療數(shù)據(jù)安全將成為各級(jí)衛(wèi)生醫(yī)療行政主管機(jī)構(gòu)、各級(jí)衛(wèi)生醫(yī)療機(jī)構(gòu)的重點(diǎn)工作。與網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)一樣，醫(yī)院的數(shù)據(jù)安全治理工作是一個(gè)持續(xù)和漫長的過程，健康醫(yī)療數(shù)據(jù)分類分級(jí)僅僅是數(shù)據(jù)安全治理工作的開始。通過建立醫(yī)院網(wǎng)絡(luò)信息與數(shù)據(jù)安全管理機(jī)構(gòu)，制定醫(yī)院數(shù)據(jù)安全管理制度，持續(xù)推進(jìn)和實(shí)施數(shù)據(jù)安全管理和保護(hù)工作，提升數(shù)據(jù)安全治理與開發(fā)利用的技術(shù)水平，才能從容應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)與挑戰(zhàn)，讓健康醫(yī)療數(shù)據(jù)發(fā)揮最大價(jià)值。

[責(zé)編：姚坤森 ]

相關(guān)知識(shí)

醫(yī)療大數(shù)據(jù)安全與隱私保護(hù)：數(shù)據(jù)分類分級(jí)的基石作用
醫(yī)療健康大數(shù)據(jù)分類分析.docx
《廣東省醫(yī)療健康數(shù)據(jù)安全分類分級(jí)管理技術(shù)規(guī)范》團(tuán)體標(biāo)準(zhǔn)發(fā)布實(shí)施 保障醫(yī)療健康數(shù)據(jù)安全
醫(yī)療健康大數(shù)據(jù)分類分級(jí)使用標(biāo)準(zhǔn)研究（一）
循證醫(yī)學(xué)：證據(jù)的分類、分級(jí)與推薦
醫(yī)療健康數(shù)據(jù)分析
健康醫(yī)療數(shù)據(jù)共享分析平臺(tái)
《健康醫(yī)療數(shù)據(jù)安全指南》數(shù)據(jù)安全措施實(shí)踐
健康數(shù)據(jù)實(shí)時(shí)分析
經(jīng)驗(yàn)淺談：天津市哪家醫(yī)院治療男科較好

網(wǎng)址: 經(jīng)驗(yàn)分享丨淺談健康醫(yī)療數(shù)據(jù)分類分級(jí)的實(shí)施 http://m.gysdgmq.cn/newsview1264109.html