5、大数据医疗系统的安全与隐私保障

大数据医疗系统的安全与隐私保障

1. 系统升级与安全标准

在网络范围扩大或用户数量大幅增加时，各方在系统升级和增强方面变得非常有用。ISO/IEC 9798 - 2:2019 通过采用经过认证的加密机制提供实体认证信息，ISO/IEC 9798 - 3:2019 则采用数字签名技术机制提供实体认证信息。然而，这些标准列表及其详细内容可能会让系统集成商和医院管理人员望而却步，不敢考虑和实施。这时就需要网络安全专家凭借专业知识和技能，就所需采取和实施的安全措施的范围和程度提供建议。关键在于持续关注发展动态，并进行成本 - 效益分析，以便纳入和更新安全措施。

2. 医疗系统安全建议

为了在医疗服务中实现较高水平的安全，可参考以下建议：
1. 医疗机构应制定并公布经批准的用户认证和授权政策，涉及数据处理、发布和传输。
2. 物理过程层面和系统层面的认证与授权应分开，由不同协议处理。
3. 应限制或禁止远程用户（网络访问的第 2 层和第 3 层）访问敏感数据。
4. 在将物联网设备引入现有运营环境（如医疗行业）之前，需要根据安全标准评估其安全保护功能。采用设备类型批准等技术是验证设备/器材的常见做法。
5. 医疗机构应实施适当的技术和组织措施，管理其公共网络和服务的安全风险。这些措施包括但不限于 ISO22301 业务连续性认证和 ISO27001 信息安全管理认证。
6. 安全事件报告政策和系统最好符合 ITIL 等全球标准。
7. 医疗机构应定期对所有应用层、服务器和系统软件进行适当的安全评估，以识别潜在威胁和漏洞。在审计/测试中发现的差距应在规定时间内解决。
8. 医疗机构应与供应商建立适当的支持安排