数据安全治理，是每一家医疗健康企业都无法避开的重要安全保障环节，有一套良好的安全治理规范，可以帮助企业降低数据安全隐患，提升数字化应用能力。近日，医疗健康行业资深安全专家顾伟博士、谷安天下信息技术咨询合伙人张兵，从组织、流程、法规要求、治理实践等角度，就医疗健康行业在数据安全治理中的关键环节和难点，分享了他们的实践经验与应用观点。

顾伟

某创新生物制药公司首席信息安全官，谷安学院资深学员。目前持有CISSP、CCSP、CIPM、CISA、DPO、CISM、CGEIT、CRISC、CDPSE、CISP、CCIE、CCSK、CZTP、CDSP、GIAC、PMP、Prince2 Foundation、Prince2 Practitioner、AgilePM Foundation、AgilePM Practitioner、COBIT 5 Foundation、ITIL v3 Foundation、ITIL v3 Intermedia 和 Lean IT Practitioner等证书。

张兵

谷安天下信息技术咨询服务合伙人，全国金融标准化技术委员会证券分技术委员会专家，数据安全治理联盟专家，主持编写《数据防泄露（DLP）选型指南》、《中小银行数据安全治理研究报告》，参与编写《数据安全治理白皮书》，负责实施了多个数据安全和个人信息保护咨询项目。

问题1：医疗健康公司的业务发展战略与数据安之间有何关系？

顾伟

我们公司在中美两个国家设置有分支机构，研发数据、生产制造数据、经营销售数据是公司的重要数据，支撑着企业的业务发展。另外，个人信息也是数据安全合规和隐私保护的内容。

张兵

医疗健康行业中的多数企业，不仅在生产经营中“创造”重要数据，而且正在思考或已经开始实践“使用”数据来创造更大的业务价值，开创了基于“数据分析”、 “数据引领业务”的数字化转型新局面。

问题2：医疗健康行业公司面临的数据安全合规要求有哪些？

顾伟

我们公司对数据安全合规非常重视，设置有专门的部门，密切关注监管要求的变化，积极进行分析研究，保障公司在数据安全方面的合法合规。重点关注的法规要求主要包括《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国人类遗传资源管理条例》、《数据出境安全评估办法》、HIPAA、CCPA、CPRA等。

问题3：医疗健康行业公司的IT规划与数据安全治理的关系如何？

顾伟

数据安全治理是IT规划的输入因素，IT规划覆盖数据安全和隐私保护的内容。公司在制定和更新IT规划和IT年度计划的时候，会把数据安全治理一并考虑，数据安全治理的规划是完整的IT规划的重要组成部分。比如，今年公司开展的数据安全治理的工作就是IT规划中的任务。

张兵

IT规划通常包括系统架构、数据架构、基础架构、集成架构、IT治理等内容。数据安全治理的管控体系设计，应充分考虑IT规划的各个部分，并与之相适应。比如，如果IT规划中包含有信创计划，那么在选择数据安全保护技术和产品时，应适配信创环境。

问题 4：医疗健康行业公司对数据安全风险的容忍度如何？

顾伟

我们公司对数据安全风险非常“厌恶”，高级管理层非常重视知识产权，完全了解科研数据是企业的核心竞争力和生命线，也愿意投入资源建设数据安全治理体系。在数据安全治理的过程中，保障业务效能和安全的平衡，进行动态调节，充分考虑业务的重要性，根据对外部风险和内部状态的持续评估，对重点领域进行重点建设。

张兵

数据安全保护需要企业持续的投入，不仅在数据安全治理阶段，而且在数据安全管理阶段（安全运营），投入不仅体现在资金，而且包括人力和时间，所以，采用科学的方法开展数据安全治理尤为重要。根据以往数据安全治理项目的经验，我们建议在数据安全建设时采用2-8原则，即用20%的投入控制80%的风险，避免投资过大。

问题 5：医疗健康行业公司开展数据安全治理的驱动力是什么？

顾伟

一是满足合规要求，二是数据泄露事件造成的经济损失，三是行业性的抗风险（数据安全风险）的影响。我们注意到同业在信息安全（包括数据安全）方面的投入越来越大，监管部门的引导工作也是行之有效，所以，公司的各级领导和普通员工，对数据安全治理的理解越来越深，大家思想上趋向一致。

张兵

根据实际项目经验，我们发现企业开展数据安全治理的驱动力主要来自四个方面：

• 满足法律法规的要求；
• 抵御来自内外部的安全攻击（数据安全泄露事件）；
• 数据安全管理能力的缺失；
• 数据安全保护工具的失效。

其中，合规和安全事件驱动是目前最为典型的驱动因素。

问题 6：医疗健康行业公司开展数据安全治理的方法论是什么？

顾伟

我们会根据DSMM，也就是国标GB/T37988数据安全能力成熟度模型，来评估公司数据安全能力的现状，看看目前是什么级别，然后从组织建设、制度流程、技术工具、人员能力四个维度和30个过程域进一步提升。

张兵

我们建议企业采用科学的方法开展数据安全治理，目前比较流行的方法论包括：微软DGPC框架、Gartner DSG框架、DSMM模型以及国标GB/T41479网络数据处理安全要求等。

问题 7：医疗健康行业公司在数据安全管理中面临的主要挑战是什么？

顾伟：

通过实际的数据安全治理的工作，我有比较深的体会，开展数据安全管理需要条件：

1. 高级管理层的支持，数据安全治理需要协调整个公司是资源，如果没有高级管理层的支持，是难以成功的；
2. 业务部门的支持和配合，很多业务数据，我们信息安全的同事理解起来不太容易，业务部门和我们一起工作，将会事半功倍；
3. 安全部门的领导能力，数据安全治理由安全部门来牵头，对管理能力、技术能力、协调能力的要求都很高，安全部门的领导能力足够强，其他部门才愿意配合。

张兵

伴随着国家多项目有关数据安全法律法规的颁布，大部分企业的高管都能意识到数据安全的重要性，能够支持甚至指导企业的数据安全治理工作。在治理过程中，因为数据的所有者是业务部门，并且安全管控与工作效率天然存在矛盾，所以业务部门是否支持和配合是数据安全治理能否成功的关键因素。数据安全治理是新颖和复杂的，并且需要较高的管理能力和技术能力，这些对安全部门都是挑战。

问题 8：医疗健康行业公司数据分类分级可以采用什么方法?

顾伟：

我们会参考国标GB/T39725-2020（信息安全技术健康医疗数据安全指南）开展数据分类分级，但是效果不好。一方面是因为国标和我们的实际数据并不一样，我们对业务和业务数据的理解不够深，另一方面，我们缺少数据分类分级的专业能力，知识和经验都有欠缺。

张兵

数据分类分级是企业数据安全治理的基础，目的是识别出敏感数据，以便于分析敏感数据的安全风险并设计针对性的管理机制。GB/T39725是指导健康医疗行业开展数据安全治理的国家推荐性标准，但是具体到细分领域的工作，还是需要专业人员的能力和经验。作为数据分类分级的方法，可以参考其他行业或机构的一些好的做法。例如，《证券期货业数据分类分级指引》所采用的从业务到数据的分析方法，具有很强的逻辑性和普遍的适用性，其他行业也可以借鉴使用。

问题 9：医疗健康行业公司敏感数据的分布是如何统计的？

顾伟：

目前我们采用人工方式来收集统计敏感数据的分布情况，也在了解和测试相关的技术工具，这项工作正在进行中。

张兵

敏感数据的分布，是指敏感数据在数据库里（结构化数据）或以电子文件的形式（非结构化数据）在企业的网络环境里存在的位置，也称为数据发现。只有准确完整的发现敏感数据，才能设计出有效的安全保护措施。数据发现可采用技术工具扫描和数据安全专业人员人工分析两种方式，通常需要两种方式结合使用。技术工具扫描大约可以发现60%~70%的数据。

问题 10：医疗健康行业公司可以采用哪种方法来评估数据安全风险，都有哪些典型的风险

顾伟：

我们主要采用DSMM来指导数据安全治理，所以会对标DSMM的四个维度和30个过程域，分析能力上的不足，同时也作为数据安全风险评估的结果。

张兵

狭义的数据安全风险评估，只关注数据的生命周期各个环节的安全风险。而广义的数据安全风险评估，需要关注更为广泛的范围。

问题 11：您所在的公司是否制定了对敏感数据的访问控制规则？

顾伟：

对数据的访问控制规则，之前是通过对信息系统的访问控制来实现的，也就是对人员账号和权限的管理。现在细化到对数据的访问控制，需要管理的颗粒度更细一些，目前我们的安全部门和业务部门正在进行梳理，对于细化到什么程度，我们也正在探索。

张兵：

对敏感数据的访问控制规则是指授权哪些人可以访问敏感数据。访问包括对数据的增删改查等操作。对敏感数据的访问控制规则是数据安全管控机制具体实施的原则。访问控制规则的颗粒度要适当，太细的话，会增加管理的难度和成本。

问题 12：贵公司数据安全管理的组织架构和职责是怎样的，是否确定了数据安全责任人？

顾伟：

目前，数据安全管理由安全部门负责。对于数据安全管理的组织架构和职责，以及数据安全责任人，我们计划通过正在开展的数据安全治理工作逐步落实下来。

张兵：

通常，数据安全管理的组织架构由决策层、管理层、执行层、监督层组成。根据《中华人民共和国数据安全法》，企业应确定数据安全责任人。

问题 13：贵公司目前发布了哪些数据安全管理的制度？

顾伟：

我们已经制定了数据安全管理制度，还有一些零散的制度和流程，但目前没有形成制度的体系化。在数据安全治理的实施计划中，制度建设是主要的工作内容，在今年会落实下来。

张兵：

根据《中华人民共和国数据安全法》，企业需要建立下图所示的相关数据安全管理制度。

问题 14：贵公司目前部署了哪些数据安全保护的技术或工具？

顾伟：

之前还没有部署具体的数据安全产品。在目前正在开展的数据安全治理计划里，会优先考虑DLP、终端安全、应用层加密等技术或产品，现在已经对一些产品进行了研究和测试，会随着数据安全治理工作的开展，在技术上落地。

张兵：

数据安全保护技术或工具的选用，应根据数据安全风险评估的结果确定。比较常用的工具包括加密（数据库加密、文档加密、传输加密等）、数据库防火墙、数据库审计、数据防泄露（终端DLP、网络DLP、邮件DLP）、用户行为分析、身份认证等。

问题 15：贵公司是否建立了定期数据安全风险评估或数据安全审计的机制？

顾伟：

我们计划定期开展数据安全风险评估，相关制度也会在数据安全治理的工作中制定。因为涉及到组织建设、评估方法、评估流程、评估报告、绩效考核等较多工作，需要多个部门协调起来，所以我们会统筹安排。

张兵：

数据安全治理不仅是对敏感数据的生命周期设置安全保障手段，而且包括数据安全运营的各项工作，其中定期数据安全风险评估或数据安全审计是有效的办法。

问题 16 ：贵公司是否建立了数据安全事件管理或应急管理机制？

顾伟：

我们的信息安全管理体系是比较健全的，信息安全的事件管理机制较为成熟，所以在信息安全事件管理和应急管理中增加了数据安全的事件管理，我们感觉还是行之有效的。

张兵：

完善的信息安全管理体系是数据安全建设的良好基础，很多企业实施了ISO/IEC 27001信息安全管理体系认证和/或等保测评工作，在此基础上建设数据安全，都取得了不错的实际效果。