近日，国家医疗保障局发出《关于印发加强网络安全和数据保护工作指导意见的通知》，涵盖了“总体要求、加强网络安全管理、加强数据安全保护、保障措施”四大部分。

《通知》指出：到2022年，基本建成基础强、技术优、制度全、责任明、管理严的医疗保障网络安全和数据安全保护工作体制机制。到“十四五”期末，医疗保障系统网络安全和数据安全保护制度体系更加健全，智慧医保和安全医保建设达到新水平。

《通知》强调，要有效实施数据安全管理，全面建立数据安全审批制度，全面落实分级分类管理及重要数据保护目录，实现数据全生命周期安全管理，数据安全评估机制日益完善。

医疗保障信息化是医疗保障事业高质量发展的基础，是医保治理体系和治理能力现代化的重要支撑。数据作为重要的生产资料，加强数据安全保护是基础要求。在确保数据安全的基础之上，如何利用好医疗大数据，实现数据安全、合规应用，助力医疗信息化发展，给医疗机构、患者带来更加安全、智能、经济的应用体验，是医卫行业未来要探讨的重要方向之一。

《通知》关于加强数据安全保护提出了七大要求，其中有三个关键要求如下：

一是实施数据全生命周期安全管理。依法依规对数据的产生、传输、存储、使用、共享、销毁等实行全生命周期安全管理，提高数据安全防护能力和个人隐私保护力度……采用适当的系统架构、技术手段对数据传输和数据存储进行安全加固，确保数据安全和高效可用等。

二是实施分级分类管理。根据本单位本系统数据安全保护的实际需要，结合医疗保障数据特点，制定统一的分级分类管理制度，按照数据分级分类保护标准、规则，对数据划分安全等级，实行分级分类管理。地方医保部门要落实分级分类规则标准，参照《国家医疗保障局数据安全管理办法》制定本地的数据安全管理办法。

三是加强重要数据和敏感字段保护。制定重要数据保护目录，对列入目录的数据进行重点保护，涉及国家秘密、工作秘密的数据应严格保密，不予共享及公开。建立敏感数据字段库，包含但不限于个人隐私数据、参保单位隐私数据、协议机构隐私数据、药品诊疗目录项目隐私数据等。

医院数据安全治理该如何进行？

数据安全治理是一项系统性工程，过程和架构都很重要。如果直接从产品部署入手，缺少部署前的梳理/调研/分析等过程，往往产品实现效果会大打折扣！即使再整改，也往往可能会造成大量的重复投资和浪费。Gartner的DSG数据安全治理模型因为其全面且无产品和技术的偏向性，并经过了大量实践证明的可落地指导性，广受业务认可。

同泰信安建议参考Gartner DSG模型将数据安全治理工作分为5个步骤来实现：

1. 梳理业务，平衡业务与风险法规，确定项目目标和范围；

2. 梳理价值数据，对数据进行分类分级，并绘制数据地图；

3. 调研数据安全现状，进行差距分析，并基于数据生命周期制定相应的数据安全防护和管控策略；

4. 通过部署6大类安全产品，使得制定的数据安全策略能够落地为安；

5. 持续的改进和优化数据安全策略，同步覆盖到数据的中心、网络、终端。