《数观天下:2023医疗行业商密解读分析报告(21页).pdf》由会员分享,可在线阅读,更多相关《数观天下:2023医疗行业商密解读分析报告(21页).pdf(21页珍藏版)》请在三个皮匠报告上搜索。
1、数 观 天 下数 观 天 下2023年2月 数观天下是致力于服务中国商用密码领域的卓越品牌和专业性分析媒体,以赋能商用密码领域实现更高成就为使命,连接和服务各大企业、机构投资者、地方政府、个人用户等商密行业内社群,推动商密行业快速、稳健、可持续地向前发展。数观天下团队在安全领域深耕多年,对商用密码行业发展有深入研究,拥有来自东软、启明、信安世纪等商密领域专家团队、行业分析团队及资深媒体团队。初心不忘共成长初心不忘共成长 凝心聚力谱新篇凝心聚力谱新篇团队介绍团队介绍落实商用密码领域关于技术、产品、市场及应用方面的交流活动,成为最懂甲方的商用密码行业咨询媒体。长远长远目标目标数 观 天 下政策背景
2、政策背景医疗现状医疗现状BUSINESS REPORT目录目录技术应用技术应用发展展望发展展望“健康强国健康强国”上升至国家战略上升至国家战略政策环境政策环境经济环境经济环境近年来,国家密集发布一系列医疗健康政策;健康中国2030规划刚要把医疗健康提升到了国家战略层面;远程医疗、区域协同、分级诊疗、互联网+医疗健康的概念初步成型。社会环境社会环境技术环境技术环境 健康中国2030规划刚要提出,到2030年,我国健康服务业总规模达到16万亿元,GDP的比重达到6.5%7%,行业发展空间巨大;近几年,大健康产业的多个细分领域受到资本关注。疫情刺激国民健康意识提升;我国人口老龄化现象日趋严重、居民疾
3、病谱变化,慢性非传染病患者逐年增长;我国居民收入增长、环境污染、遗传、生活习惯等因素影响,民众的健康医疗需求持续攀升 基因测序技术、3D打印技术、免疫疗法、人工智能、虚拟现实技术、生物芯片、大数据、云计算等技术逐步发展并在医疗健康行业中开展应用;技术的变革有望提升医疗服务水平,提高医疗资源供给与使用效率,将有效赋能大健康产业。数 观 天 下 政策驱动医疗机构政策驱动医疗机构信息化建设信息化建设 自2021年以来,国家卫健委等部门出台公立医院高质量发展促进行动(2021-2025年)、公立医院运营管理信息化功能指引、关于印发公立医院高质量发展评价指标(试行)的通知等一系列政策,将信息化作为医院基
4、本建设的优先领域,以电子病历、互联互通、智慧服务、智慧管理为代表的医疗信息化评级体系正式确立。目前,智慧医院建设已经成为公立医院高质量发展的重要评级标准。“以评促建”的要求和力度不断加大,将持续带动行业增长。评测指标评测指标认证机构认证机构评审方案评审方案等级等级具体内容具体内容互联互通(医院信息互联互通标准化成熟度测评)国家卫健委统计信息中心国家医疗健康信息互联互通标准化成熟度测评方案(2020 年版)七个等级一级、二级、三级、四级乙等、四级甲等、五级乙等、五级甲等测评指标包括:数据集标准化情况、共享文档标准化情况、技术架构情况、互联互通交互服务情况、平台运行性能情况、硬件基础设施情况、网络
5、及网络安全情况等电子病历评级(电子病历系统应用水平)国家卫健委医院管理研究所电子病历系统应用水平分级评价管理办法(试行)及评价标准(试行)(2018 年)0-8 共九个等级评价标准包含病房医师、病房护士、门诊医师、检查科室、检验处理、治疗信息处理,医疗保障、病历管理、电子病历基础、信息利用内容智慧服务(医院智慧服务分级评估)国家卫健委医院智慧服务分级评估标准体系(试行)(2019 年)0-5 级共 6 级对医院应用信息化为患者提供智慧服务的功能和患者感受到的效果两个方面进行评估,包括 5 大类、17 个评估项目,涵盖诊疗预约、远程、支付、家庭医生、转诊、直教等一系列患者诊前、诊中、诊后及全程服
6、务指标智慧管理(医院智慧管理分级评估)国家卫健委医政医管局医院智慧管理分级评估标准体系(试行)(2021 年)0-5 级共 6 级将医院管理业务划分为 10 大类角色,每一角色又细分出数项业务,共计 33 项评估项目数 观 天 下 卫健委提出信息化建设相关要求卫健委提出信息化建设相关要求在严格落实网络安全等级保护制度及商用密码应用等基础安全保障制度的基础上商用密码应用等基础安全保障制度的基础上,以关键信息基础设施安全为重点,落实数据出境安全管理制度,加强医疗设备相关网络和数据安全监管,全面落实网络安全管理要求。构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范,全面推广商用密码
7、应用,完善卫生健康行业商用密码应用体系全面推广商用密码应用,完善卫生健康行业商用密码应用体系。主要任务主要任务优先行动优先行动一是集约建设信息化基础设施支撑体系一是互通共享三年攻坚行动二是健全全民健康信息化标准体系二是健康中国建设(行动)支撑行动三是深化“互联网+医疗健康”服务体系三是智慧医院建设示范行动四是完善健康医疗大数据资源要素体系四是重点人群智能服务行动五是推进数字健康融合创新发展体系五是药品供应保障智慧监测应对行动六是拓展基层信息化保障服务体系六是数字公卫能力提升行动七是强化卫生健康统计调查分析应用体系 七是“互联网+中医药健康服务”行动八是夯实网络与数据安全保障体系八是数据安全能力
8、提升行动十四五全民健康信息化规划,部署八大重点任务,同时对商密应用提出要求十四五全民健康信息化规划,部署八大重点任务,同时对商密应用提出要求。2022年11月7日,国家卫生健康委、国家中医药局、国家疾控局下发了“十四五”全民健康信息化规划。提出“十四五”期间的总体目标:到2025年,初步建设形成统一权威、互联互通的全民健康信息平台支撑保障体系,基本实现公立医疗卫生机构与全民健康信息平台联通全覆盖。数 观 天 下 密码应用建设相关要求密码应用建设相关要求 医疗卫生机构网络安全管理办法医疗卫生机构网络安全管理办法构建卫生健康行业网络可信体系。建设一批医疗卫生机构商用密码应用示范,全面推广商用密码应
9、用,完善卫生健康行业商用密码应用体系全面推广商用密码应用,完善卫生健康行业商用密码应用体系。各级医疗卫生机构应按照密码法等有关法律法规和密码应用相关标准规范,在网络建设过程中同步规划、同步建设、同步运行同步规划、同步建设、同步运行密码保护措施,使用符合相关要求的密码产品和服务。各医疗卫生机构应保障开展网络安全等级从测评、风险评估、攻防演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设密码保障系统建设、运维、教育培训等经费投入。商用密码应用安全性评估结果备案工作的要求商用密码应用安全性评估结果备案工作的要求请各省(区、市)及新疆生产建设兵团卫生健康委督促所辖卫生健康网络与信息系统运营者按
10、照法律、法规、规章和国家有关规定,同步规划、同步规划、同步建设、同步运行同步建设、同步运行商用密码保障系统。规范开展密评工作。各所镇卫生健康网路与信息系统运营由切实按照属地索码管理部门要求开展密评工开展密评工作。作。请各省(区、市)及新疆生产建设兵团卫生健康委逐级督促市、县两级卫生健康行政管理部门指导各所辖卫生健康网络与信息系统运营者切实按切实按照属地密码管理部门要求开展密评工作。照属地密码管理部门要求开展密评工作。请委机关各司局、各直属和联系单位、中国老龄协会按照法律、法规、规章和国家有关规定,规范组织开展本司局、本单位运营的网络与信息系规范组织开展本司局、本单位运营的网络与信息系统的密评工
11、作。统的密评工作。健康医疗数据安全指南健康医疗数据安全指南文件共享:文件共享:宜采用密码技术保障数据完整性和可追溯性;API接入:接入:宜采用密码技术保障数据完整性和可追溯性;宜采用校验技术或密码技术保证通信过程中的数据完整性,并通过加密等方式保证数据在传输过程中的保密性,加密技术的选择宜考虑应用场景、数据规模、效率要求等方面;在线查询:在线查询:宜采用校验技术或密码技术保证通信过程中的数据完整性,并通过加密等方式保证数据在传输过程中的保密性,加密技术的选择宜考虑应用场景、数据规模、效率要求等方面.数 观 天 下 国家密码政策发展国家密码政策发展突出对关键信息基础设施及网络安全等级保护三级以上
12、信息系统的密码应用监管,实施商用密码密码应用监管,实施商用密码应用安全性评估和安全审查。应用安全性评估和安全审查。商用密码管理条例商用密码管理条例规定“第三级及以上信息系统的商用密码应用系统建设方案应当通过密码管理部门组织的评审后方可实施”,规定“三级及以上系统通过密码管理部门的密码测评后方可投入运行”。这些制度明确了信息安全等级三级及这些制度明确了信息安全等级三级及以上系统的商用密码应用要求以上系统的商用密码应用要求明确了密码保障体系建设“三同三同步一评估步一评估”的要求,指出不符合密码应用和网络安全要求的信息系统不予审批及安全维护经费。国家政务信息化项目建国家政务信息化项目建设管理办法设管
13、理办法网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或经授权的访问,防止网络数据泄露或者被窃取、篡改。者被窃取、篡改。中华人民共和国网络安全法中华人民共和国网络安全法强化网络安全等级保护中的密码密码应用和密码管理。应用和密码管理。开展商用密码应用安全性评估,确保新建网络和信息系统密码应用的合规性、正确性和有效性网络安全等级保护条例网络安全等级保护条例&信息系统密码应用基本要求信息系统密码应用基本要求法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商
14、用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用开展商用密码应用安全性评估。安全性评估。中华人民共和国密码法中华人民共和国密码法第五十三条:关键信息基础设施中的密码密码使用和管理使用和管理,还应当遵守密码法律、行政法规的规定。关键信息基础设施安全保护关键信息基础设施安全保护条例(征求意见稿)条例(征求意见稿)规定:“采购需求应当落实国家密码管理相关规定,同步规划、同步建设、同步规划、同步建设、同步运行并定期评估;政务信息系统同步运行并定期评估;政务信息系统验收应当包括密码应用和安全审查情验收应当包括密码应用和安全审查情况。况。”政务信息系统政府采购管政务信息系统政府采购管理暂行办法
15、理暂行办法信息安全等级保护商用密码管理信息安全等级保护商用密码管理办法实施意见办法实施意见数 观 天 下 国家立法强力推进密码应用国家立法强力推进密码应用 国产密码作为保障我国网络安全的关键核心技术,是信息化发展的安全基因,也是推动我国数字经济高质量发展,构建网络强国的基础支撑,在相关法规政策驱动下,国产密码产业的发展正进入加入发展期。国家安全法:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。网络安全法:对网络运营者应该履行的义务提出了要求,维护网络数据的完整性、保密性、真实性和不可否认性,需要发挥密码技术的
16、核心支撑作用等。密码法:明确密码分类管理,支持推进商用密码应用创新和产业发展,有关信息系统“同步规划、同步建设、同步运营,定期评估”等。数据安全法、个人信息保护法、关键基础设施安全保护条例等。密码法密码法 第三十七条第三十七条关键信息基础设施的运营者违反本法第二十七条第一款规定,未按照要求使用商用密码,或者未按照要求开展商用密码应用安全性评估的,由密码管理部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处十万元以上一百万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款。国办发国办发57号文号文 第二十八条第二十八条加强国家政务信息化项目建设投资和运行维护经费协同联动.对
17、于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。数据安全法数据安全法 第四十五条第四十五条拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。数 观 天 下 医疗健康体系医疗健康体系 我国的医疗健康体系主要包括医疗机构、医药、医保三类,其监管部门分别为国家及各地卫生健康委员会、国家药品监督管理局和国家医疗保障局。医疗机构主要包括各级别的医院、基层医疗机
18、构、公共卫生机构、医联体等。医疗信息化指医疗服务的数字化、网络化、信息化,狭义上的医疗信息化包括医院管理信息化、临床管理信息化和区域信息化;广义上的医疗信息化还应包括医保信息化和药品流通信息化。数 观 天 下资料来源于数说安全 医疗行业信息化现状医疗行业信息化现状数 观 天 下资料来源于数说安全 医疗行业成为发生数据泄露最多的行业医疗行业成为发生数据泄露最多的行业12数 观 天 下数据来源于赛门铁克 医院业务数据安全需求分析医院业务数据安全需求分析数 观 天 下资料来源于数说安全密码产品密码应用政策管理与技术标准体系签名验签服务系统身份认证密码应用运维保障体系密码基础设置手写数字签名系统时间戳
19、服务系统生物识别数字签名系统电子签章系统服务器密码机安全认证网关移动数字签名系统数据脱敏系统智能密码钥匙USBKey数据加密系统数字证书密码服务身份认证服务数据脱敏服务数字签名服务数据加密服务电子签章服务数字证书服务时间戳服务数据传输加密服务手写签名服务数据访问控制服务授权管理责任认定数据加密完整性保护访问控制可信身份可信身份管理可靠电子签名可信数据传输安全存储安全病例书写电子报告患者签署临床科研移动医疗数据存储数据访问 医院密码技术全业务应用医院密码技术全业务应用数 观 天 下资料来源于三未信安 身份认证身份认证-医师手机盾证书管理和应用医师手机盾证书管理和应用 手机盾系统主要以PKI/CA
20、、数字证书、数字签名等技术为基础,在手机软件环境下,实现用户CA 证书私钥的安全保护和用户私钥的访问控制,建立移动业务应用的安全服务体系,为移动业务应用提供安全支撑。适用场景:移动护理、互联网医院等。数 观 天 下资料来源于互联网 数字签名数字签名-患者现场手写数字签名患者现场手写数字签名通过手写数字签名系统后台将待患者签名的内容发送到患者智能手机上,患者直接打开、完成签署,综合运用在线的身份证OCR 识别、人脸识别、手写轨迹识别、录音和语音识别获取患方签署时的身份信息和生物特征信息,结合后台数字证书和数字签名技术,有效解决无纸化过程中的无纸化签名难题数 观 天 下资料来源于互联网 身份认证及
21、签名身份认证及签名-互联网医院互联网医院医生PC端扫码开具电子处(电子病历)CA证书服务可支持二维码扫码签章,医护人员在手机上扫码实现PC端的电子病历、电子处方的开具及签署。应用场景:医生开具电子处方、在线问诊、检查单据提交、知情文书签约等医患签字流程当用户为患者或者患者家属时,医生将需要签字的知情文书,通过医院信息业务系统推送到患者医院业务APP上,患者通过医院业务APP查看其详细内容,确认无误后,使用手机盾及电子签章进行手写签名操作。互联网医院互联网医院APPAPP医生医生患者患者互联网医院互联网医院APPAPP密码服务手机盾密码服务平台手机盾密码服务平台服务器密码机服务器密码机CACA系
22、统系统业务系统业务系统互联网医院平台互联网医院平台数 观 天 下资料来源于互联网 数据加密数据加密-重要数据存储加密重要数据存储加密医院信息系统数据越来越重要,而且使用起来越来越方便快捷,这些数据是整个医院信息系统运行的基础,是医院的重要资产,这也涉及到非常多的敏感数据,应成为医院重点保护的对象 场景:场景:1、重要业务数据:访问控制信息、日访问控制信息、日志信息、个人隐私信息、重要业务信志信息、个人隐私信息、重要业务信息息等加密存储2、大数据共享交互保护数 观 天 下资料来源于互联网 密码应用方案密码应用方案整体框架整体框架安全密码云公共服务平台安全密码云公共服务平台为信息化安全合规建设为信
23、息化安全合规建设搭建好安全可控、云网搭建好安全可控、云网融一的安全基座融一的安全基座为为智慧城市智慧城市、数字社会和数字经济的信息安全、数字社会和数字经济的信息安全建设保驾护航建设保驾护航 发展展望发展展望 密码是网络安全的核心支撑,是解决智慧医疗安全问题最经济、最直接、最有效的手段,可以实现从离散被动防御向整体主动免疫的根本转变。随着国家标准化发展纲要的贯彻落实、随着密码应用安全性评估工作逐步推进,依据国家标准,科学严谨的使用密码,也将开创整个医疗卫生行业密码技术应用的新局面。2023年是全面贯彻落实党的二十大精神的开局之年,也是实施“十四五”规划承前启后的关键一年。密码应用建设仍将是医疗行业的重要工作内容,在行业安全现状的背景下,产业引导政策陆续出台,市场需求不断增加,从而刺激了医疗行业商用密码产业发展。医疗机构需要做的是:深入了解密码应用面临的风险点,并对这些关键风险点进行分析,借助和利用最新的技术、方法,形成完整、行之有效的安全防护能力。数 观 天 下懂甲方的商用密码咨询媒体数观天下公众号数观天下公众号合作事宜、定制需求合作事宜、定制需求请联系市场人员洽谈请联系市场人员洽谈市场负责人市场负责人数观天下视频号数观天下视频号以上内容仅供参考,禁止他用及传播