国家呼吸系统疾病临床医学研究中心

【重磅】呼吸专科领域首个医疗大数据信息平台安全认证获通过
发布: 2019-06-21

    呼吸系统疾病大数据平台通过ISO27001信息安全管理认证和信息系统安全等级(三级)保护备案。

    广医一院国家呼吸系统疾病临床医学研究中心(以下简称中心)致力于组建国家级呼吸专科大数据质控中心,制定面向国际化并适合我国国情的标准化呼吸系统疾病数据元、质量控制标准和技术规范,提高慢阻肺、哮喘、肺癌等呼吸系统疾病诊治水平。以大数据驱动预防、诊疗、康复三位一体的呼吸慢病管理模式的运行,推动呼吸慢病的数据化精准管理。此项工作得到2018年国家重点研发专项《呼吸系统疾病临床研究大数据与生物样本库平台》及2018年11号文《广州市人民政府办公厅关于推进健康医疗大数据应用的实施意见》的强力支持。

 

 

【国家标准】

    国家卫健委《关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知》中也指出:“关于责任单位的主体责任方面,一是责任单位要落实“一把手”负责制,建立健全健康医疗大数据相关管理与使用制度,强化统筹管理和协调监督。二是责任单位要严格落实网络安全等级保护制度,建立健全实名认证访问控制机制、网络安全通报机制和应急处置联动机制,切实加强容灾备份、加密认证、准确恢复等安全保障措施,定期对相关信息系统开展定级、备案和测评工作。”这些要求与ISO/IEC 27001的信息安全管理原则高度一致。中心导入了ISO27001系统化的管理、制定和实施ISO27001包含的信息安全小组机制、结合定期外部审核监督,可以让这些要求的落实更加有保障。

    中心关于ISO27001质量管理体系认证工作由医疗大数据部策划,协同综合办公室、项目研究与随访部、生物样本资源库管理部共四个部门开展相关工作,于2018年5月开始正式运行广州医科大学附属第一医院国家呼吸系统疾病临床医学研究中心信息安全管理体系,确立了质量管理的方针与目标、职责与权限,并规定了资产管理、访问控制、密码学、物理与环境安全、操作安全、通信安全、信息安全事件管理、信息安全方面业务持续性管理等18个信息安全管理过程。

    在前期的现状调研中,中心梳理了信息安全体系认证流程和相关内容,做好内部审核自我检查的环节,赛宝认证中心从日常运维、管理机制、系统配置等方面对中心的信息安全管理安全现状进行调研,也对中心相关人员进行全面培训。在确认中心信息安全体系符合及持续符合ISO27001后,认为中心有能力迎接中心信息安全体系外审。

    在体系标准培训中,进一步明确中心的信息安全方针为“预防为主,分级保护,分层负责,持续改进”的宗旨,该方针的制定体现了风险管理的成本和效益的平衡原则,考虑到法律、合同中对信息安全的要求以及中心现有面临的信息安全风险。

 

【认证证书】

    2019年4月10日,中心正式获得经中国认监委批准、国内外多个组织认可和授权、专业从事第三方认证和培训服务的权威机构赛宝认证中心颁发的ISO 27001信息安全体系认证证书。能够顺利获得证书,不仅充分体现临床中心在信息安全的重视程度,也意味着广医一院临床中心在认证的过程中提高了信息安全管理水平。

    中心在通过ISO27001认证后,紧接着联合相关信息部门及研发公司一起开展呼吸系统疾病大数据平台(慢阻肺单病种)的信息技术安全等级保护认证工作。严格按照信息系统等级保护流程进行:确定系统定级、准备公安备案资料、对系统安全建设和整改、进行信息安全等级测评、信息安全检查。

    赛宝信息安全研究中心对呼吸系统疾病大数据平台(慢阻肺单病种)搭建的物理环境安全、网络安全、主机安全、应用安全、数据安全五个方面进行安全测评,并针对一些信息安全保护高风险项提出了改造建议。也严格根据三级等保的管理制度要求我们建立起完善安全管理制度、安全管理机构、人员安全管理制度、系统建设管理制度、系统运维管理制度。

    经过多方的努力,我们的数据平台信息系统安全保护等级被认证为第三级,由国家信息安全监管部门进行监督、检查,认证。

【信息系统安全等级保护(三级)认证通过】

 

【呼吸系统疾病大数据平台简介】

    在呼吸系统疾病大数据平台系统功能开发方面,完善了数据结构化处理功能,对临床病历数据的结构化处理率97%以上(以慢性阻塞性肺疾病为例);同时完成了数据在线分析功能的研发,注入了一般统计学应用功能,数据的获取、处理、分析、结果导出等工作均可在平台中实现;在数据对接及应用方面,完成临床业务系统数据的对接及肺功能报告等指标结构化获取;2019年6月1日正式启用数据平台3.0版本,上线投入使用。为保障数据使用的规范性及数据共享流通的安全性,建设了核心数据安全防护体系,包括一系列的安全防控管理,搭建特权账户管理平台、密码保险库、数据监控审计平台。在完善的安全防护功能保障下,实现多中心数据共享,打破信息孤岛和数据碎片化局面。

    临床中心重视标准化建设,此前已通过ISO 9001:2015体系认证,点击以下链接可以观看相关内容:

链接:http://ncrc.gyfyy.com/index.php?ac=article&at=read&did=411

 

攥稿人│黎小渝

审稿人│简文华/张冬莹

美  编│毕雪珊