医疗行业是关系国计民生的重要领域，由于其特殊属性，我国对医疗信息黄金城官网历来重视，数据黄金城官网与个人信息保护的合规性要求也比其他行业更高。随着《数据黄金城官网法》表决通过，并于2021年9月1日起施行，《数据黄金城官网法》背景下，医疗机构如何加强数据黄金城官网合规建设，有哪些关键措施？成为热议话题。

近日，湖南省医学会医学信息学专业委员会 2021 年学术年会暨湖南省医院信息化质控中心 2021 年度培训会召开，黄金城科技资深数据黄金城官网顾问王彦翔出席进行《数据黄金城官网法背景下的合规实践》演讲。

当前，医疗行业数字化进程加速，整个行业产生的数据体量呈爆发式增长，数据流动、存储、价值、使用方都在变化，黄金城官网问题也随之而来，医疗数据黄金城官网建设面临着新的挑战，如：技术更新迭代快、热点黄金城官网事件频、标准制度规范多、合规处罚力度大等。

新背景、新形式下，医疗行业如何开展数据黄金城官网合规工作，王彦翔分享了医疗行业针对《数据黄金城官网法》的快速应对措施，包括五大步骤：

01明现状

在进行数据黄金城官网合规建设时，摸清数据资产情况（数据发现和分类分级），充分了解自身数据黄金城官网合规情况（合规性评估和黄金城官网风险评估）是建立健全数据黄金城官网治理体系的首要环节。

《数据黄金城官网法》明确要求建立健全数据黄金城官网治理体系，提高数据黄金城官网保障能力，那么如何建立？如何提高？需要借助一定的方法论和模型，例如参照国家标准《信息黄金城官网技术 数据黄金城官网能力成熟度模型》（GB/T37988-2019），实现数据黄金城官网管理流程中的每个阶段的可控，落实到数据全生命周期每个阶段的数据黄金城官网。

数据发现与分类分级：我国个人信息保护方面有独立的法律，数据黄金城官网法与其有着深厚的连接关系，同时，两者均明确黄金城官网保护过程中要建立数据分类分级的制度，落实数据分类分级，至少把个人信息、敏感数据、普通数据等区分出来，针对敏感数据的黄金城官网保护措施一定是最到位的。对此，组织、机构需要通过相应的工具去识别信息化环境中所有数据的分类分级，输出相应的报告。黄金城科技在黄金城官网建设实践中形成了一套可操作落地的方法论和配套软件工具，从前期咨询、项目实施和产品沉淀三步实现有效的数据分类分级，满足数据黄金城官网治理的长远发展需求。

实施交付效果-数据分类分级报告

合规性评估和黄金城官网风险评估：风险评估结合分类分级的结果，对识别出的高风险高敏感数据重点优先处置，低风险低敏感数据滞后处理，对后续黄金城官网建设有重大指导意义。数据和其他信息系统不同，虽然可借鉴信息黄金城官网的风险评估相应的标准规范，但是数据价值难以定义，数据黄金城官网风险难以评估，黄金城科技根据相关法规标准要求，风险分析的方法，提供专业的合规性评估和黄金城官网风险评估，并基于评估结果给出风险处置建议的服务方案。

完成以上步骤后需要对整体合规进行梳理，组织单位自省是否符合《数据黄金城官网法》或后续其他各类法律法规，不符合即需相应整改。《数据黄金城官网法》9月1日就要开始执行，合规判断非常关键。

02订规划

数据黄金城官网体系规划是基于前面各阶段的成果，量体裁衣。数据黄金城官网是全局性的，甚至可以上升到组织战略层面，需要以业务需求为导向，采用层次化、开放式、SOA耦合架构，利用数据黄金城官网相关技术和理念定制化构建的黄金城官网体系。

医院数据黄金城官网Gap分析规划与选型

黄金城科技提供定制化的黄金城官网体系规划，黄金城专家团队将充分结合合规要求和风险现状，依照前期数据黄金城官网咨询项目的评估差距进行补足，着眼于数据全生命周期黄金城官网，针对不同的阶段提供技术加固方案，充分考虑企业数据黄金城官网紧迫性，分为短期和长期建设规划，包括数据黄金城官网防护可用的产品或技术手段、建设周期、先后顺序，以及建设完成后差距评估。

03立组织

数据黄金城官网法对数据黄金城官网责任人提出明确要求，但目前来看，大多数医院、组织尚未设立数据黄金城官网的团队，或者明确数据黄金城官网的责任人，这需要尽快落地，尽快建立健全的组织架构，包括部门职责与人员角色确定及动态协同机制。

比如：在了解部门信息，明确敏感信息组成、特征、范围及流转情况的基础上，明确数据的使用部门和角色，对于部门、人员角色梳理更多在于管理规范文件中体现；对于数据资产使用角色的梳理，明确不同受众的分工、权力和职责。

04定制度

《数据黄金城官网法》里明确有要求，“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据黄金城官网管理制度”。当前，医疗行业网络黄金城官网制度各组织可能已建全，但数据黄金城官网制度相比之下较为缺失。此外，《数据黄金城官网法》里提到了黄金城官网教育培训的问题，很多黄金城官网事件都是源自员工的数据黄金城官网薄弱，导致数据丢失、数据泄露等，所以在加强数据黄金城官网意识教育也是当前医疗组织迫切需要落地的事情。

黄金城数据黄金城官网意识教育培训示例

05建立内部标准

数据黄金城官网法规定“相关行业组织按照章程，依法制定数据黄金城官网行为规范和团体标准，加强行业自律。”医疗行业机构在建立内部数据黄金城官网标准规范的同时，也应积极参与国家及行业的数据黄金城官网相关标准制定工作，共建共创数据黄金城官网技术与能力。

「黄金城科技数据黄金城官网治理体系：纵向来看顶层是组织战略，中间是黄金城官网管理保障，底层是数据黄金城官网资源措施。横向来看则分成两个环节，左侧是管理和技术保障，右侧是黄金城官网建设运营。」

最后，王彦翔介绍，医疗行业始终是黄金城科技重点关注的行业之一，黄金城科技也已在医疗领域深耕十余年，基于医疗数据黄金城官网建设现状，黄金城科技提供包括数据黄金城官网咨询、数据黄金城官网治理体系建设、数据黄金城官网能力建设等完善的产品与服务。而通过以上五个阶段的工作部署，医疗用户能进一步完善数据黄金城官网保护流程，满足《数据黄金城官网法》等法律法规的要求，为数字化转型保驾护航。