日前，中国软件评测中心网络安全和数据安全研究测评事业部发布《健康软件安全白皮书》研究成果，美创科技深度参与此次白皮书编写工作，针对健康软件目前面临的安全风险，分享数据安全建设思路。

白皮书详细剖析健康软件面临的网络和数据安全挑战，并提出对策建议，为行业开展网络安全和数据安全工作提供有益参考。

白皮书指出：随着健康软件的普及和应用，数据安全与隐私已经成为其中一个关键的问题，缺乏安全性和必要保护措施的健康软件容易遭受着黑客的入侵。2023 年7月，医疗巨头HCA医疗保健公司于发生严重数据泄露事件，20个州约1100万患者的个人数据可能被盗。这次事件更加凸显了健康软件在数据安全与隐私方面所面临的多重风险。

通常情况下，健康软件可能需要收集用户数据用于研究、分析或商业用途。然而，未经充分告知和明确用户许可的情况下，数据可能被滥用，用于广告定向、销售目的等，侵犯用户的隐私权。健康软件同时涉及大量敏感的个人健康数据，例如病历、诊断结果、用药记录等。恶意软件(如病毒、恶意应用)和网络攻击(如DDoS、SQL注入) 对于任何软件都构成威胁，包括健康软件。对于健康软件说，如果未采取足够的安全保护措施，黑客可能破坏软件功能、盗取用户数据，导致用户的隐私泄露和可能的身份盗用风险。甚至对整个系统的正常运行和安全性造成影响。而数据在传输过程中未加密，或者存储在不安全的服务器上，又可能导致数据被截获、篡改或未经授权地访问。其中用户账户的安全性往往取决于强密码和健全的身份验 证机制，如果健康软件未强制要求用户使用强密码，或者采取适当的身份验证措施，如双因子身份验证，就会增加 黑客猜测出密码或伪造身份的风险。

此外，健康软件可能会与第三方服务提供商合作，共享用户数据或集成其API。如果这些第三方存在安全漏洞或不恰当的数据保护措施，用户的数据也将会受到威胁。

根据当前医疗健康软件面临的数据安全风险，美创科技以国家和地方的相关政策为指导，以《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《医疗卫生机构网络安全管理办法》、《卫生健康行业数据分类分级指南》等相关法律法规为标尺，通过数据安全治理咨询、韧性数据安全产品体系、以及数据安全平台及服务能力，形成一套体系化的数据安全建设方案，全方位保障医疗机构数据资产安全。

同时，结合《电子病历系统应用水平分级评价》、《医疗健康信息互联互通标准化成熟度测评》、《公立医院高质量发展评价指标》、《医院智慧服务分级评估标准体系》等对数据安全能力建设要求。美创科技提供不同场景不同评审要求下的个性化解决方案：

• 医院信息互联互通标准化成熟度测评：灾备一体化平台、数据库透明加密、数据分类分级、数据脱敏、数据库防水坝等。

• 电子病历系统应用水平分级评价标准：供数服务、数据汇聚、数据标准化、运营数据中心、决策分析、灾备一体化平台等。

• 医疗行业网络安全管理办法：数据安全治理、数据分类分级、数据全生命周期安全加固等。

• 智慧服务分级评价标准：数据安全治理、数据分类分级、数据库防水坝等。

深入医疗数据安全领域十余年，美创科技已服务众多医疗用户。在全球IT市场研究和咨询公司IDC发布的《中国医疗行业网络安全市场洞察》报告中，美创作为数据安全代表厂商入选；美创也深入参与《广东省医疗健康数据安全分类分级管理规范》、《广东省健康医疗数据脱敏规范》等多项医疗行业数据安全标准制定工作；与中国信通院、互联网医疗健康产业联盟共同建设医疗合规科技实验室；联合HIT专家网发布《医疗数据安全风险分析与防范实践》（2023年更新第三版），持续深入医疗行业数据安全建设现实问题，助力医疗机构体系化构建数据安全能力。