中國(guó)健康醫(yī)療大數(shù)據(jù)的信息安全

中國(guó)健康醫(yī)療大數(shù)據(jù)的信息安全一引言《國(guó)務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》（以下簡(jiǎn)稱“47如何保證健康醫(yī)療大數(shù)據(jù)的全生命周期安全已成為國(guó)際性的重點(diǎn)工作。大了公民的隱私泄露風(fēng)險(xiǎn)?！?0152.401996（HIPAA）3辦法，201761要重點(diǎn)關(guān)注。2016大數(shù)據(jù)產(chǎn)業(yè)發(fā)展過(guò)程中的安全問(wèn)題。二健康醫(yī)療大數(shù)據(jù)安全風(fēng)險(xiǎn)（一）大數(shù)據(jù)成為網(wǎng)絡(luò)攻擊的顯著目標(biāo)健康醫(yī)療大數(shù)據(jù)一旦匯聚，將意味著大量涉及公民隱私和國(guó)家關(guān)鍵基礎(chǔ)資源的復(fù)雜敏感信息的集中，它將成為惡意攻擊者攻擊的“大目標(biāo)”，在網(wǎng)絡(luò)空間中遭受各方攻擊和試探的可能性遠(yuǎn)高于一般的信息系統(tǒng)。（二）數(shù)據(jù)安全風(fēng)險(xiǎn)健康醫(yī)療大數(shù)據(jù)將相關(guān)計(jì)算資源、存儲(chǔ)資源和網(wǎng)絡(luò)資源集中在一個(gè)區(qū)域以方便管理、運(yùn)營(yíng)和維護(hù)，這種情況下數(shù)據(jù)的集中造成了風(fēng)險(xiǎn)的集中。同時(shí)，大數(shù)據(jù)技術(shù)使健康醫(yī)療數(shù)據(jù)資源的所有權(quán)和管理權(quán)邊界變得模糊，用戶面對(duì)的是一個(gè)透明的系統(tǒng)。健康醫(yī)療大數(shù)據(jù)將面臨新的數(shù)據(jù)丟失、濫用或泄露的風(fēng)險(xiǎn)，具體包括：不可信的大數(shù)據(jù)服務(wù)提供商及其工作人員；不可控的非法操作、非法運(yùn)營(yíng)或非法維護(hù)行為；不完善的數(shù)據(jù)授權(quán)訪問(wèn)體系造成的數(shù)據(jù)非法訪問(wèn)或竊??；惡意第三方對(duì)海量健康醫(yī)療隱私數(shù)據(jù)的非法訪問(wèn)或竊取等風(fēng)險(xiǎn)。（三）大數(shù)據(jù)平臺(tái)安全風(fēng)險(xiǎn)木馬病毒，開展非法行為。（四）應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)隨著健康醫(yī)療大數(shù)據(jù)平臺(tái)通信接入點(diǎn)、數(shù)據(jù)匯聚、應(yīng)用交互的擴(kuò)展，應(yīng)用系統(tǒng)所涉及的重要數(shù)據(jù)不斷增加，不可避免地面臨眾多的安全威脅，影響應(yīng)用通信和應(yīng)用平臺(tái)的保密性、完整性、可用性。（五）虛擬網(wǎng)絡(luò)安全風(fēng)險(xiǎn)解決方案，如防火墻、IDS、IPS甚至健康醫(yī)療大數(shù)據(jù)平臺(tái)的安全運(yùn)行。（六）基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)可能導(dǎo)致網(wǎng)絡(luò)系統(tǒng)平臺(tái)或網(wǎng)絡(luò)內(nèi)數(shù)據(jù)資源的損毀，大數(shù)據(jù)平臺(tái)依托的海量高性能設(shè)備對(duì)電力供應(yīng)、場(chǎng)地環(huán)境、物理安防有著嚴(yán)格的要求?；A(chǔ)設(shè)施安全風(fēng)險(xiǎn)的重要內(nèi)容包括：自然災(zāi)害和意外事故造成系統(tǒng)破壞；電力故障導(dǎo)致設(shè)備或數(shù)據(jù)可用性風(fēng)險(xiǎn)；設(shè)備失竊造成數(shù)據(jù)丟失或信息泄露；電磁泄漏導(dǎo)致數(shù)據(jù)信息被竊取或被偷閱等。三健康醫(yī)療大數(shù)據(jù)隱私保護(hù)隱私保護(hù)因大數(shù)據(jù)的出現(xiàn)受到挑戰(zhàn)，國(guó)外早就針對(duì)個(gè)人信息保護(hù)進(jìn)行了規(guī)范，包括經(jīng)合組織（OECD）隱私保護(hù)準(zhǔn)則、亞太經(jīng)合組織（APEC）隱私框架、美國(guó)公平信息實(shí)踐準(zhǔn)則（FIPs）際標(biāo)準(zhǔn)化組織（ISO）和國(guó)際電工委員會(huì)（IEC）ISO/IEC29100：2011國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）NISTSP800-122、歐洲標(biāo)準(zhǔn)化委員會(huì)（CEN）CWA15262：2005HIPAA近年來(lái)我國(guó)對(duì)隱私保護(hù)進(jìn)行了大量理論研究。20167（TC260，以下簡(jiǎn)稱“信安標(biāo)委”）下達(dá)《個(gè)人信息安全規(guī)范》標(biāo)準(zhǔn)編制任務(wù)，編制首個(gè)國(guó)家個(gè)人信息安全保護(hù)的標(biāo)準(zhǔn)規(guī)范，從個(gè)人信息的收集、使用、轉(zhuǎn)讓和披露等方面進(jìn)行個(gè)人信息安全和隱私保護(hù)。該標(biāo)準(zhǔn)的制定伴隨著《網(wǎng)絡(luò)安全法》的實(shí)施，將進(jìn)一步推動(dòng)國(guó)家對(duì)個(gè)人隱私保護(hù)進(jìn)行立法以及對(duì)健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)保護(hù)個(gè)人信息安全的義務(wù)進(jìn)行明確。通常情況下，在醫(yī)療行業(yè)，健康醫(yī)療大數(shù)據(jù)隱私保護(hù)需要遵從以下幾個(gè)挑戰(zhàn)。（一）知情同意隨著國(guó)家法治工作的進(jìn)展，公眾的法律意識(shí)也在逐步提高，健康醫(yī)療數(shù)據(jù)處理中涉及患者隱私需要事先咨詢其意見。知情同意原則是數(shù)據(jù)保護(hù)的基石，但就目前情況來(lái)說(shuō)，在國(guó)家健康醫(yī)療大數(shù)據(jù)工作的初始階段，想要獲得所有患者的同意還是一個(gè)較大的挑戰(zhàn)。（二）科學(xué)研究基于健康醫(yī)療大數(shù)據(jù)的科學(xué)研究對(duì)改善診斷和治療效果非常重要，但是，把健康數(shù)據(jù)用于科學(xué)研究，隱私風(fēng)險(xiǎn)會(huì)隨之上升。當(dāng)前，健康數(shù)據(jù)須經(jīng)過(guò)脫敏處理才能用于科學(xué)研究。但是，數(shù)據(jù)鏈?zhǔn)谴蠖鄶?shù)研究項(xiàng)目的關(guān)鍵，沒(méi)有完善的數(shù)據(jù)脫敏機(jī)制對(duì)數(shù)據(jù)鏈進(jìn)行保護(hù)，基于健康醫(yī)療大數(shù)據(jù)的科學(xué)研究就無(wú)法實(shí)現(xiàn)。（三）醫(yī)療衛(wèi)生整合全國(guó)各地都在開展健康醫(yī)療區(qū)域平臺(tái)建設(shè)，其上的電子病歷（EMR）往往會(huì)受到患者隱私保護(hù)的限制，健康數(shù)據(jù)如何被共享、被共享給哪些組織、共享的用途均會(huì)影響患者對(duì)共享問(wèn)題的考慮結(jié)果。在當(dāng)前健康醫(yī)療大數(shù)據(jù)匯聚的同時(shí)如何避免患者隱私泄露，仍是整個(gè)行業(yè)急需解決的問(wèn)題。6保護(hù)，還需要從數(shù)據(jù)治理層面進(jìn)行隱私保護(hù)，在保障數(shù)據(jù)安全的前提下，充分滿足健康醫(yī)療相關(guān)產(chǎn)業(yè)生態(tài)發(fā)展對(duì)數(shù)據(jù)的需求。保護(hù)的難點(diǎn)。我國(guó)的相關(guān)立法工作還不完善，醫(yī)療信息隱私保護(hù)方面的法律法規(guī)還比較薄題。四健康醫(yī)療大數(shù)據(jù)基礎(chǔ)安全框架當(dāng)前對(duì)健康醫(yī)療大數(shù)據(jù)基礎(chǔ)安全框架的研究還是空白，國(guó)際標(biāo)準(zhǔn)化組織、國(guó)際電工委員會(huì)第一聯(lián)合技術(shù)委員會(huì)（ISO/IECJTC1）下的信息安全分委員會(huì)（ISO/IECJTC1SC27）2016年在美國(guó)和阿聯(lián)酋分別兩次召開國(guó)際研討會(huì)議，對(duì)《信息技術(shù)-大數(shù)據(jù)——概述和詞匯》（ISO/IEC20546）以及《信息技術(shù)-大數(shù)據(jù)參考架構(gòu)》（1-5系列標(biāo)準(zhǔn)，ISO/IECTR20547）進(jìn)行了研討，初步擬定國(guó)際通用的大數(shù)據(jù)參考架構(gòu)。其中《信息技術(shù)-大數(shù)據(jù)參考架構(gòu)-第四部分：安全與隱私保護(hù)》（ISO/IECTR20547-4）即為針對(duì)大數(shù)據(jù)安全的參考框架。20165（2016）20174（2017）》，其中對(duì)大數(shù)據(jù)的集中于技術(shù)安全框架和業(yè)務(wù)安全框架兩個(gè)部分。（一）健康醫(yī)療大數(shù)據(jù)技術(shù)安全框架健康醫(yī)療大數(shù)據(jù)平臺(tái)匯聚的醫(yī)院信息系統(tǒng)（HIS）、實(shí)驗(yàn)室信息管理系統(tǒng)（LIS）、影像歸檔和通信系統(tǒng)（PACS）、臨床信息系統(tǒng)（CIS）、放射學(xué)信息系統(tǒng)（RIS），有著不同的大數(shù)據(jù)應(yīng)用場(chǎng)景和訪問(wèn)角色，遠(yuǎn)遠(yuǎn)比一般的單一業(yè)務(wù)領(lǐng)域的大數(shù)據(jù)平臺(tái)復(fù)雜。目前，國(guó)內(nèi)健康醫(yī)療安全領(lǐng)域沒(méi)有一個(gè)統(tǒng)一的、通用的大數(shù)據(jù)安全參考架構(gòu)。（二）健康醫(yī)療大數(shù)據(jù)業(yè)務(wù)安全框架過(guò)去，健康醫(yī)療區(qū)域平臺(tái)建設(shè)中已經(jīng)匯聚了部分居民健康醫(yī)療數(shù)據(jù)，在惠民應(yīng)用的同時(shí)推動(dòng)了相關(guān)產(chǎn)業(yè)的發(fā)展。而健康醫(yī)療大數(shù)據(jù)對(duì)健康醫(yī)療相關(guān)產(chǎn)業(yè)的發(fā)展具有遠(yuǎn)大于一般數(shù)據(jù)的價(jià)值。因此，急需針對(duì)健康醫(yī)療大數(shù)據(jù)的安全管理、安全共享和安全交易制定一個(gè)框架，以在保障數(shù)據(jù)安全的同時(shí)確保健康醫(yī)療大數(shù)據(jù)業(yè)務(wù)開展各方的利益。2016發(fā)布國(guó)家健康醫(yī)療大數(shù)據(jù)平臺(tái)（福州）和國(guó)家健康醫(yī)療大數(shù)據(jù)安全服務(wù)平臺(tái)（福州），續(xù)其他試點(diǎn)城市的相關(guān)工作以及統(tǒng)一框架建設(shè)工作提供借鑒。五健康醫(yī)療大數(shù)據(jù)安全服務(wù)能力47不同大數(shù)據(jù)應(yīng)用開展各類服務(wù)提供技術(shù)支撐平臺(tái)。當(dāng)前，健康醫(yī)療大數(shù)據(jù)平臺(tái)的主要服務(wù)包括以下方面。核心大數(shù)據(jù)服務(wù)：健康醫(yī)療大數(shù)據(jù)平臺(tái)融合已有平臺(tái)技術(shù)，為大數(shù)據(jù)應(yīng)用提供彈性可基于這些數(shù)據(jù)的大數(shù)據(jù)分析應(yīng)用。結(jié)構(gòu)化數(shù)據(jù)、影像數(shù)據(jù)、基因組學(xué)數(shù)據(jù)的計(jì)算處理提供合適的高性能物理架構(gòu)。用戶提供應(yīng)用編程接口、數(shù)據(jù)存儲(chǔ)適配器等特色大數(shù)據(jù)服務(wù)組件。4（1），從大數(shù)據(jù)安全治理、監(jiān)管和合規(guī)性角度，圍繞大數(shù)據(jù)生命周期各階段進(jìn)行。圖1健康醫(yī)療大數(shù)據(jù)安全服務(wù)能力（一）平臺(tái)安全當(dāng)前大數(shù)據(jù)應(yīng)用中大量采用開源架構(gòu)，如Docker、ElasticSearch、HBase/Hive、Spark等，對(duì)內(nèi)部安全機(jī)制的考慮有限，并且所有組件缺乏嚴(yán)格的安全測(cè)試和評(píng)估，無(wú)法系統(tǒng)保障整體平臺(tái)的安全。因此，針對(duì)平臺(tái)安全需要著重考慮以下問(wèn)題。用戶訪問(wèn)的數(shù)據(jù)資源進(jìn)行控制。區(qū)域安全：針對(duì)健康醫(yī)療大數(shù)據(jù)平臺(tái)內(nèi)部區(qū)域邊界的安全問(wèn)題，采用邏輯隔離、訪問(wèn)度，提升整體抗攻擊能力。安全通信網(wǎng)絡(luò)：對(duì)不同等級(jí)安全計(jì)算環(huán)境之間進(jìn)行信息傳輸?shù)南嚓P(guān)部件實(shí)施安全策略，包括健康醫(yī)療大數(shù)據(jù)服務(wù)與外部系統(tǒng)之間的通信網(wǎng)絡(luò)、內(nèi)部位于不同組件之間的通信網(wǎng)絡(luò)以及不同進(jìn)程之間的通信網(wǎng)絡(luò)。（二）應(yīng)用安全大數(shù)據(jù)應(yīng)用安全維護(hù)大數(shù)據(jù)服務(wù)安全相關(guān)的設(shè)備、用戶、資產(chǎn)、服務(wù)組件等所有數(shù)據(jù)和主體安全要素，包括數(shù)據(jù)快速更新、數(shù)據(jù)結(jié)構(gòu)變化、臨時(shí)數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)有效性、大數(shù)據(jù)服務(wù)運(yùn)行日志、溯源數(shù)據(jù)等系統(tǒng)運(yùn)行安全統(tǒng)計(jì)數(shù)據(jù)，以支持應(yīng)用數(shù)據(jù)生命周期、合規(guī)性控制等復(fù)雜應(yīng)用的安全管理。和接入策略、應(yīng)用安全監(jiān)測(cè)策略，依據(jù)這些策略逐步開展健康醫(yī)療大數(shù)據(jù)應(yīng)用安全審計(jì)工作。（三）數(shù)據(jù)安全圍繞大數(shù)據(jù)的數(shù)據(jù)價(jià)值鏈和數(shù)據(jù)生命周期活動(dòng)，提供數(shù)據(jù)機(jī)密性、完整性、可用性保護(hù)，針對(duì)健康醫(yī)療大數(shù)據(jù)的特點(diǎn)制定技術(shù)策略和技術(shù)選型，確保個(gè)人信息、重要數(shù)據(jù)的安全，提供大數(shù)據(jù)應(yīng)用終端驗(yàn)證、數(shù)字版權(quán)管理、信任管理、數(shù)據(jù)披露、數(shù)據(jù)治理等服務(wù)，確保數(shù)據(jù)交易過(guò)程中做到數(shù)據(jù)的安全獲取、安全清洗、安全脫敏、安全交換、安全訪問(wèn)。（四）運(yùn)營(yíng)安全針對(duì)健康醫(yī)療大數(shù)據(jù)服務(wù)提供者的組織與策略安全要求、數(shù)據(jù)生命周期安全要求和大數(shù)據(jù)系統(tǒng)服務(wù)安全要求，建設(shè)大數(shù)據(jù)安全生態(tài)、威脅情報(bào)、安全產(chǎn)業(yè)等安全支撐體系，為健康醫(yī)療大數(shù)據(jù)服務(wù)平臺(tái)的安全態(tài)勢(shì)監(jiān)控預(yù)警與分析、安全風(fēng)險(xiǎn)的分析與管控、安全策略基線管控與審計(jì)、運(yùn)營(yíng)事件的應(yīng)急響應(yīng)和處置提供組織保障和技術(shù)保障，使健康醫(yī)療大數(shù)據(jù)服務(wù)可以在安全的環(huán)境下正常運(yùn)營(yíng)。構(gòu)（ENISA）發(fā)布《大數(shù)據(jù)安全最佳實(shí)踐白皮書》，NISTWG92016（GB/T31168-2014）準(zhǔn)《信息技術(shù)-大數(shù)據(jù)參考架構(gòu)-第四部分：安全與隱私保護(hù)》（ISO/IEC20247-4）和國(guó)內(nèi)求。2017年首批國(guó)家健康醫(yī)療大數(shù)據(jù)相關(guān)試點(diǎn)工作已逐步落地，大數(shù)據(jù)中心的數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理等工作的開展從實(shí)踐角度對(duì)健康醫(yī)療大數(shù)據(jù)全生命周期中的安全服務(wù)能力、組織與人員、接口安全等方面提出新的服務(wù)能力要求。未來(lái)，數(shù)據(jù)匯聚和治理工作完成后，健康醫(yī)療大數(shù)據(jù)的交換、共享、銷毀等過(guò)程將帶來(lái)新的安全挑戰(zhàn)。只有參照其他行業(yè)的最佳實(shí)踐，全面確保數(shù)據(jù)全生命周期的安全，健康醫(yī)療大數(shù)據(jù)的價(jià)值才能受到充分挖掘，相關(guān)產(chǎn)業(yè)才會(huì)得到蓬勃發(fā)展。六健康醫(yī)療大數(shù)據(jù)安全管理體系目前國(guó)內(nèi)諸多行業(yè)參照信息安全管理要求（ISO27001）和信息技術(shù)服務(wù)管理體系標(biāo)準(zhǔn)（ISO20000）體系應(yīng)根據(jù)大數(shù)據(jù)的特點(diǎn)制定。為進(jìn)一步促進(jìn)我國(guó)大數(shù)據(jù)發(fā)展，2015健康醫(yī)療數(shù)據(jù)的集中和新技術(shù)的引用，帶來(lái)了新的安全風(fēng)險(xiǎn)。健康醫(yī)療大數(shù)據(jù)安全管理體系與傳統(tǒng)的信息技術(shù)安全管理體系不同，應(yīng)從健康醫(yī)療大數(shù)據(jù)服務(wù)、健康醫(yī)療大數(shù)據(jù)平臺(tái)、健康醫(yī)療大數(shù)據(jù)事件與應(yīng)急3個(gè)不同角度開展信息安全管理。（一）健康醫(yī)療大數(shù)據(jù)服務(wù)安全管理3種行為進(jìn)行安全管理。（二）健康醫(yī)療大數(shù)據(jù)平臺(tái)安全管理規(guī)程和操作手冊(cè)，確保關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)；在技術(shù)工具選擇方或自動(dòng)化實(shí)現(xiàn)安全工作。（三）健康醫(yī)療大數(shù)據(jù)事件與應(yīng)急管理需要，分清輕重緩急，保證應(yīng)急響應(yīng)體系的建設(shè)與大數(shù)據(jù)中心業(yè)務(wù)開展的需求相適應(yīng)。47響應(yīng)結(jié)合起來(lái)，構(gòu)建分級(jí)負(fù)責(zé)、綜合協(xié)調(diào)、逐級(jí)提升的突發(fā)信息安全事件應(yīng)急響應(yīng)體系。七健康醫(yī)療大數(shù)據(jù)安全評(píng)估審查《網(wǎng)絡(luò)安全法》對(duì)信息安全審查首次進(jìn)行立法要求，47號(hào)文也對(duì)健康醫(yī)療大數(shù)據(jù)安全評(píng)估提出要求，“開展健康醫(yī)療大數(shù)據(jù)平臺(tái)和服務(wù)商的可靠性、可控性和安全性評(píng)測(cè)；開展健康醫(yī)療大數(shù)據(jù)應(yīng)用的安全性評(píng)測(cè)和風(fēng)險(xiǎn)評(píng)估；建立安全防護(hù)、系統(tǒng)互聯(lián)共享、公民隱私保護(hù)等軟件評(píng)價(jià)和安全審查制度”。網(wǎng)絡(luò)安全審查制度已成為維護(hù)國(guó)家網(wǎng)絡(luò)安全的必要手段，世界范圍內(nèi)一些主流發(fā)達(dá)國(guó)家針對(duì)信息技術(shù)產(chǎn)品和提供商已開展了不同形式的網(wǎng)絡(luò)安全審查，網(wǎng)絡(luò)安全審查已經(jīng)成為國(guó)際慣例。我國(guó)信息安全認(rèn)證中心推出了“信息技術(shù)設(shè)備產(chǎn)品強(qiáng)制性認(rèn)證”，重要行業(yè)的信息安全建設(shè)均優(yōu)先采購(gòu)?fù)ㄟ^(guò)認(rèn)證的產(chǎn)品。同時(shí)，供應(yīng)鏈安全問(wèn)題、組織安全能力、人員審查也成為現(xiàn)今各類安全審查的重點(diǎn)。參照已有的安全審查機(jī)制，健康醫(yī)療大數(shù)據(jù)安全評(píng)估審查應(yīng)從安全能力評(píng)估、安全技術(shù)評(píng)估、安全檢測(cè)方法3個(gè)方面開展。（一）安全能力評(píng)估安全能力評(píng)估主要評(píng)估大數(shù)據(jù)服務(wù)提供商的大數(shù)據(jù)服務(wù)安全能力以及各參與方的安全管理能力成熟度。同時(shí)，從數(shù)據(jù)管理角度評(píng)估大數(shù)據(jù)服務(wù)提供商以及各參與方的大數(shù)據(jù)生命周期各階段的數(shù)據(jù)管理安全要求的滿足情況。針對(duì)健康醫(yī)療大數(shù)據(jù)各參與組織的自身數(shù)據(jù)安全能力的評(píng)估模型，幫助健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)的各方組織建立一套針對(duì)數(shù)據(jù)安全管理的通用術(shù)語(yǔ)，指導(dǎo)大數(shù)據(jù)產(chǎn)業(yè)各方建立數(shù)據(jù)安全能力評(píng)估模型及數(shù)據(jù)安全能力的提升方案，為評(píng)估大數(shù)據(jù)中心和產(chǎn)業(yè)生態(tài)各方的數(shù)據(jù)安全成熟度提供劃分基準(zhǔn)，促進(jìn)大數(shù)據(jù)行業(yè)的健康發(fā)展和數(shù)據(jù)安全。（二）安全技術(shù)評(píng)估安全技術(shù)評(píng)估從健康醫(yī)療大數(shù)據(jù)基礎(chǔ)設(shè)施角度，評(píng)估大數(shù)據(jù)平臺(tái)和服務(wù)中各組件的安全狀全要求符合性。此外，針對(duì)數(shù)據(jù)共享和使用環(huán)節(jié)的第三方計(jì)算和模型的接入，需要對(duì)其漏洞和安全權(quán)限進(jìn)行評(píng)估，根據(jù)評(píng)估結(jié)果決定數(shù)據(jù)訪問(wèn)權(quán)限。（三）安全檢測(cè)方法安全測(cè)評(píng)類方法從第三方測(cè)評(píng)角度，為第三方提供一套針對(duì)安全能力評(píng)估和安全技術(shù)評(píng)估的可行方法。國(guó)家當(dāng)前的信息安全評(píng)估機(jī)制均依托于《信息安全等級(jí)保護(hù)管理辦法》以及相應(yīng)等級(jí)保護(hù)標(biāo)準(zhǔn)體系，公安部信息安全等級(jí)保護(hù)評(píng)估中心已開始針對(duì)新技術(shù)制定《云計(jì)算信息安全等級(jí)保護(hù)基本要求》《云計(jì)算信息安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》《云計(jì)算信息安全等級(jí)保護(hù)測(cè)評(píng)要求》等一系列信息安全等級(jí)保護(hù)擴(kuò)展標(biāo)準(zhǔn)。但是，等級(jí)保護(hù)體系的檢測(cè)辦法注重安全技術(shù)評(píng)估，而已經(jīng)發(fā)布的《信息安全技術(shù)云計(jì)算服務(wù)安全能力要求》（GB/T31168-2014）當(dāng)前國(guó)內(nèi)唯一的面對(duì)安全服務(wù)評(píng)估的參考依據(jù)。同時(shí)，201752大數(shù)據(jù)安全評(píng)估審查機(jī)制和辦法會(huì)成為行業(yè)下一步的重點(diǎn)需求。八健康醫(yī)療大數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)健康醫(yī)療大數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)是健康醫(yī)療大數(shù)據(jù)安全保障體系的重要組成部分，健康醫(yī)療大數(shù)據(jù)作為國(guó)家的基礎(chǔ)性戰(zhàn)略資源，對(duì)全面實(shí)施促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)，加快推動(dòng)數(shù)據(jù)資源共享開放和開發(fā)應(yīng)用，助力產(chǎn)