您所在机构的类型是?
综合性医院
专科医院
社区卫生服务中心/乡镇卫生院
诊所/门诊部
医疗科研机构
医疗信息化服务商
其他
您所在的部门或岗位主要涉及?
信息技术/网络安全部门
医务/临床科室
行政管理/法务合规
病案/信息管理
科研/数据分析
其他
您认为您所在机构对医疗数据安全(含患者隐私保护)的重视程度如何?
非常重视,是最高优先级之一
比较重视,有专门投入
一般,仅在必要时关注
不够重视,资源投入有限
不清楚
目前,您所在机构对哪些类型的医疗数据进行了加密保护?(可多选)
患者身份信息(如姓名、身份证号)
电子病历核心内容
医学影像数据(如CT、MRI)
检验检查报告
基因测序等生物信息数据
财务与医保结算数据
科研数据(脱敏后)
尚未系统性地对数据进行加密
不确定
在数据传输过程中(如院内系统间、院外共享时),主要采用了哪种加密方式?
SSL/TLS等传输层加密
应用层自定义加密
VPN通道加密
未进行专门加密
不清楚
对于静态存储的医疗数据(如数据库、文件服务器),主要的加密措施是?
数据库透明加密(TDE)
文件系统级加密
应用层加密后存储
存储硬件加密
未对静态数据加密
不清楚
您所在机构的医疗信息系统权限管理主要基于?
基于角色的访问控制(RBAC),权限划分清晰
基于最小权限原则,但执行不够严格
权限分配较为粗放,主要依赖部门划分
缺乏统一的权限管理平台
不清楚
在权限管理方面,面临的主要挑战有哪些?(可多选)
角色和权限定义复杂,难以梳理
人员变动频繁,权限回收不及时
第三方人员(如运维、合作方)权限难以管控
权限滥用行为难以监测和审计
系统众多,权限管理不统一
临床业务需求与安全原则存在冲突
暂无显著挑战
您所在机构是否建立了完整的医疗数据备份与恢复策略?
是,有完整的策略并定期演练
有基本策略,但演练不频繁
有零散的备份操作,未成文策略
没有明确的备份策略
不清楚
数据备份涵盖了哪些范围?(可多选)
核心业务数据库
电子病历文件
医学影像文件
系统配置文件
应用程序本身
日志审计数据
不确定
备份数据的恢复演练频率大约是?
每季度或更频繁
每半年一次
每年一次
很少或从未演练过
不清楚
您所在机构关注并需要遵从的医疗数据合规性要求主要有哪些?(可多选)
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《医疗卫生机构网络安全管理办法》
等级保护2.0相关要求
HIPAA(如涉及国际业务)
GDPR(如涉及国际业务)
行业内部规范或标准
不太清楚具体条款
在满足上述合规要求方面,机构面临的最大困难是?
缺乏专业的合规人才
技术落地成本高
现有系统改造难度大
理解法规要求有偏差
各部门协同困难
暂无显著困难
其他
针对外部网络攻击(如勒索病毒、APT攻击),机构部署了哪些主要防护措施?
下一代防火墙、入侵检测/防御系统
终端安全软件、EDR
Web应用防火墙
安全运营中心(SOC)进行全天候监控
邮件安全网关
仅基础防病毒软件
防护措施有限
不清楚
针对内部人员的数据泄露风险(如越权访问、无意泄露),主要的防护或监测手段是?
数据库审计与脱敏
统一日志审计与分析
终端DLP(数据防泄漏)
用户行为分析(UEBA)
主要通过管理制度约束
缺乏有效技术监测手段
不清楚
请评估您所在机构当前医疗数据安全体系的整体成熟度(1-5分,1分为非常初级,5分为非常成熟)。
分数 ★ ★ ★ ★ ★
标签 ★ ★ ★ ★ ★
您认为未来1-2年,机构在医疗数据安全领域最应优先投入的方面是?(可多选)
数据加密与脱敏技术的深化应用
精细化权限管理与零信任架构
备份容灾体系建设与演练
合规性差距分析与整改
高级威胁防护与安全运营
员工安全意识培训与考核
安全流程与制度优化
其他
关于提升医疗数据安全水平,您还有哪些具体的意见或建议?