在医疗数据上云过程中，新技术在各个环节带来便捷的同时增加了医疗数据与云环境相关的风险范围。综合起来，医疗云数据安全不仅包含原有安全问题，还包含云环境安全问题。

1.数据安全风险意识缺失。医疗机构工作人员可直接接触患者健康诊疗数据，近期发生的患者病历泄露事件反映出医护人员对患者隐私保护意识淡薄，折射出医疗机构可能未向全体人员宣贯《数据安全法》《个人信息保护法》等内容。

2.医疗信息系统建设水平参差不齐。医疗云提供多个API联结各个医疗机构的信息系统，由于医疗机构管理体制参差不齐，存在系统更新较为滞后且网络开放程度高的医疗机构，攻击者很容易进入此类机构内部网络，进而对云平台进行攻击。

3.云特性带来的额外风险。医疗云资源的池化存在多用户共享相同存储空间，存在数据的隐私性以及完整性被破坏的风险。医疗云数据的分布式存储和异地备份机制提高了数据的管理难度、扩大了数据被泄露的风险、增加了被攻击的可能性。

4.云解决方案选型能力不足。信息化高级人才大量涌入互联网行业，使得医疗行业普遍缺少IT技术骨干，医疗利益相关者无法对云平台提供的数据安全保护能力进行评估，最终导致很难选择符合其安全需求的医疗云平台。

目前缺乏专门的医疗云数据安全相关指南，现有的云安全指南（例如：标准GB/T 31168-2014）主要以云服务产品为主体，对数据安全保护要求的描述不够全面，导致基于云的医疗保健服务存在一定的风险，阻碍了医疗云的发展。因此，亟需使用针对数据安全能力进行评价的标准，对医疗云服务机构以及相关利益方进行测评。作为第三方评估机构，建议医疗云服务相关利益方采用DSMM标准“以评促建”，是当前提升医疗云数据安全体系建设的可行解决方案。

1. DSMM评估要素

GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》（简称DSMM）可围绕组织数据采集、传输、存储、处理、交换和销毁的数据全生命周期进行分析，在每个阶段从组织建设、制度流程、技术工具和人员能力四个维度进行能力成熟度等级评估，从而得到组织数据安全能力结果。

2. DSMM评估价值

DSMM评估是从数据安全管理的角度，以组织的数据为核心，围绕数据全生命周期进行分析、发现数据安全风险。专业团队通过DSMM评估可帮助组织定位自身数据安全短板，有针对性地提出数据安全能力提升路径，能够在一定程度上解决目前医疗云在数据安全方面存在的问题：

（1）组织建设落实医疗机构数据安全责任

构建数据安全决策层、管理层、执行层三层管理结构，确定职责分配和沟通协作机制，为增强医疗机构的数据安全风险意识做基础。

（2）制度流程细化医疗机构数据安全策略

建设各项数据安全理制度体系，依据DSMM标准、GB/T 39725-2020等医疗数据安全相关标准从上层得数据安全方针和总纲到中层的数据安全管理规范，最终到数据安全合规操作指南和作业指导。在建设制度体系过程中，不断提升各岗位角色数据安全风险意识。

（3）技术工具统一信息系统建设水平

梳理医疗云中的各信息系统，提出统一建设要求，使得系统本身和辅助工具均有效执行数据安全策略。

（4）人员能力提升专业数据安全水平

制定相关人员参与提升计划，为医疗云以及相关利益方培养核心人员数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力，为理解、使用云解决方案做人才储备。