鉴于医疗数据泄露事件的频发，国家从多层次明确提出了医疗数据安全要求，旨在通过政策引导全面提升行业的数据保护能力。2022年8月，国家卫生健康委等三部门发布了《医疗卫生机构网络安全管理办法》，明确指出，要以保障数据的机密性、完整性、可用性为目标，采取数据加密、数据备份、数据脱敏等技术手段，确保数据在全生命周期内都得到充分保护。截至目前，我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心，行政法规、部门规章为依托，国家标准和行业标准等为指南的金融数据安全合规保障体系。

从行业层面，《关于促进“互联网+医疗健康”发展的意见》和《关于促进和规范健康医疗大数据应用发展的指导意见》基本确定了医疗行业的两大方向：互联网医疗和大数据应用。随后，《医疗卫生机构网络安全管理办法》《关于进一步完善医疗卫生服务体系的意见》《国家健康医疗大数据标准、安全和服务管理办法》《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》等规章制度的出台保障了相关指导意见的落地实施。分析来看，医疗行业重点关注可信体系建设、个人隐私信息保护、网络安全等级保护、安全管理监督、健康医疗信息化复合型人才队伍建设等重点方向。

在大数据时代，医疗数据的价值愈发凸显，但同时也面临着前所未有的安全风险。数据泄露可能导致患者隐私泄露，数据滥用可能引发医疗纠纷，数据篡改则可能直接影响医生的诊断结果。这些风险的存在使得医疗行业在数据安全风险评估方面变得尤为紧迫和必要。

我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策，监管要求日趋精细化，网络和数据安全监管要求越来越多，满足监管的难度越来越大。

数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后，无法有效支撑数据分类分级工作；传统数据分类分级工具在敏感数据的宽度、精度识别率不高；面向海量数据的数据资产分类分级，专业人员数量缺口巨大。

业务对数据流动性要求日益增加，使得数据流动路径变长，给监测带来困难。

在数字经济时代，数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生，企业面临着盗窃、勒索和恶意软件等多种风险。

数据安全风险评估是医疗数据保护的基石，标志着安全建设的起始点。通过识别、分析信息系统中的威胁与脆弱性，量化潜在的数据泄露风险，为医疗机构提供了定制化的防护策略蓝图。

道普信息数据安全风险评估专家表示，借助专业的第三方评估服务，基于数据分类分级的风险评估模型，通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理、合规性管理以及数据全生命周期安全管理7大层面，从组织建设、制度流程、技术工具、人员能力4个维度，对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估，发现数据存在的安全风险。并针对发现的数据安全风险给出风险处置计划。

数据安全风险评估准备的内容，主要包括：评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。

主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。

通过采取适当的方法与工具，可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响程度，从而得到数据安全风险值。

企业在执行完数据安全风险分析后，通过风险值计算方法，会得到风险值的分布状况，对风险等级进行划分，一般会划分为：高、中、低三个等级。依据风险评价中风险值的等级，明确风险评估结果内容。