医院个人信息合规解决方案以数据字化平台承载了领先的“数据智能管理+合规风险评估+安全防护与治理”三位一体的产品矩阵和解决方案,为医院快速搭建合规管理体系,全面梳理个人信息数据资产,将个人信息全生命周期处理与业务流程相结合,基于数据智能驱动,自动化评估合规风险,为医院提供针对性的合规治理和数据安全防护,实现个人信息的G(治理)R(风险)C(合规)的闭环。
医院个人信息合规解决方案提供合规体系建设、数据智能管理、智能合规评估、合规风险管理、安全合规治理、数据安全防护六大功能模板。
a、合规体系建设
提供医院个人信息合规管理框架,预置管理政策、组织与流程的各类模板,支持在线管理,帮助企业快速搭建个人信息合规管理体系。
Ø 管理政策:在线发布和管理企业的隐私总体政策,支持多个历史版本的归档查询。
Ø 管理组织:内置角色与职责,支持企业灵活设计决策层、统筹层、执行层等多层级的隐私管理组织架构,生成任命。
Ø 流程规范:提供个人信息相关的多项流程规范及管理规定等模板,支持在线管理、发布和归档。
b、数据智能管理:
全面发现和识别医院的个人信息数据资产,进行分类分级管理;通过数据映射关联企业业务活动,全链路跟踪个人信息的全生命周期数据处理。
Ø 数据智能发现:提供个人信息通用词典和行业数据词典,支持结构化和非结构化数据扫描,识别20+主流数据库和文件格式,精准识别敏感和重要特征数据;支持多重维度数据标签和5层安全分级,以明确访问和控制要求,匹配不同安全策略。
Ø 数据智能映射:内置业务数据模型和业务流程模板,将个人信息关联映射到收集、处理、存储、使用和共享等各阶段的业务处理活动,展现个人信息全生命周期路径。
Ø 个人信息数据图谱:可视化自动呈现个人信息数据清单及个人信息处理活动。
ü 数据目录图:个人信息资产分类分级多维导航与统计分析;
ü 数据关联图:可视化呈现个人信息与资产、业务、第三方等的关联关系;
ü 数据流转图:基于场景的业务全链路个人信息流转动态呈现;
ü 数据血缘图:跨业务、跨资产、跨组织的个人信息可视化溯源。
C、智能合规评估:
面向医院多样化的业务合规场景,预置针对性的合规评估模板,以法规解读、案例和优秀实践为支撑,智能关联医院的个人信息资产和处理现状,帮助医
院实现自动化/半自动化评估。
Ø 标准认证评估:匹配ISO 27001/27701、GB/T 35273、ETSI 303645等国际/国内信息安全、隐私安全及产品安全准入的相关标准要求,快速进行差距分析和风险评估。
Ø 国内PIA评估:深度分解中国个人信息保护法的法规要求,提供面向组织、业务以及各专项处理活动等多场景的个人信息安全影响评估。
Ø 海外PIA评估:面向欧盟/北美/日韩等主要区域,匹配出海企业的合规诉求,提供符合当地隐私法规的隐私保护影响评估。
Ø 行业合规评估:针对金融/医疗/交通等主要行业,结合行业数据管控要求,智能关联企业合规业务场景,给出行业合规评估结果。
智能合规评估以工作流程引擎为驱动,跨部门高效完成评估任务的分发、填写和审核,自动生成图文并茂的合规评估报告。
合规评估支撑的法规或标准体系如下:
|
评估分类 |
合规标准或法规体系 |
|
标准认证评估 |
ü ISO/IEC 27001信息安全管理体系 ü ISO/IEC 27701隐私信息管理体系 ü GB/T 35273 个人信息安全规范 ü ETSI EN 303 645 欧盟物联网消费品网络安全认证 |
|
中国个人信息安全影响评估 (国内PIA评估) |
中国PIPL《个人信息保护法》 ü 个人信息安全影响综合评估 ü 个人敏感信息处理专项评估 ü 个人信息公开披露专项评估 ü 个人信息共享专项评估 ü 个人信息出境专项评估 |
|
海外隐私保护影响评估 (海外PIA评估) |
ü 欧盟GDPR《通用数据保护条例》 ü 北美CCPA《加州消费者隐私法案》 ü 印度PBPD《个人数据保护法案》 ü 日本PIPA《个人信息保护法》 ü 其他...... |
|
行业数据合规评估 |
ü 《医疗卫生机构安全管理办法》 ü GB/T 39725健康医疗数据安全指南 ü 省市《卫生健康行业个人信息安全保护专项行动检查指标》 ü 《汽车数据安全管理若干规定(试行)》 ü 《中国银保监会监管数据安全管理办法(试行)》 ü 《个人金融信息(数据)保护试行办法》 ü 其他…… |
d、合规风险管理:
基于数据全链路,深度融合业务,内置风险量化模型,全面呈现企业安全合规风险,给出针对性的处置建议,做到风险的有序消减
Ø 风险态势感知:以全局视角深度融合业务,通过高维聚合分析,全面、精准、动态感知企业合规和数据安全风险,并做可视化呈现,可溯源、易溯源。
Ø 风险处置建议:根据风险级别和业务合规现状进行排序,给出针对性的风险告警和应对措施,与安全合规治理可直接联动。
Ø 风险闭环管理:基于PDCA循环,对风险的登记、确认、预警、分发、整改等进行全周期管理,跟踪风险直至闭环。
e、安全合规治理:
为医院提供个人信息及其他数据处理活动进行合规治理的一系列产品套件:
Ø 隐私声明管理:提供权威的隐私申明模板,联动企业个人信息采集和处理活动,交互式引导生成隐私申明文档,并提供在线服务,可直接嵌入企业的网站或APP等。
Ø 同意管理:收集并记录个人信息主体对企业数据处理活动的授权同意或订阅意见,并针对用户的同意信息进行有效性验证和优先级管理,输出统计分析报告。
Ø Cookie管理:提供所见即所得的Cookie面板定制功能,支持对Cookie收集字段的自定义管理,记录用户的偏好设置,支持企业零代码嵌入网站实现用户访问合规。
Ø 第三方合规管理:从面向第三方的共享数据管理、数据协议管理、第三方合规评估、个人信息共享评估等维度,对第三方及数据共享行为进行全面的合规管理。
Ø 应急事件管理:提供符合法律要求的合规应急事件的预案和自动化处理,内置应急事件识别指引,可灵活设置事件触发器,自动匹配通知要素和通知对象。
Ø 个人信息出境管理:区分企业不同的出境场景,适配个人信息出境途径和流程指引,检查跨境个人信息的合规要点,输出出境评估报告。
Ø 隐私保护设计管理:将个人信息保护要求融入产品与服务开发全过程,明确需求分析、系统设计、开发与验证、上市等生命周期各阶段应采取的隐私保护活动,并做关键节点的管理。
f、数据安全防护:
针对合规评估的数据安全风险,提供一系列数据安全防护产品和工具:
Ø 数据安全检查:集检测、监控、分析、评估为一体,扫描客户环境中的IT资产,检查和自动识别安全漏洞和弱口令等信息,帮助客户理清资产分布和安全风险现状。
Ø 数据脱敏:对数据访问、数据共享、数据迁移、数据传输等过程中的敏感数据实施遮盖、替换、变形等动态或静态脱敏手段,以达到敏感数据防泄露的目标。
Ø 数据库防火墙:应对数据库应用侧和运维侧的安全防护,实现对数据访问行为的控制,对危险行为进行阻断,对可疑行为进行审计,有效防护外部入侵和内部违规。
Ø API监控与审计:监控和跟踪来自第三方或其他业务系统的API调用,对API中传输的数据进行敏感信息的识别,并做有效审计,以防外界API调用的滥用。