[导读]医疗行业在患者数据保密性和安全性方面面临巨大挑战。随着数据的不断增加,病毒、黑客和其它新的威胁仍然继续存在,安全漏洞也越来越多。美国一项最新调研显示,69%的医疗信息主管表示他们的信息技术部门“提高了安全/网络安全的预期”,并将其列为最重要的工作。
标签:医疗安全
医疗行业在患者数据保密性和安全性方面面临巨大挑战。随着数据的不断增加,病毒、黑客和其它新的威胁仍然继续存在,安全漏洞也越来越多。
咨询外购公司CSC近期发布的一项报告显示,69%的医疗信息主管表示他们的信息技术部门“提高了安全/网络安全的预期”,并将其列为最重要的工作。
报告指出,由于实现预期需要付出高昂的代价,医疗服务提供者把重点放在管理工作和费用方面。当问及如何看待“扩大信息技术安全/网络安全的管理工作”时,43%的受访者表示“非常重要”,36%的受访者把“更有效的信息技术安全/网络安全”作为“第一要务”。
很多人希望通过创新来解决效率问题,但是这样也会带来安全问题。当问题影响信息技术部门创新方面的领导力的主要因素时,44%的受访者表示“预算限制(48%)”和“有效管理信息技术/网络安全风险问题”(44%)。
“医疗行业希望使用创新技术,探索创造额外的安全挑战,”CSC全球协调员Richard Staynings表示,“例如,提高人口整体健康水平需要大型系统和海量数据,这返回来又会带来更多的安全问题。”
采用新技术和应用程序也会带来风险。“按照今天的标准来说,绝大部分医疗应用程序都已过时,而且在传统的客户机/服务器环境中运行了很长时间,”Staynings说,“员工希望通过智能手机和其它个人设备进行访问。与此同时,越来越多的临床应用程序需要访问这些老旧的系统及其数据,以便进行有意义的信息交互。然而,这些系统并没有进行安全地建构。”
联邦层面
医疗服务提供者还必须出台保密性和安全性的规定,来满足联邦政府不断变化的预期。民权办公室开展了审查各种试点项目,但是需要披露这方面持续的战略。
2月底,OCR在《联邦公报》中发布了对HIPAA覆盖的实体和业务伙伴的信息采集要求,机构出台了一些计划。该调查将更好地了解机构筹备OCR HIPAA审查计划的情况,帮助机构确定审查计划。
OCR表示,调查可用以“评估审查受访者的规模、复杂性和适当性。”OCR还从各个机构获取了近期的数据,例如患者就诊数量、被保人数量、电子信息使用情况、收入、企业场所等来确定哪些实体合适审查。
与此同时,美国商务部国家标准技术局发布了网络安全框架,旨在帮助各个机构保护数据资产,免于受到越来越多的网络攻击。
2013年2月奥巴马政府发布了相关政策,呼吁构建自发的、基于风险的网络框架——系列现有标准、指南和实践帮助各个机构进行风险管理。框架提供了有效应对管理网络的共同语言,没有发布新的商业规定。
文件中提到的三个主要要素是框架核心、等级和概况。核心代表五大功能:识别、保护、响应和恢复,这使医疗机构能够了解设计网络安全计划。等级描述了医疗机构的网络安全风险管理实现框架规定目标的程度、“范围设计非正式积极响应、敏捷的风险指引等。”概况帮助机构从当前的网络安全程度提高到既定标准满足商业要求。
互联网审查
除了新威胁以外,出现了管理保密性和安全性的新工具。自上世纪九十年代以来,西维吉尼亚大学医院一直都在使用电子工具。其信息系统总监Mark Combs表示:“即便在那时,我们知道需要开展一些审查工作。”
自第一部隐私法生效以来,“我们尽可能做好审查工作,然而发现其实我们只接触了一小部分群体。我们只应对了不到十分之一的就诊量和员工,纸质流程非常耗时。”
由于该系统拥有不止一个应用程序生成、包含受保护的医疗信息,所以希望能够汇总所有信息、生成报告。他们发现一个工具,可以调取最多10个应用程序的审计日志。由三个人组成的审计小组运行定期报告,指挥管理者对标记项目进行初步检查。
Combs表示,流程有强大的威慑作用。在使用商业化的电子病历前,该系统使用国产应用程序,它将主机类信息合并成网络可读的格式。“这样人们就能登录,以可读格式查看记录。”
“我们在采取行动后,改变了规定。人们仍然希望登录查看自己的记录。”他指出。但是为了保护病历的完整性,该系统决定停止访问。通过报告、最新规定、教育和培训,员工们知道不能看自己的记录——或者其它任何记录,这不是他们的工作内容。“我们首先采取了不惩罚的方法,但是现在不适当的访问已经没有任何借口可言。”
对于未来,Combs表示计划不断发展流程,并为所在的机构构建应用程序采购流程。其中包括在采购应用程序时考虑成本,把审计工作融入到第三方的审计工具中。
主动采取措施
Melnik Legal负责人Tatiana Melnik在卫生信息管理系统协会年会上表示,医疗机构在应对不断出现的威胁方面有很多工作可做。“评估一下情况,”她建议到,“知道自己文件里有什么样的个人信息。”
大多数医疗服务提供者可以缩小规模。她说:“只保留业务需要的内容。制定书面记录自留责任保险规定,删减信用卡和借记卡电子打印收据上的账户信息。”
保存的信息必须妥善保护。信息可能受到等多种形式的攻击,例如通过员工和承包人,电子问题和体力不足。她表示,应把定期开展有效培训纳入工作准则和工作规程。
“妥善处理不再需要的信息。”Melnik强调。在旧电脑上使用擦拭工具项目,确保远程员工在硬件上使用相同的程序。
Melnik还建议,医疗服务提供者应谨慎选择厂商,并根据具体情况与业务伙伴签订合同。“标准协议给业务伙伴太多的余地。”
由于每个机构都会遇到信息泄露事件,Melnik建议应购买保险。2012年,每份记录的泄露补偿额平均为188美元。500位患者信息泄露的补偿额就等于9.4万美元。
由于受到威胁、存在缺陷和各种解决方案的影响,未来医疗保密性和安全性状况将不断变化。
原文标题:Cut Your Security Risk
原文作者:Beth Walsh
验证码: | 点击图片可刷新验证码 |