学文网按照《健康保险便利及责任性法案》(HIPAA)的要求,要加强对存储信息的访问管理及保护,并确保数据的可用性,这给医疗组织的IT人员施加了极大压力,但同时也有助于确定未来几年的发展策略。
HIPAA可以让IT人员知道对医疗组织极其有利的最佳实践,人们尤其关注的一个话题就是如何安全地访问存储信息。考虑到HIPAA主要着眼于存储及处理受保护健康信息(PHI),所以,确保你所存储的数据尽可能安全是至关重要的。医疗组织的CIO通常关注三个重要方面: 身份和访问管理、灾难恢复规划和智能卡。
问题一: 身份和访问管理
身份和访问管理是一个含义广泛的术语,它指这样的系统或者解决方案: 能够识别网络上用户的身份,然后通过把用户的权限、验证、授权和限制与已明确的身份联系起来,从而控制他们对网络资源的访问。
此类解决方案通常结合多项技术,如果是多个医疗机构,身份管理的范围可能会扩大到防火墙外面,包括联合身份管理。这项技术的组成部分如下:
1.密码重置。这项功能让用户可以更改各自的密码,往往借助基于Web浏览器和电子邮件的功能。***的密码重置解决方案也可以与求助台软件进行集成,自动生成、开设及撤销密码重置请求。虽然价格有所不同,但每个用户的成本通常在10~20美元。
2.密码同步。这项功能让员工只要使用一个密码,即可访问所有应用系统。密码更改后,其他所有系统的密码也都同时更改。用户通常需要逐个登录每个系统,但他们只要记住一个用户名和密码。如果单独购买,这项技术的费用为每个用户10~30美元,具体价格还取决于购买量。
3.单次登录(SSO)。不像密码同步,基于SSO的解决方案让用户只要登录一次,就可以访问所有应用和系统,而不是逐个登录。这项技术通常比密码同步技术更昂贵、更复杂,对系统的影响也更大。如果把它从整个身份管理套件中单独拿出来,这种产品的起价约为每个用户80美元。
4.密码策略执行。许多系统还提供可以自动执行多个密码策略的模块,包括密码长度、可接受的字符及密码历史,并确保这些策略与其他策略或者应用需求没有冲突。
问题二: 灾难恢复规划
从理论上来讲,灾难恢复规划更多地涉及业务连续性,而不是涉及安全。但实际上,存储数据的安全性意味着必须确保数据的可用性和机密性。因为HIPAA含有针对灾难恢复规划的具体规定,所以有必要从整个安全环境来谈论灾难恢复规划。
特别是,HIPAA要求所有医疗组织做到以下几点:
1.制订数据备份计划。这意味着确保所有信息都可以从电子拷贝或者备份取回。组织的灾难恢复规划应当考虑到无法取回的任何信息(譬如纸张文档)。尽管HIPAA并没有规定有关备份计划体系的考虑因素,以下是要考虑的几个方面。
弄清楚贵组织能承受丢失多少数据,以及能承受丢失哪些数据带来的后果;
确定进行备份的最佳时间;
确保备份数据定期发送到异地,并且易于访问。
2.制订及执行灾难恢复计划。HIPAA的灾难恢复条款规定: 需要制订及执行相应步骤,以恢复丢失数据。这项要求可能会有不同解释,但从最佳实践的角度来看,从以下几方面入手比较可行。
制订从最新的异地备份恢复数据的技术步骤;
执行核实数据是否按需要加以恢复的步骤;
制订所恢复配置的核实步骤,确保功能恢复;
制订步骤,便于重新录入上一次备份到服务中断之间丢失的数据,这类步骤将依靠人工处理来重新录入数据。
3.确保紧急状况下遵守规定。根据HIPAA的规定: “紧急状况下的操作计划需要便于业务流程继续运作,并且保护电子健康信息的安全。”紧急状况的定义是“万一遇到火灾、故意破坏、自然灾难或者系统故障,企业能够继续运作。”HIPAA详细叙述了灾难恢复规划,确保合适的安全措施已到位,从而保护在技术故障期间必须继续正常工作的人工记录流程。这些措施包括以下步骤:
确保创建人工记录(新旧)的步骤;
确保安全、及时地存储记录以及合理销毁记录的程序;
控制人工记录物理安全的程序(保险箱和上锁的文件柜)。
4.每天进行受保护健康信息的增量备份,每个工作周需要完全备份一次。
把备份介质存放在防火、防水的保险箱或者安全的异地位置,对备份介质进行定期测试,确保可以恢复,为所有应用和电子邮件文件保留一份完整的存档索引。
问题三: 智能卡
智能卡技术非常适用于确保医疗组织的安全,尤其是因为这项技术在不断成熟,所存储的数据也日益庞大。医疗机构使用嵌入式芯片智能卡主要用于存储病人的生命统计数字、医疗记录及用于急救护理的其他医疗信息。
智能卡还便于迅速注册及许可,保存信息用于健康计划和健康保险。考虑智能卡访问控制时,要考虑以下这些问题。
1.确认需求。譬如说,临床医师和内科医师可能使用患者的病历卡来查询或者记录最新病史、诊断试验的状态、疗法、药物引起的过敏、禁忌症以及保险范围条款。智能卡还可以让药剂师查看持卡人的药物计划和付款方案、医生处方以及患者当前使用药物的清单。这些信息可以使药剂师更有效地防止病人出现药物不良反应。
2.始终别忘了数据隐私问题。一些智能卡使用无接触芯片,这种芯片可与邻近传感器相互联系,以识别走近工作站或者穿过走廊的人。必须把这时候收集的任何信息看成是隐私的、保密的。
3.一定要关心设备成本。在过去的两年里,与智能卡及支持技术相关的成本已有所下降,如今已到了更多医疗组织所能承受的范围内。
智能卡和读卡器都称得上是计算机设备,所以作为一种资产会逐渐贬值;
智能卡的价格会有变化,具体取决于购买数量及所需功能;
读卡器的成本也会有变化,具体取决于你需要多少数量以及是否需要生物特征识别功能;
更换成本,智能卡的平均使用寿命大约为5年。
转载请注明出处学文网 » 关注HIPAA的三个方面