DoSECU 安全分析 3月4日消息:我们期望能看到美国健康和公共事业部(HHS)管辖的医疗保险和补助服务中心(CMS)的健康保险流通与责任法案(HIPAA)能在新的一年得到实施。去年10月由美国健康和公共事业部监察长发布的报告认为医疗保险和补助服务中心在HIPAA的执行方面有失察之责并对此进行了批评。这个举动对HIPAA起到了推动作用。由此我们也近距离的看到健康和公共事业部和内阁秘书和奥巴马执政管理机构会如何应对悬而未决的医疗问题,又会如何推行HIPAA来提升国家电子医疗记录系统的计划。
对健康保险流通与责任法案(HIPAA)最常见的指责是细节部分过于模棱两可–没有产品公司列入其中,没有获批的选购清单来指导患者进行鉴别。从很大程度上来说,健康保险流通与责任法案(HIPAA)的一个目的就是故意要搞一刀切。
有许多信息安全在享受灵活性的同时还希望得到更多的安全指导。无论你姿态如何,健康保险流通与责任法案(HIPAA)都要求IT部门根据他们具体的环境量体裁衣制定安全项目。为了给用户提供帮助,我们将企业构建合格的安全项目的10个步骤归纳如下。
步骤1.指派一名安全负责人
听起来这是最基本的一步,多数大型企业都会指派一名信息安全官来负责安全事宜。但是小型企业可能不会意识到指派专人负责健康保险流通与责任法案(HIPAA)活动协调的价值。这并不意味着安全官要完成所有的工作;事实上这个人是负责追踪法规遵从需求和将项目引入到负责执行的内部团队。
步骤2.对每项风险进行评估
健康保险流通与责任法案(HIPAA)的本质是建立可持续安全管理流程来减少风险和将被攻击的可能性降低到合理的水平。这个流程包括风险评估,减轻鉴别风险,文件风险,管理流程和步骤。所有的流程都从风险评估开始,至少每隔5年就要进行一次。
你的风险评估将对所有其他的执行步骤起到指导作用。但是必须谨记:任何评估都只是对当时某个点的反馈,计算环境是不断变化的。这也是安全管理流程概念重要的原因。每次新的系统联机或者现有系统发上变化时,都必须对风险重新进行评估。在这一点上有可以决定风险是否在承受范围之内,可以使用保险或者其他战略进行转化或者减缓。
步骤3.每件事都记录在案
政府安全需求对文件的需求是很大的,健康保险流通与责任法案(HIPAA)也不例外。对协议和标准记录在案的需求通常会上升到健康保险流通与责任法案(HIPAA)安全章程的层面。医疗保险和补助服务中心(CMS)会为健康保险流通与责任法案(HIPAA)安全审计提供一份样本问题的清单;多数都涉及协议和流程等文件的审核。
在协议和流程中必须包含什么内容呢?开始就要涉及安全章程的标准。这里包含了健康保险流通与责任法案(HIPAA)中的一个关键概念:标准即是"必需的"也是"可设定的"。显然,必需的标准必须要执行,尽管其中的多数仍然为环境的自定义预留了足够的空间。可设定标准就很有趣了,因为这就意味着如果标准不适用于你的环境,或者你已经设定了可选的标准,那么你可以自行决定。
步骤4.了解你的用户
医疗保险和补助服务中心(CMS)表示信息访问管理和访问控制是安全章程中最常见的两种干预行为。信息访问管理包含了授权访问私人健康信息的协议和流程。举例来说,一旦用户被授权访问这些信息,他该如何来进行访问呢?在很多企业,这对于人们是司空见惯的事情,特别是供应商被授权使用常规帐户来访问患者系统,甚至让计算机任意由下一个用户登录。如果你爱上这种便利,现在后悔还来得及。每个用户都必须用独一无二的验证码来访问患者数据。
步骤5.为事故做好准备
健康保险流通与责任法案(HIPAA)要求必须有相应的流程对安全事故进行验证和反馈,将事故的危害性后果降低到最小,并将最后决议记录在案。前期的风险评估决定了你的事故反馈需求。如果互联网攻击存在高风险,你可以决定设置复杂的入侵侦测系统。大型企业可能需要成立由专家组成的经常性事故反馈团队,小型企业会将这些职责委派给现有的员工,在事故发生时将解决任务包给专门的机构。无论你的企业规模如何,对发生的事故记录在案都是至关重要的。
步骤6.做好最坏的打算
健康保险流通与责任法案(HIPAA)不仅仅是保护数据不受未经授权的访问。随着患者看护所需的信息越来越多,患者账单日趋电子化,确保系统的可用性和数据的可靠性是非常关键的。你的意外事故计划必须涵盖私人健康信息的备份和恢复,连带灾难恢复的准备工作都要做足。你的计划还必须包括紧急情况下的手术准备–企业如何在无需访问电子私人健康信息的情况下仍能继续运作,在灾难发生期间如何继续保护系统上的数据等。
步骤7.控制媒体设备
根据医疗保险和补助服务中心(CMS)的介绍,对存储患者信息的设备和媒体进行管理是健康保险流通与责任法案(HIPAA)干预的一大重点。安全章程包括涵盖设备和媒体的四项规定。健康保险流通与责任法案(HIPAA)还包括追踪与数据备份和处理相关的存储设备和媒体的规定。
步骤8.培训员工,保持警惕
用户是安全的关键。所有在职的员工都必须经常性进行安全培训。健康保险流通与责任法案(HIPAA)让你来决定如何对员工进行培训,尽管法案中也规定将定期安全升级写入培训计划。
步骤9.记录和审计
健康保险流通与责任法案(HIPAA)要求涉及的实体要记录和检查存储或者使用私人健康信息的系统活动。你在风险评估中评定的高风险威胁将帮助你决定需要记录什么来满足这种需求。但是理解其中的内容也很重要。安全章程在确保用户鉴别和验证的唯一性上也经历着巨大的伤痛。通常在电子媒体设置中很难预测谁需要访问那个患者的数据。这种数据访问的限制也会导致患者治疗的延误。
反之,执行合理的访问限制和遵循访问追踪的审核将确保员工不会擅自看到或者篡改未经授权的记录。
步骤10.清除老化记录
这个步骤将通过减少需要保护的数据数量来简化健康保险流通与责任法案(HIPAA)遵从的工作量。当你的风险评估都建立了库存清单后,你就不必只关注那些日常使用的系统,而是可以清理老化设备和作废数据库中的数据仓库。
一旦你使用库存清单来验证过时数据和系统,你必须做出正确的决定:是清除还是保留?如果你有保留数据的理由,这个数据是否还需要访问?如果没有,把它归入永久性媒体和存储在离线数据存储公司的数据库中。磁带上的数据不会受到黑客或者恶意员工的侵扰。
