跳到内容 可访问性信息

德州医疗集团博客

你想知道的manbetx体育下载保险的一切

医疗保健风险洞察:通过防止网络攻击保护患者数据

通过防止网络攻击保护患者数据

医疗机构数据泄露的威胁令人生畏. 隐私是医院信息系统的基础, 如果仅仅有一个病人的信息落入错误的人手中,那么遵守《manbetx主页》(HIPAA)——以及医疗机构的声誉——都将受到损害. 保健设施是特别的目标,原因有二:

  • 存储的数据类型: 医疗机构可能保留病人的社会安全号码, 保险及财务帐目资料, 出生日期, Name, 帐单地址, 和电话号码, 使他们成为网络攻击的重要目标.
  • 许多潜在的漏洞: 卫生保健机构有义务提供几个外部网络和网络应用程序的接入,以便与患者保持联系, 员工, 保险公司或业务伙伴. 共享的数据量代表着风险.

这要便宜得多, 从财务和声誉的角度来看, 根据《manbetx主页》(HITECH)的要求,防止网络入侵,而不是通知个人和卫生与公众服务部(Department of Health and Human Services)。. 作为一个结果, 政府必须采取预防措施, 通过精心策划的网络安全计划检测和响应网络攻击或滥用患者记录. 


有什么风险?

保护业务的第一步是识别流程中容易受到网络攻击的部分. 

应用程序和系统: 外部应用程序和系统对敏感患者数据的不当访问已经成熟. 因为管理员不能完全控制外部应用程序的安全性, 设施应该定期执行web应用程序安全测试.

软件缺陷: 软件和计算机系统的弱点吸引了黑客和入侵者. 这种网络风险的后果从最小的恶作剧(如制造没有负面影响的病毒)到恶意活动(窃取或更改信息)不等. 入侵防御和检测系统可以向您发出网络攻击警报,并让您实时作出反应. 

恶意代码(病毒、蠕虫和木马): 有各种类型的恶意代码可以将您的组织置于危险之中:

  • 病毒:这种类型的代码需要用户采取行动,才能感染您的系统, 比如打开电子邮件附件或访问特定网页.
  • 蠕虫:该代码在没有用户干预的情况下传播系统. 他们通常从利用软件缺陷或弱点开始. 一旦受害者的计算机被感染,蠕虫将试图寻找并感染其他计算机.
  • 特洛伊木马:这段代码是一种软件,它声称是一种东西,但在幕后却表现得不同(例如, 一个声称能提高电脑系统速度的程序,实际上却在向远程入侵者发送机密信息。.

 实施防止这些攻击的系统, 包括防火墙和常规安全控制对保护敏感数据至关重要.

电子邮件缺乏加密: HIPAA指南要求对与医生办公室和医院的一些电子邮件通信进行加密,以保护患者信息. 由于现在大多数通讯都是电子的,因此对这些通讯手段进行监控就显得尤为重要.

内幕: 无论是现在还是以前的员工,从账单员到临床医生,都应该明白,在没有正当理由的情况下查阅病人记录的后果可能从严重的惩罚到解雇不等. 员工通常只是好奇, 只有严格的策略才能有效防止这种类型的数据丢失. 许多设施实现了日志监视, 对敏感病人资料的访问记录进行定期审查.

物理信息丢失: 另一个潜在风险是丢失或被盗的笔记本电脑, 导致患者或员工的个人信息丢失.

如果出现安全漏洞, HITECH要求在短时间内通知有关个人和卫生与公众服务部(HHS).


风险管理

在HHS或HIPAA突击检查的情况下, 工厂必须证明他们符合HIPAA和HITECH中概述的所有法规和要求.

为降低您的设施的网络风险,明智的做法是制定全面的风险管理计划. 风险管理解决方案利用行业标准和最佳实践来评估未经授权访问的危害, 使用, 信息披露, 中断, 修改或破坏你的设施的信息系统. 之后, 定期进行安全风险评估, 哪一项将使您更好地了解这两项法案中所概述的受保护健康信息和个人身份信息所面临的风险.

你们还应该检查你们工厂的控制措施,以确保它们足以满足监管要求. 执行此过程有助于您的组织保持合规性,并在审计的情况下证明勤勉和承诺合规性. 

在实施风险管理策略时,应考虑以下几点:

  • 创建一个正式, 描述范围的文件化风险管理计划, 角色, 责任, 执行网络风险评估的合规性标准和方法. 该计划应包括组织中基于其功能所使用的所有系统的特性描述, 存储和处理的数据以及对设施的重要性.

至少每年进行一次安全风险评估,并在信息系统或存储系统的设施发生重大变化时进行更新, 或者当有其他可能影响组织脆弱性的变化时.  


选择一个ISP

除了, 你的机构在选择互联网服务供应商(ISP)时应采取预防措施, 哪个提供了对互联网的访问, 网站托管和其他服务. 选择最能降低您的网络风险的ISP, 考虑安全级别, 它提供了隐私和可靠性.


转移的风险

网络安全是所有医疗机构都严重关注的问题. 联系您的代理了解可用的风险管理资源和保险解决方案,如互联网和媒体责任, 安全和隐私责任, 以及身份盗窃保险.


本风险洞察并非详尽无遗,也不应将任何讨论或意见解释为法律建议. 读者应联系法律顾问或保险专业人士寻求适当的建议. ©2015 Zywave公司. 保留所有权利.



讨论

目前还没有任何评论.


留下你的评论

必填字段用

评论

您的姓名、评论和URL在经过审核和批准后将出现在此页面上. 您的电子邮件地址将不会被公布.