Business School
商学院
手机:13521943680
电话:010-62904558
医疗保健信息安全管理的重要性
今天的医疗保健比以往任何时候都更加数字化,而且这种转变已经证明了对患者和提供者的重大好处。通过以数字方式存储患者信息,医生可以快速访问和更新准确的记录。提高护理速度可以挽救生命,世界各地的组织正在尽其所能确保其数字能力与整个行业同步发展。
然而,与任何高速数字演进一样,也存在复杂性和风险。也就是说,新功能有其自身的安全问题。医院和其他设施必须大力投资于安全的医疗保健信息管理实践,训练有素的工作人员负责将这些流程落实到位。
没有安全性的进展是一个有风险的前景,而医疗保健组织存储了如此多敏感的患者信息这一事实使医疗行业更加如此。要进入安全的医疗保健信息管理领域,您必须准备好解释和应用影响医疗保健提供者的行业特定数据安全指南,然后超越这些最低要求来制定尖端的数据保护计划。
虽然在承担健康数据安全方面存在明显的挑战,但未来几年相关角色的需求量也很大。通过承担这些职责,您可以成为组织中管理信息系统团队的重要成员。要确定此职业道路是否适合您,您可以熟悉健康信息安全专业人员将被要求执行的任务,以及医疗领域数据保护的一般状态。
为什么医疗保健信息安全很重要?
有多种类型的损害可以追溯到处理特权健康信息的组织的信息安全故障。例如,如果违规或检查失败表明设施不符合数据安全法规,结果可能是大规模罚款并损害您设施的声誉。
据 HIPAA 杂志报道,与医疗数据泄露后的清理相关的纯粹成本——修复受影响的系统、支付法律费用和罚款等等——平均为 220 万美元。网络犯罪分子知道,当今的医疗保健提供者持有大量可利用的数据,使这些组织成为主要目标。这意味着该领域的任何对安全性不够重视的服务提供商都有可能遭受如此昂贵的损失。
随着技术的快速发展和对细心安全的持续需求,公司有充分的理由进行投资。这超出了购买技术工具的范围,尽管这些很重要。医疗保健提供者及其合作伙伴组织的员工了解数据安全的最佳实践并能够随着法规和规范的变化保持其流程的最新状态,这一点也很重要。
在为健康信息安全设计综合策略时,检查这些法规是第一步。虽然没有医院或其他护理机构应该满足信息管理安全政策的最低要求,但好的策略始于对法律的基本了解。
HIPAA 的安全规则要求什么?
健康保险可移植性和可访问性法案 (HIPAA) 安全规则是医疗保健 IT 部门面临的最重要的立法之一。HIPAA 和《经济和临床健康健康信息技术 (HITECH) 法案》共同塑造了提供商存储、共享和使用患者信息的方式,而安全规则直接涉及对这些数据的保护。
真正全面的安全策略,即符合并超越监管规定的安全策略,必须涵盖可能破坏数据的任何可能方式。由于患者病史可以以多种方式存储,无论是作为物理文件还是作为电子健康记录 (EHR),负责敏感数据的专业人员都有大量的潜在威胁需要应对。
HIPAA 安全规则将必要的防御措施分为四类。其中一些是可以购买和实施的项目,而另一些则采取实践和政策的形式。如果您打算从事医疗保健信息安全方面的工作,您应该熟悉以下四个方面:
行政保障
合规的安全策略必须从上层开始,统一决定使用哪些工具来存储和保护敏感的医疗保健信息。缺乏对保障措施的明确性可能会导致不符合标准的系统或实践中的差距。安全规则关于行政保障的部分涵盖了保护措施的选择和维护,确保领导者选择正确的系统并建立他们的员工队伍,以通过这些解决方案取得成功。
确定谁负责安全功能和职责是最重要的管理保障措施之一。如果任务落在员工身上,这些员工必须接受足够的培训才能完成他们的职责。如果涉及第三方合作伙伴,信息管理领导者必须谨慎选择外部组织,确保公司的政策、技术和人员值得信任,并拥有对患者信息的权威。
物理保护
随着数字化在各行各业的普及,越来越多的数据以电子形式出现,人们很容易忽视最不复杂的风险因素之一——人们实际访问特权信息。例如,如果未经授权的人可以访问连接到网络的计算机,即使是具有高级加密和防火墙的系统也很容易被攻破。防止个人违反医疗保健设施的限制区域不仅是保护患者和员工的一种方式,而且从数据安全的角度来看也至关重要。
满足安全规则的物理保护标准需要结合安全资产和综合策略。工作站应该有足够的密码保护,并且必须清楚地标记并锁定限制区域。此外,应该制定规则来防止人们在未经授权的情况下修改或维护这些安全关键功能。信息管理领导者还必须考虑他们的存储设备在生命周期结束时会发生什么。处理包含敏感数据的硬件绝不能掉以轻心。
技术保障
这些可能是 IT 专业人员在设想保护特权医疗保健信息安全时首先想到的保护措施类型。虽然物理保护措施涉及人们进入包含健康信息的区域并访问该数据的难易程度,但技术保护措施涉及数字系统本身的对策。例如,访问管理功能就属于这一类。对 EHR 和其他敏感数据的用户进行认证和批准的系统也作为技术保障受到监管,加密也是如此。
该标准要求医疗保健组织制定系统和隐私政策,确保电子健康数据在未经授权的情况下不能被修改或删除,此外还需要保护它不被查看和访问。还必须有解决方案来帮助确保 EHR 和其他包含敏感患者信息的文档在医疗机构之间传输时的安全性。虽然数据共享是数字化的主要好处之一,但如果 IT 部门没有采取正确的保护措施,它就会被利用。
组织政策和程序以及文件要求
问责制和合规性取决于护理组织人员采取的行动的清晰记录。必须编写有关信息管理和安全的政策和程序,并应要求提供给授权方。组织的安全计划和程序太重要了,不能非正式或可塑。它们必须记录在案,以证明符合安全规则的其他部分。
政策不应无限期地存储起来,永远不会被访问。安全规则的这一部分规定,信息经理应审查他们的计划,根据自上次检查以来影响其工作场所的“环境或运营变化”添加更新。技术发展迅速,新威胁经常出现。此类审查可确保保护措施不会过时。
您如何使医疗保健组织的数据更加安全?
如果他们的医疗保健组织要避免罚款和可预防的数据泄露,将 HIPAA 安全规则的要求转变为一致且有效的数据管理和保护策略是领导者必须接受的挑战。跟上新技术很重要,但信息系统专业人员不能忽视数据保护更人性化的一面,为员工提供指导并确保每个人都拥有在他们设计的程序中茁壮成长所需的技能。
真正有效的医疗保健数据安全策略将是全面的,因为对特权信息的威胁不仅仅来自黑客、内部风险或人为错误。必须考虑所有这些甚至更多的危险。正如 HIPAA Journal 所解释的那样,卫生与公共服务部希望医疗保健组织保护端点、电子邮件帐户、网络、医疗设备和任何其他可能的漏洞来源。即使是一个领域的弱点也可能导致毁灭性的数据丢失。
什么样的技能对于保护医疗保健信息系统很重要?
医疗组织的信息系统领导者的任务是构建一种程序,该程序可以抵御来自各个角度的威胁,并充分保护任何医疗保健组织中存在的各种设备和用户配置文件。成功地做到这一点需要一套三维技能。如果你有兴趣承担这些责任,你应该确保你具备以下特征:
• 深入了解有关数据合规性的规则和法规。在高风险的医疗保健行业,不遵守 HIPAA 安全规则和类似的法律要求是不可接受的。
• 能够跨团队和业务部门进行协作。组织中的每个人都有责任维护信息安全。这意味着您必须让医疗和行政人员参与到 IT 部门之外的政策和工作中。
• 前瞻性思维。用于存储和访问特权健康信息的技术一直在发展,IT 部门面临的威胁也在不断发展。为了不仅满足而且超过 HIPAA 的要求,医疗保健组织的安全领导者应该始终为接下来的事情做好准备。
信息系统是 IT 的一个分支,可以决定医疗保健安全措施的成败。担任这些角色的人员处理技术使用的实际方面、数字创新与日常流程之间的联系。考虑到技术工具在现代医疗保健中的普及程度,以及它们在远程医疗等功能中的持续增长,未来几年将需要信息系统领导者。
您如何为医疗保健信息系统工作做好准备?
由于医疗保健是一个受到高度监管的行业,而且数据泄露或丢失可能是灾难性的,因此在医疗 IT 部门担任权威职位需要时间和精力。您的背景应该包括专业经验,表明您了解行业中存在的独特系统以及创建和维护安全程序的最佳实践。
您的高等教育还可以让您为在医疗保健 IT 部门服务的重任做好准备。在线管理信息系统理学硕士等高级学位课程旨在为毕业生提供跟上当今 IT 环境所需的专业知识。
管理信息系统是一门将领导力和跨团队协调与各种 IT 能力相结合的学科,其中包括安全性。阿拉巴马大学伯明翰大学 Collat 商学院的在线 MIS 硕士课程提供网络安全管理专业,旨在让学生掌握威胁缓解、事件响应和信息安全管理等技能,这些都是为有抱负的领导者提供的所有关键知识领域医疗保健数据保护。
在线学位课程在设计时考虑了全日制工作时间表:灵活的课程结构使您可以学习文凭,同时还担任可以提供专业经验和进步的角色。这是一种旨在担任负责安全医疗保健信息管理的具有挑战性但有益的角色的方法。