信息是現(xiàn)代醫(yī)學(xué)的生命線�����,衛(wèi)生信息技術(shù)(HIT)是其循環(huán)系統(tǒng)���,對(duì)醫(yī)療效果和護(hù)理質(zhì)量至關(guān)重要。電子信息在帶來(lái)快速獲取信息�、跨地域協(xié)同等優(yōu)勢(shì)的同時(shí),也存在個(gè)人信息易泄露���、網(wǎng)絡(luò)安全等風(fēng)險(xiǎn)���。本文整體圍繞衛(wèi)生信息技術(shù),探討隱私�����、安全問(wèn)題及可靠系統(tǒng)構(gòu)建�,強(qiáng)調(diào)信任在其中的核心地位���。
美國(guó)核心法規(guī):《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)�、《經(jīng)濟(jì)和臨床健康衛(wèi)生信息技術(shù)法案》(HITECH)�����、《21世紀(jì)治愈法案》等,規(guī)范電子健康信息的隱私保護(hù)���、安全標(biāo)準(zhǔn)及違規(guī)追責(zé)���。
國(guó)際法規(guī):如《歐洲通用數(shù)據(jù)保護(hù)條例》(GDPR),對(duì)服務(wù)歐洲居民的醫(yī)療機(jī)構(gòu)提出數(shù)據(jù)保護(hù)要求��。
個(gè)人控制與自己有關(guān)信息的訪問(wèn)和使用的權(quán)力���。
對(duì)有價(jià)值信息資產(chǎn)的保護(hù)�。
基于安全與隱私保護(hù)����,醫(yī)護(hù)人員與患者間對(duì)信息系統(tǒng)可靠性的認(rèn)同,是醫(yī)療服務(wù)質(zhì)量的基礎(chǔ)�����。
危機(jī)中的信任:當(dāng)事情出錯(cuò)時(shí)
如康涅狄格大學(xué)醫(yī)療系統(tǒng)被攻擊導(dǎo)致患者信息泄露。
分布式拒絕服務(wù)(DDoS)攻擊影響醫(yī)療機(jī)構(gòu)運(yùn)營(yíng)�,如波士頓兒童醫(yī)院因網(wǎng)絡(luò)攻擊服務(wù)中斷。
聯(lián)網(wǎng)醫(yī)療設(shè)備存在網(wǎng)絡(luò)安全漏洞����,可能被惡意攻擊篡改程序,如醫(yī)院的輸液泵����、診斷成像設(shè)備和心臟起搏器。
WannaCry勒索軟件攻擊事件���,通過(guò)利用已知的且過(guò)時(shí)的安全漏洞微軟視窗軟件控制了每臺(tái)受影響的計(jì)算機(jī)��,加密了所有數(shù)據(jù)���,有效地癱瘓了操作。
以上事件凸顯了計(jì)算機(jī)系統(tǒng)�、網(wǎng)絡(luò)、醫(yī)療設(shè)備等在復(fù)雜環(huán)境下���,“事情會(huì)出錯(cuò)”的安全假設(shè)��,以及可信度在管理個(gè)人健康信息��、保障醫(yī)療保健安全高質(zhì)量中的基本屬性��。
保護(hù)敏感和安全關(guān)鍵的健康信息����,保護(hù)護(hù)士在需要時(shí)可以提供優(yōu)質(zhì)護(hù)理的系統(tǒng)�����、服務(wù)和信息����,需要一個(gè)完整的HIT信任框架。這個(gè)信任框架如下圖所示�����,包括七層���,每層都依賴于下面的保護(hù)層�����,所有保護(hù)層必須共同發(fā)揮作用�,為醫(yī)療服務(wù)提供一個(gè)值得信賴的HIT環(huán)境。
? 持續(xù)的風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全的基石�����,現(xiàn)代風(fēng)險(xiǎn)評(píng)估除安全風(fēng)險(xiǎn)評(píng)估���、隱私風(fēng)險(xiǎn)評(píng)估���,另需要考慮虛擬“云”組件、自帶設(shè)備�����、遠(yuǎn)程辦公及無(wú)線接入點(diǎn)等電子邊界資源����。
? 風(fēng)險(xiǎn)管理是HIT信任框架工作的基礎(chǔ),它是一個(gè)持續(xù)的���、個(gè)性化的過(guò)程����,個(gè)人或組織需檢查自身威脅、脆弱性和有價(jià)值資產(chǎn)�����,決定如何處理已確定的風(fēng)險(xiǎn)(減少�、消除或容忍)���。
? 信息保障政策定義了要執(zhí)行的規(guī)則�,通過(guò)保護(hù)組織的有價(jià)值的信息資產(chǎn)使其免受已確定的保密性���、數(shù)據(jù)完整性和服務(wù)可用性的風(fēng)險(xiǎn)��,并確保個(gè)人隱私權(quán)得到維護(hù)�����。
包括設(shè)施訪問(wèn)控制�����、工作站使用政策和程序����、工作站安全措施和媒體控制等。
? 安全和隱私操作:HIPAA要求醫(yī)療機(jī)構(gòu)設(shè)安全與隱私官員����,護(hù)士需明確責(zé)任人員。
? 人員培訓(xùn)和管理:醫(yī)療機(jī)構(gòu)需灌輸安全文化��,全員每年需完成安全隱私培訓(xùn)�。
? 商業(yè)協(xié)議:商業(yè)協(xié)議管理風(fēng)險(xiǎn),HIPAA要求承保實(shí)體與商業(yè)伙伴簽合同并盡職調(diào)查�。
? 配置管理:全生命周期控制系統(tǒng)屬性,保護(hù)信息資產(chǎn)����。
? 認(rèn)證和授權(quán)基礎(chǔ)設(shè)施:管理個(gè)人和軟件身份授權(quán),依賴注冊(cè)身份準(zhǔn)確性��。
? 知情同意管理:獲取個(gè)人同意是隱私基礎(chǔ)���,HIPAA和FHIR標(biāo)準(zhǔn)有相關(guān)規(guī)定����。
? 入侵檢測(cè):用IDS檢測(cè)外部威脅
? 內(nèi)部威脅檢測(cè):內(nèi)部威脅分三類(lèi)��,泄露����、疏忽和惡意����,意識(shí)培訓(xùn)是防御關(guān)鍵�。
? 事故應(yīng)對(duì):培訓(xùn)明確事故操作,醫(yī)療機(jī)構(gòu)需有數(shù)據(jù)泄露應(yīng)對(duì)計(jì)劃���,HIPAA規(guī)定超500人泄露需報(bào)告。
? 行動(dòng)的連續(xù)性:意外時(shí)需保障服務(wù)�,HIPAA要求組織有應(yīng)急計(jì)劃。
? 評(píng)估:定期評(píng)估操作和技術(shù)保障措施����,衡量安全管理計(jì)劃有效性。
? 冗余和故障切換:避免單點(diǎn)故障�,確保系統(tǒng)持續(xù)運(yùn)行。
? 可擴(kuò)展性:應(yīng)對(duì)健康信息增長(zhǎng)���,利用云計(jì)算實(shí)現(xiàn)擴(kuò)展��。
? 可靠性:系統(tǒng)或部件持續(xù)執(zhí)行特定功能的能力���。
? 故障安全設(shè)計(jì):確保故障時(shí)不會(huì)造成人員身體傷害����。
? 互操作性:系統(tǒng)將電子數(shù)據(jù)翻譯成系統(tǒng)的應(yīng)用和用戶能夠理解的健康信息�。
? 可用性:所需的服務(wù)和信息在需要時(shí)必須是可用的,并且可以使用�。
? 簡(jiǎn)單性:系統(tǒng)被構(gòu)建成易于用戶正確使用,易于經(jīng)過(guò)培訓(xùn)的專業(yè)人員進(jìn)行配置和維護(hù)���。
? 進(jìn)程隔離:隔離不同授權(quán)的進(jìn)程��,保護(hù)系統(tǒng)完整性����。
? 實(shí)體認(rèn)證:驗(yàn)證個(gè)人或軟件應(yīng)用程序身份�,啟動(dòng)用戶會(huì)話。
? 訪問(wèn)控制:確保用戶僅訪問(wèn)授權(quán)資源����,防止未經(jīng)授權(quán)的操作。
? 審計(jì)控制:收集和記錄系統(tǒng)安全事件信息�����。
? 數(shù)據(jù)完整性:保證電子數(shù)據(jù)未被未經(jīng)授權(quán)修改或銷(xiāo)毀����。
? 不可否認(rèn)性:通過(guò)數(shù)字簽名確保數(shù)據(jù)來(lái)源真實(shí)性�����。
? 加密:使數(shù)據(jù)不可讀����,保護(hù)靜止和運(yùn)動(dòng)中的數(shù)據(jù)���。
? 惡意軟件防御:通過(guò)技術(shù)���、用戶意識(shí)和政策防御惡意軟件�。
? 傳輸安全:使用傳輸安全協(xié)議(TLS)和互聯(lián)網(wǎng)協(xié)議安全協(xié)議(IPSec)保護(hù)數(shù)據(jù)傳輸安全。
包括單擊登錄和身份聯(lián)合�,允許用戶一次身份驗(yàn)證后訪問(wèn)多個(gè)應(yīng)用或企業(yè),需確保初始身份驗(yàn)證過(guò)程的安全性�。
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容,出于傳遞更多信息而非盈利之目的���,同時(shí)并不代表贊成其觀點(diǎn)或證實(shí)其描述����,內(nèi)容僅供參考。版權(quán)歸原作者所有���,若有侵權(quán)���,請(qǐng)聯(lián)系我們刪除。
凡來(lái)源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng)�,轉(zhuǎn)載需獲授權(quán)。
