2010年2月1日

不稳定的位置
作者:Brenda J. Hurley, CMT, AHDI-F
郑重声明
第二十二卷第二页

如果医疗转录业务要避免即将到来的HITECH要求的陷阱，那么彻底的安全风险分析是必须的。

HIPAA商业伙伴(ba)的世界即将迎来前所未有的震撼。2月17日生效的HITECH法案扩大了要求和义务，使安全问题成为一个更加棘手的问题。

虽然医疗转录业务已经遵守HIPAA BA协议，要求他们有足够的管理、物理和技术保障措施来保护客户受保护的健康信息(PHI或ePHI)，但大多数BA没有正式的安全风险分析和书面文档。鉴于医疗转录业务每天处理的大量数据，进行和记录勤奋的安全风险分析过程的重要性怎么强调都不为过。

由于本文描述了应对这一挑战的策略，理解以下基本术语的定义是很重要的(这些定义改编自美国国家标准与技术研究所特别出版物800-30，发表于“风险分析和风险管理基础”，医疗保险和医疗补助服务安全系列中心的第六部分):

•弱点:系统安全过程、设计、实现或内部控制中的缺陷或弱点，可能被执行(意外触发或故意利用)并导致安全破坏或违反系统的安全策略。

•威胁:某人或某物使用(意外触发或有意利用)特定漏洞的可能性。

•风险:给定威胁触发或利用特定漏洞的可能性及其对组织的影响的函数。风险不是单一的因素或事件，而是因素或事件(威胁和漏洞)的组合，如果它们发生，可能会对组织产生不利影响。

HITECH法案没有规定具体的风险分析过程或风险管理方法，只是要求执行并记录。事实上，这两种评估都是支持组织策略的优秀工具，以保护hipaa定义的个人数据的机密性、完整性和访问免受潜在风险的影响。(请参阅侧栏，了解安全风险分析中要包含的关键组件。)

从哪里开始
第一步是建立一个项目团队。群体中个体的数量取决于组织的规模和复杂程度。应该把任务分配给那些完全理解当前流程的人。他们对每一个项目的评估和文件编制(见侧栏)可以按照类似于以下的程序进行:

1.收集有关正在评估的当前过程的所有数据。
a)评审过去和/或现有的项目。
b)进行面试。
c)评审相关文件(如政策和程序、备忘录、说明、培训材料、公布的标准、公布的最佳实践、来自系统用户社区的信息)。

2.识别潜在的威胁和漏洞。
a)关注那些可以合理预期的。

3.评估当前的安全措施。
a)同时考虑技术和非技术措施。
b)确定当前安全措施是否配置和使用得当。

4.确定威胁发生的可能性(合理预期)和潜在影响。
a)将发生的可能性分为高、中、低三个等级。
b)最常见的潜在影响包括未经授权访问系统、违反PHI/ePHI;永久丢失或损坏PHI/ePHI;PHI/ePHI的暂时丢失或不可用;员工无法履行其职责以维持业务连续性并对患者护理产生负面影响。

5.确定每个风险的风险级别和补救措施。
a)在此步骤中执行的风险排序将帮助组织对必须执行的活动进行优先排序，以减轻每种风险。
b)每个风险都标有纠正措施描述和基于其等级的时间表。

6.识别、评估和实施安全措施。
a)识别安全措施时，应考虑其有效性、法规遵从性和客户要求。beplay最新备用网站
b)文件中应包括任何可用于降低已识别风险的潜在安全措施。

7.建立定期审核的时间表，以评估风险缓解措施的有效性。
a) HITECH没有规定审核的频率。根据组织的规模和复杂性，一年或两年一次可能就足够了。
b)在实施新技术或发生重大运营变化之前和之后都应进行审核，以立即管理任何潜在的相关风险。

没有快捷键
重要的是要理解，因为每个组织都是独特的，这些过程的结果与类似的业务相比可能是不同的。例如，医疗转录业务接收记录在盒式磁带上的口述(是的，盒式磁带仍然存在)，并将打印文档传回给客户，与不处理磁带或提供纸张的服务相比，这将面临一系列不同的潜在漏洞、威胁和风险。这就是为什么没有“即插即用”的安全风险分析。由于您的流程和潜在的漏洞、威胁和风险对您的组织来说是独一无二的，因此需要完成分析并维护文档。

近距离观察
要成功处理技术保障(见下文)，详细的书面说明以及政策和程序至关重要。例如，访问控制(定义谁可以访问哪些数据的书面策略)是建立基于角色的权限所必需的，并且应该将其分配给个人，以获得他们履行职责所需的特定信息。书面政策准确地反映组织中实际发生的事情是至关重要的。只有一件事比没有书面政策更糟糕:有了书面政策却不被遵守。

客户机通常也可以访问系统，因此策略(和实践)必须包含基于角色的权限，以限制仅对其信息的访问。

一些供应商提供了帮助组织维护访问控制的解决方案。例如，WebChartMD为听写和文档访问提供了16种不同的用户特定权限。首席技术官安德鲁·杰巴辛说，一些医疗机构只有在文件经过电子签名后才允许支持人员访问。然后，管理人员可以设置用户权限，允许访问Final文件夹(文档在电子签名后迁移到该文件夹)，并拒绝访问Inbox(完成的文档首先到达系统的位置)。在另一个场景中，管理层可以为负责计费和编码的员工授予查看和打印权限，使他们能够只读访问文档。

WebChartMD用于确保完整性的两个重要策略是版本控制和审计跟踪。所有文档和口述访问都在广泛的审计跟踪中被捕获，允许受批准的用户通过安全的Web门户查看针对文档或口述所采取的每个操作。每个操作还标有日期/时间戳、操作类型和执行该操作的人员的用户名(参见下面的图1)。

对于那些尚未建立审计跟踪系统(HITECH的要求)的BAs来说，现在是时候或过去的时间来这样做了。

版本控制是一种为审计过程增加价值的技术。不管有多少人修改了一个文档，所有以前的版本都是可用的——甚至是原始版本。所有文档编辑都存储在文档历史存档中，该存档保留文档的每个版本，并显示进行编辑的人员和时间。

现在我们真的很技术
另一项新的HITECH法案要求在静止(存储)和运动(传输)时都必须进行数据加密(128位或256位)。这项规定将由卫生与公众服务部每年审查和公布。

虽然许多医疗转录企业已经在使用加密技术传输数据，但只有一些企业对存储数据使用加密技术。这需要改变。Jebasingh表示，WebChartMD采用了几种高科技解决方案来处理传输和数据安全要求:

•所有Web流量都通过128位加密的SSL通道发送。

•所有口述和文档使用256位AES (Rijndael)加密方案存储在数据库中。

•所有密码在存储时都是加密的，这意味着没有人(甚至WebChartMD的员工)可以访问用户的密码。

交换齿轮
HITECH的物理保障部分下的项目包括一些明显的和一些可能不太明显的项目。设施访问控制包括常见的保护措施，例如需要钥匙或扫描编码卡才能进入的锁门。一些组织可能会选择更高科技的方法，使用生物识别扫描来确认进入设施或数据中心的权限。正如系统访问是基于角色的一样，设施访问可以以同样的方式设计，以限制工作人员进入特定的关键区域，如数据中心，以提高安全性和系统保护。

工作站的安全性是一个双重挑战。在分析涉及公司办公室内工作站的情况时，确定物理位置或位置是否适合用户所执行的角色。如果对方是前台接待员，那么在靠近办公室入口的地方是合适的。如果这个人是医学转录员或质量编辑——这两种人全天都有病人的机密信息——他或她的位置不应该在公共区域。

尤其具有挑战性的是远程工作站。他们有密码保护吗?它们是否放置在工作人员家中的适当位置?例如，要求医疗转录员在指定的房间里工作，远离最常被占用的区域，这并不罕见。远程工作站是否存储了任何患者识别信息?如果是这样，则需要对其进行加密。

许多基于web的系统无意中将从基于web的应用程序访问的文件存储在临时Internet文件夹中。Jebasingh说，WebChartMD的系统会扫描用户的临时目录，并自动清除用户在在线会话期间打开的所有pi(包括文档和音频文件)。

别忘了笔记本电脑
只关注办公室周围的工作站和远程医疗转录员使用的工作站很容易，但很多时候，工作人员使用笔记本电脑进行各种功能，例如访问数据。由于笔记本电脑是小偷的巨大目标，因此加密至关重要。为笔记本电脑的使用建立严格的指导方针，以限制系统访问，以及设备上可以存储和不可以存储的内容。几乎每周都会有这样的头条新闻:一些公司高管的笔记本电脑(包含消费者的个人信息)遭到入侵。根据HITECH的违规通知规则，此类事故将成为具有潜在长期影响的严重违规行为。

市场上有几种有趣的设备，它们允许组织执行远程身份验证，从而提供额外级别的系统保护。指纹扫描仪就是一个例子。注册用户将食指插入扫描器插槽，就会出现登录屏幕，用户有15秒的时间输入密码。如果机器没有注册匹配项，则登录屏幕不可用。这显然比密码提供了更多的保护。

是净化的时候了吗?
相当多的医疗转录业务已经存档了客户多年的电子文档。有些人还将语音文件保存了很长一段时间。现实一点:存储的数据越多，需要加密的信息就越多，灾难性泄露的可能性就越明显。这样的事件可能会让一些人破产。

根据美国国家标准与技术研究所出版的关于媒体消毒指南的指南，电子媒体需要清理、清洗或销毁。

这是叫醒你的电话
显然，医疗转录行业在满足新的HITECH要求方面面临着巨大的挑战，这不仅是因为每天要处理、存储和传输大量数据，还因为有大量远程工作人员。beplay最新备用网站事实上，医疗转录行业可能代表了整个美国医疗保健系统中最大的远程劳动力。即使面对这样的现实，也几乎存在一种“静观其变”的共识，或者可以称之为后hipaa(版本1)实施的自满情绪(“我们以前挺过来了，情况也没那么糟糕”)。这是一场危险的游戏，因为卫生与公众服务部准备对所涵盖的实体和基础设施进行定期审计。

每次违规罚款从100美元到5万美元不等，每年罚款上限为150万美元。如果这还不够，当违规行为发生时，卫生与公众服务部将通知州检察长办公室，以确定是否也违反了州隐私法。如果是这样，州政府将有机会评估罚款和/或追究刑事诉讼。
你准备好HITECH了吗?如果不是现在，还会是什么时候?

- Brenda J. Hurley, CMT, AHDI-F，是医学转录行业的顾问。

图形1

安全风险分析
包括的项目

行政保障措施:
安全管理流程
分配的安全职责
员工的安全
信息访问管理
安全意识及培训
保安事故处理程序
应急计划评估

物理安全措施：
设施访问控制
工作站使用
工作站安全
设备和媒体控制

技术保障措施：
访问控制
审计控制
完整性
个人或实体身份验证
传输和数据安全