3月2014

做最坏的打算
Lisa A. Eramo著
郑重声明
第二十六卷第三页

在灾难中恢复HIT系统需要远见和毅力。

这是超现实的，就像电影里的东西。2012年秋天，飓风桑迪袭击了美国东海岸，随之而来的是恐慌和混乱。纽约市的医院里挤满了寻求急救的病人，其中许多医院都被疏散了。停电迅速蔓延，备用发电机全速运转。提供者需要获得关键的卫生技术，而且在洪水不断上涨的混乱中，他们需要迅速获得这些技术。

网络基础设施提供商Ciena的全球行业营销总监吉姆•盖瑞蒂(Jim Gerrity)表示:“在医疗保健行业，无法访问关键系统和数据是生死攸关的问题。”“我不认为这过于戏剧化或夸大了后果。”

“这是一个患者安全问题。你需要快速获得这些信息，”eHealth Initiative政策和政府事务副总裁、工商管理硕士、RHIA艾莉森·维奥拉(Allison Viola)说。

在医疗保健领域，可能有数百个系统在灾难发生时必须恢复。随着行业转向依赖电子病历和其他高度集成和复杂技术的环境，灾难恢复至关重要。

好消息是，不像在飓风、龙卷风或其他自然灾害中可能散落在街道和水道上的纸质记录，电子信息可以备份在现场或安全的地方，并在需要时快速有效地恢复。

健康信息交换(HIEs)的出现也有助于组织更容易地检索数据。维奥拉说，在灾难或重大停机期间，这些实体可能会成为宝贵的生命线。“我认为HIEs将使恢复过程更加有效。你将有能力联系其他机构重新编译这些信息，”她补充道。

不过，专家们说，许多组织还没有为这类情况做好准备。HIT解决方案和服务公司CTG Health Solutions的技术服务首席顾问拉里•塞勒斯(Larry Sellers)表示:“不幸的是，你看到的是灾后恢复的最佳努力。”“这是一个很好的警钟。”

错误的免疫意识可能是医疗机构最大的敌人。尽管自然灾害可能很少发生，但没有任何组织能够避免由于人为错误(例如，数据中心的员工不小心拔下电源插头)、硬件故障、计划外停电(例如，建筑公司不小心碰到街上的电线)或系统病毒和其他网络攻击而导致的意外系统停机。

除了意外中断的后果之外，由于系统升级、软件补丁和硬件更换而导致的停机时间，如果没有适当的预测和提前计划，可能会使组织瘫痪。

因此，问题不在于何时或如何发生停机或灾难，而在于当它发生时，组织是否会武装起来并做好准备。为了达到这个阶段，专家建议供应商解决几个问题。

制定正式的灾难恢复计划
2013年3月26日生效的HIPAA/HITECH综合最终规则第164.308节要求组织制定应急计划，以防紧急情况或其他事件损坏包含电子保护健康信息的系统。该计划必须解决数据备份、灾难恢复、紧急模式操作(包括在紧急模式下运行时保护电子保护健康信息的安全性的能力)、测试和修订以及应用程序和数据关键性分析。此外，联合委员会要求卫生保健组织以书面形式制定并定期测试灾难恢复计划。

SunGard Availability Services是一家业务连续性软件提供商，其高级恢复策略实践主管Lee Fleming表示，有一个计划是很好的，但它是否可行呢?“每个申请都有年度测试吗?”是否对更新和更改进行季度测试?这并不像我希望的那样普遍。”

塞勒斯对此表示赞同:“我认为，我认为最大的错误是，这些计划每年都被搁置一次，然后重新开始。……我相信它更像是一个活生生的文件，必须被访问，并与组织中的变更管理活动紧密联系在一起。”

创建合适的触发器
塞勒斯说，这是一个更困难的挑战，他指出，进入灾难模式可能代价高昂，并导致数据缺口。他补充道:“这也对运营造成了重大干扰。”

Gerrity说，企业所犯的最大错误之一是没有识别出每一个可能危及数据的潜在事件，从而推迟了关键恢复步骤的实施，以确保业务连续性。除了安全和网络威胁之外，规划人员还必须考虑其地理位置所特有的威胁，例如地震、龙卷风、飓风和频繁的电力中断。

例如，塞勒斯回忆起曾与一家医疗机构合作，该机构在近46英寸的积雪导致其数据中心所在建筑物的结构梁弯曲后被疏散。尽管很罕见，但这种意外情况不会让员工猝不及防。

塞勒斯说，在进入全面的灾难恢复模式之前进行故障排除是可以的，但必须有一个特定的时间框架来启动响应。他说:“很多组织都听凭运气和当地的决策，而没有一个他们可以容忍的停机时间的记录数字。”

在启动全面灾难模式之前建立预先声明可能是一种解决方案，可以为组织赢得时间，同时也允许他们为最坏的情况做准备。塞勒斯说:“每个对经济复苏有帮助的人都处于待命状态。”“如果他们在回家的路上，让他们掉头。人们应该开始制定他们的复苏计划。它可以让你更快地做出反应。”

保持准确的库存
如果一个系统无意中被排除在灾难恢复计划之外，那么它所连接的其他更重要的系统可能无法操作。弗莱明说，他在飓风桑迪过后为纽约几家医院制定灾难恢复计划时遇到了这种困境。“我们什么都试过了，但当情况发生时，情况就大不一样了，”他回忆道。“很多系统都没有记录在案，不在我们的大雷达上。”

这是因为测试只涉及应用程序的一小部分，而不是整个基础设施。例如，必须恢复诸如认证软件之类的关联应用程序并使其正常工作，以使医生姓名能够出现在临床应用程序中。弗莱明补充说，确保所有系统都被记录和测试是至关重要的。

考虑异地选择
当自然灾害发生时，现场数据中心可能会遭到破坏或无法访问。专家说，为了避免这种可能性，越来越多的医疗机构正在将数据备份移出现场，甚至在全国范围内转移到可能更安全的地方。博福特纪念医院(Beaufort Memorial Hospital)的首席信息官Ed Ricks表示:“我们在校园的不同建筑中有两个现场数据中心，两个数据中心之间可以实时复制数据，以帮助防止硬件故障。”博福特纪念医院位于南卡罗来纳州博福特的大西洋沿岸内水路，拥有197张床位。“我们还在最新的数据中心进行了主要备份，并将其近乎实时的副本发送到离我们医院很远的租用站点。在最坏的情况下，我知道我们的数据是受保护的，可以恢复的。”

尽管位于飓风区，博福特纪念医院一直意识到灾难恢复的重要性，但尚未经历过自然灾害。然而，它已经处理了一次网络中断，导致两个护理单位失去了与电子系统的连接。

像博福特纪念博物馆一样，其他机构也选择了异地存储。“随着更高的带宽速度和云成为主流，越来越先进，利用非现场存储数据已经成为一种生活方式，更不用说[有助于]满足强制性项目，如有意义的使用和HITECH法案，”尤马地区医院和诊所的信息服务主任杰森霍利说。尤马地区医院和诊所是科罗拉多州一家拥有22张床位的关键访问医院。“通过我们的ClearDATA灾难恢复解决方案，我们可以在不到24小时内启动我们的虚拟机，并访问我们的患者信息和财务状况，促进关键业务应用程序和数据的快速恢复。”

弗莱明说，所有医院都应该考虑为临床应用转向高度可用的数据模型的可行性。“当医院切换到备份模式时……最终用户并没有看到什么不同。他补充说，这个概念是无缝的，消除了恢复时间，用户永远不会意识到数据中心已经损坏。

Hawley说:“当我们继续迁移到基于云的灾难恢复解决方案时，我们同时运行我们的遗留解决方案。”“我们在远离数据中心的一个独立数据柜中有一个网络连接存储设备，用于存储当天裸机备份的副本。我们的关键任务数据被备份到RDX墨盒中，经过加密，并被带到防火保险箱中。”

Summit Healthcare Services的产品管理总监布莱恩•罗杰斯(Brian Rogers)表示，尽管异地数据存储有很多好处，但并不是每家医院都能负担得起。注意到在等待冗余数据中心激活时访问最近的临床数据的重要性，他建议每个单元至少连接一台机器到备用电池。Summit Healthcare提供了一种解决方案，该解决方案以特定的时间间隔从健康信息系统中提取关键数据，对其进行加密，并将其分发到整个组织中具有战略意义的停机站。这些站点包括基于用户和角色的身份验证，以确保符合HIPAA和有意义的使用。beplay最新备用网站

停机机器还应该包括灾难恢复策略的副本，Rogers说。他说:“即使在网络或电源中断的情况下，你也有一台带有物理打印机的工作机器，这样你就可以打印出关键信息。”

不要吝啬测试
盖瑞蒂说:“由于预算限制、资源限制或对结果的恐惧，大多数医疗服务提供者不会测试他们的灾难恢复计划。”

然而，每年至少进行一次测试是至关重要的。弗莱明说:“每当有升级或基础设施变化时，我们建议您再次测试。”“这不仅仅是运行测试的问题;它也在完善这个过程。”例如，测试有助于识别诸如不正确的IP地址之类的差距。

“目前，我们每年至少测试一次，实际上应该是每六个月一次，”霍利说。“随着HIT的不断发展，我认为我们将每六个月或可能每季度进行一次。”

塞勒斯说，提前排练或编写大部分测试内容收效甚微。他说:“人们在(考试)前进行最后一分钟的训练，以确保程序井然有序。”“这不是现实世界的场景。现实世界是，它可能明天就会发生，提前两分钟通知，你必须和你现在的人做好准备。”

弗莱明目睹了类似的失误。“我认为组织会不断地进行测试。我的意思是，他们把所有的东西都放在一个干净的，原始的环境中，然后编写测试脚本。这对我来说很麻烦，因为你应该为灾难做测试，”他说。“我喜欢运行测试的方式是说，‘好吧，系统宕机了。让我看看你是如何把它全部拆开并从中恢复过来的’，而不是……‘只要打开机器，确保(这个过程)正常运转。’”

罗杰斯说，确保测试包括访问冗余数据中心的实际步骤。“如何将备份系统转换为实时系统并验证数据?这不仅仅是通过获取和理解政策的步骤，”他指出。

Gerrity说，卫生保健网络必须配备适当的基础设施和能力，以进行检测和灾难反应。“这不仅仅是建立一个网络;这是关于建立一个更智能的网络，”他解释道，同时指出了以下重要考虑因素:

•如果需要进行完整的系统恢复，网络提供商能否迅速增加带宽?

•网络是否提供按使用付费的电路连接测试?

•数据备份的频率是多少?备份是实时进行还是定期进行，以保护信息的完整性?

•网络是否通过单独的光纤导管路径包含冗余?“如果你正在建设一个网络，你要确保这些光纤连接是通过不同地理位置的管道，这样如果一个被切断或淹没，另一个是可用的，”盖里蒂说。

•网络是否确保符合hipaa的数据加密?

不要忘记测试与通信相关的元素。塞勒斯说:“如果你说过你会每20分钟更新一次状态，那么你需要做到这一点。”“锻炼通信和所有部件，包括身体恢复。”

为最坏的情况做打算，Viola说。“个人必须发起计划并将其贯彻到底。如果人们因为灾难而无法上班，你的组织会怎么做?你必须能够根据谁受到了影响或没有受到影响而进行调整，”她指出。

盖里蒂建议培训一批员工，让他们能够在紧急情况下做出反应，并在灾难跨越大片地理区域时提供援助。

监控数据备份
弗莱明说，不测试备份的组织将面临严重的后果。他说:“在灾难发生时，你试图恢复，然后碎片丢失了。”
请确保备份功能正常，且备份数据正确、完整。罗杰斯说:“如果你依赖的是备份，而它已经损坏，或者上次没有完成备份，或者已经有一年了，那么它就不会给你带来任何好处。”

尤马地区医院和诊所发现，勤奋是有回报的。Hawley说:“我们每月至少测试一次旧备份的完整性/恢复，我们经常遇到需要恢复文件或文件夹的情况。”“到目前为止，修复工作取得了100%的成功。我们的电子病历数据库每两小时备份一次，所以，我们最多损失不超过两个小时的数据。”

可访问性
灾难恢复计划只有在员工可以轻松访问的情况下才有效。Gerrity建议将多个副本保存在安全的地方，并确保计划清楚地确定必须首先恢复的优先IT系统和临床应用系统。他补充说，许多应用程序可能不需要立即恢复，因为它们不会直接影响操作。

霍利对此表示赞同:“我们把灾难放在桌面上讨论。我们的第一步是什么?我们首先需要访问什么?对关键业务功能进行优先排序，以及如何立即访问这些功能是该计划的核心。”

诚实为上策
在完成灾难恢复测试后，提供商绝不能回避测试结果。塞勒斯说:“我看到过一些组织粉饰结果，这样管理层就不会觉得糟糕，我认为这是一种悲剧。”

未能达到恢复时间目标的组织必须确定其效率低下的原因。例如，计划中可能存在空白。罗杰斯建议解决以下问题:

•哪些关键数据必须在停机期间可用?

•数据可以从多个位置快速访问吗?如果不是，为什么?障碍是什么?

•手动将数据重新输入系统需要花费多少时间和精力?在长时间停机影响大量数据的情况下，如何处理这个问题?

Lisa a . Eramo是罗德岛克兰斯顿的自由撰稿人和编辑，专门研究HIM、医疗编码和医疗保健监管主题。