2012年3月26日

治疗中断
大卫·耶格尔
郑重声明
第二十四卷第六页

在数据丢失的情况下,业务连续性和灾难恢复计划是有效的设施管理不可或缺的组成部分。

对许多企业来说,访问数据至关重要,但对于医疗保健机构来说,IT系统故障的破坏性尤其大。虽然自然灾害占据了新闻头条的大部分,但局部停电也是一个重大问题。由于几乎在任何情况下都必须提供护理,因此尽量减少对关键系统的干扰至关重要。拥有可靠的业务连续性和灾难恢复计划可以显著减少停机时间并挽救机构的声誉。

尽管人们有时会混淆业务连续性和灾难恢复,但前者实际上是总体计划,而后者旨在保护机构的物理方面,例如可能被灾难性事件损坏的服务器和设备。业务连续性包括灾难恢复,但它关注的是更广泛的目标,即以最少的中断维护服务。因此,它在任何一家医疗企业中都应该发挥突出的作用。

“当你在制定业务连续性计划时,这不是你在灾难发生时才做的事情,”AHIMA专业实践主管、RHIT的朱莉·a·杜林(Julie A. Dooling)说。“这实际上是为了保护你所有的资产,无论是在现场还是在场外,无论这些资产是自己拥有的还是通过第三方供应商访问的。这是一个需要大量关注的迭代过程。”

你有什么可失去的?
明智的做法是早在需要之前就制定业务连续性计划,因为它最终是需要的。流程的起点是业务影响分析。海耶斯管理咨询公司(Hayes Management Consulting)战略与咨询服务副总裁罗布•德鲁尼亚克(Rob Drewniak)表示,企业需要检查自己的业务活动,并确定这些活动如何受到各种问题的影响,比如局部停电、数据泄露、自然灾害或任何正常运营中断。

一旦确定了潜在的问题和可能的原因,该设施需要为每个问题制定逐步的应急响应战略。策略需要具体到哪些类型的中断需要采取行动,谁负责实施策略,以及如果问题达到这种规模,如何建立事件指挥中心。它们还应包括在事件发生期间和之后应遵循的协议以及详细的恢复程序。

德鲁尼亚克说:“你必须有一个名为‘业务连续性’的坚实计划,在这个计划下,从技术角度和运营角度需要采取的所有步骤都需要纳入其中。”“当系统不可用时,这个设施要做什么,然后如何恢复?”如何确定根本原因?这个过程将如何传达?”

德鲁尼亚克说,沟通和测试计划是成功的关键。他建议组织机构建立意识项目,向从董事会成员到普通员工的每个人解释如何处理重大数据中断。组织的每个层次都需要参与,计划应该定期进行测试。他说,对整个组织的人员进行交叉培训也很重要,因为在紧急情况下,他们可能需要担任多个角色。

杜林说,为了确保组织意识到这一点,高级管理层对该计划的认同和推动至关重要。她说,一个有效的方法是指定一位业务连续性协调员,此人对该计划非常熟悉。然后,协调员创建一个章程和计划,并在他或她的其他职责范围内允许时间来监督该计划。她补充说,各个部门的利益相关者都需要参与进来,这样才能充分考虑到该设施的所有功能。她建议练习这个计划,直到失败,然后在解决失败后再练习。

Dooling说,业务连续性计划有四个方面。第一个是停机的应急计划,它涵盖了影响一个楼层或一个部门但不影响整个企业的短暂中断。第二种是针对重大灾害(如龙卷风、地震或核反应堆熔毁)的灾难恢复计划,旨在恢复医疗设备和机器等实物资产。第三个是数据备份计划,详细说明如何备份设施的系统以及如何检索数据。最后,还有一个应急模式操作计划,该计划规定了设施在灾害情况下如何运作,并侧重于危机管理,直到设施恢复到危机前的运行状态。

尽管灾难恢复不是业务连续性的全部,但它是一个至关重要的考虑因素。德鲁尼亚克说,商业影响分析应该涵盖任何可能中断设施正常运行的因素,包括电力问题、洪水、建筑维护、火灾、骚乱以及设施所在地区特有的任何自然事件。即使是像大雪这样的事情,虽然不是灾难,也会严重扰乱运营。

Dooling建议与该设施的所有业务伙伴合作,确定他们将如何应对灾难。如果发生灾难,该设施可能需要更换个人电脑、发电机和电池等设备才能重新启动和运行。应评估所有必要的设备,并制定应急计划。同样重要的是,要确保回收和恢复过程,如清洁、冷冻干燥和除霉,都包含在供应商合同中。甚至手机服务也可能中断,所以了解哪些员工的手机在哪个网络上是很重要的。这可能允许建立变通办法。Dooling说,设施还应该弄清楚他们的保险涵盖了多少以及哪种类型的数据恢复。

除了物理方面的考虑外,对组织来说,盘点数据并决定哪些是业务运营所必需的也是很重要的。与任何企业一样,医疗保健组织需要保护财务、人力资源和设施/操作数据和记录,但他们也要对可能非常庞大的患者文件负责。病历管理提供商Recall的全球咨询服务总监马克•埃默里(Mark Emery)表示,医疗机构需要考虑哪些文件对他们的运营是真正必要的。他说,重要的记录常常被无关紧要的记录所掩盖。

“通常情况下,我们在市场上看到的只是一种对所有记录和信息进行全面覆盖的心态,他们希望将所有记录和信息扫描成数字或电子格式。而你想做的就是退后一步,”埃默里说。“在我们看到的业务连续性和灾难恢复方面的失败中,有近60%是客户找不到他们想要的具体信息。他们有备份,但他们不知道它在哪里。”

Emery建议医疗保健组织仔细记录其记录类型以及记录的存储位置和方式。这一点很重要,不仅是因为监管方面的原因,还因为数据迁移可能非常昂贵。不需要用于维持业务运营或法规遵从性的记录不应成为业务连续性计划的一部分。beplay最新备用网站

有些旧的,有些新的
灾难数据恢复模型已经使用了几十年,主要是因为它们仍然有效。从本质上讲,如果一个设施遭受了广泛的物理损坏,异地数据存储是保护其数据的最可靠方法。但是,非现场存储的性质和类型取决于组织的需求。通常,限制因素是时间和成本。

“在当今世界,随着我们迁移到更多的电子环境,我们的系统必须在99.9999%的时间内正常运行。因此,只要这一数字下降,就会影响到医疗服务的提供。”“医疗保健的最大挑战是其庞大的数据量。所以当你看到它的时候,它不仅仅是存储,它是传输,它是基础设施,它是网络。所以在思考过程和计划中必须考虑很多因素,以确保你有一个合适的计划。”

因为时间是一个非常重要的因素,一些组织选择一个热门站点。在此模型中,设施与供应商签订合同,在不同位置(通常远离主站点)维护相同的数据站点。数据可以实时备份。换句话说,热站点基本上是设备站点的精确复制品。虽然这个选项非常安全,并且允许在主数据站点被破坏的情况下在几秒钟内恢复操作,但它非常昂贵。

冷站点更便宜。它不是一直运行,备份磁带是每天传输的。此选项的最大缺点是可能需要四到五个小时才能恢复操作。

在过去的几年里,一些供应商已经开始提供云归档服务。而不是将所有数据存储在一个地方,信息分散在多个服务器上,这有可能降低存储成本,消除瓶颈,并且从理论上讲,提供对必要数据的即时访问。虽然这种方法对于灾难后恢复数据和小规模中断可能是有用的,但对于它是否能够处理整个设施的紧急模式操作功能存在疑问。

R. L.“Skip”Kennedy,理学硕士,CIIP,北加州Kaiser Permanente医疗中心成像信息学技术总监,说这是一个重要的问题,不仅是为了在紧急情况下维持运营,而且因为组织,而不是供应商,要对可能由于中断而丢失的任何数据负责。他说,医疗机构在考虑备份云解决方案时应该谨慎行事,在做出决定之前应该非常仔细地查看服务水平协议和供应商的基础设施能力。尽管该解决方案可以很好地处理特定数量的数据,但是数据量的突然增加(例如灾难情况)可能会产生问题。

“这是一个不同的用例。现在你有一群人在医院查房,因为一场自然灾害带来了大量的创伤,他们都在同时寻找便携式x射线图像。现在你有了大量的(数据),”肯尼迪说。“你能不能打电话给供应商说,‘我需要你再拨三条DS3线,因为我现在需要它们。“我不想一直为它们付费,但我现在需要它们,因为现在我遇到了危机,我会为额外的服务模式协议付费。”他们有基础设施来增加这种访问吗?也许吧。大型供应商可能会这样做。较小的供应商,他们可能自己处理一个共同托管的环境,他们(很可能)没有这种控制。”

无论选择哪种备份方法,最重要的问题是确保它无缝地符合组织的总体计划。供应商可以通过提供技术支持和分享他们从与其他客户合作中学到的最佳实践来提供帮助。此外,Dooling表示,医疗保健组织需要与所有技术供应商(如文档管理、EHR和PACS供应商)合作,以确保整个企业的中断量最少。许多供应商将帮助设施测试他们的计划,这些计划应该至少每年测试一次,根据设施的需要可能更频繁。她说,没有与供应商合作制定业务连续性计划的设施现在需要开始。

Dooling说:“与以往相比,我们有更多的系统由供应商处理,设定期望并确保合同包含灾难恢复的语言是很重要的。”“如今,我们已经习惯了实时访问我们的记录,因此我们需要考虑(业务连续性)将会是什么样子。”

大卫·耶格尔是宾夕法尼亚州罗伊斯福德的一名自由撰稿人和编辑。

违约
虽然数据泄露与洪水或火灾不同,但它可能是一场灾难。当涉及到数据泄露时,医疗保健组织处于特别微妙的地位,因为除了财务记录外,他们还维护着患者的医疗记录。由于需要应对HIPAA法规以及对组织声誉的潜在损害迫在眉睫,组织需要在业务连续性计划中解决数据泄露问题。

出于这个原因,组织有一个违规通知计划是很重要的。违反通知函是由ARRA要求并由卫生和人类服务部发出的。最终规则“未受保护的健康信息的违规通知”是联邦法规第45编第160和164部分。AHIMA的专业实践主管、RHIT的朱莉·a·杜林(Julie A. Dooling)说,作为计划的一部分,应该通知民权办公室、联合委员会、其他认证机构以及商业伙伴。

Recall全球咨询服务总监马克•埃默里表示:“在自然灾害中,你要努力恢复元气,让自己的业务恢复正常运行。”“当你遇到像违规这样的事情时,通常这是一个信息被泄露或被发现的机会,你更多地处于一种保护模式,试图保护你认为被泄露的信息,或者在那次违规中被侵犯的内容或被侵犯的人。”

由于可能无法立即检测到违规行为,因此组织首先确定其范围非常重要。埃默里说,关键的考虑因素是找出被侵犯的内容,比如病人档案或商业档案;可能造成何种类型的损害,例如信息是否被删除、损坏或从系统中提取;启动恢复流程;保护组织的声誉;并保护可能受到违约影响的其他人的声誉。最重要的是,组织需要将计划传达给员工,组织的所有成员都需要了解如果发生违规行为该怎么做,每个人都需要坚持执行计划。

- - - - - - DY