五月2017

HIT事件:如何克服合规挑战beplay最新备用网站
珍妮弗·里斯和安德鲁·霍希著
郑重声明
第二十九卷第五页

医疗保健行业的人员经常面临预算、患者隐私和合规性等挑战。beplay最新备用网站IT和安全预算的优先级很难量化以获得投资回报，那么医疗保健专业人员如何在有限的预算或外包服务的情况下确保患者的隐私和安全呢?

扩展遵从性边界beplay最新备用网站
外包安全工作是一种常见的做法。作为医疗保健业务伙伴，供应商仍然需要遵守HIPAA法规。然而，外包供应商监控私人记录的彻底程度引发了担忧。医院等机构不仅在其所在位置发生安全漏洞时面临风险，而且其供应商也存在漏洞。

医疗保健组织通常在另一家机构公开宣布违规后才意识到潜在的漏洞。这通常会导致组织怀疑类似的违规行为是否会发生在他们身上，并提出准备的问题。虽然高管们可能会认为他们的IT团队已经做好了准备，但有时首席信息安全官没有预算，也没有向机构的执行委员会提供适当量化潜在风险的业务敞口。

组织间隙
虽然您的组织可能有事件响应计划，但它们很容易被取消优先级。一个合适的开始是鼓励您的团队进行事件模拟和自我审核。

事件响应练习可以帮助组织评估，如果发生安全漏洞，谁应该参与其中，以及如何控制涉及漏洞的系统。此类演习可能会识别事件响应计划中的漏洞，并展示组织是否拥有隔离模拟问题所需的工具，以及确定哪些数据被泄露的能力。此外，事后批判性地反思您的团队的模拟场景对未来事件响应演习和一般准备的质量有直接影响。

CSF评估的价值
健康信息信托联盟(HITRUST)与技术和信息安全行业的其他领导者一起建立了共同安全框架(CSF)。CSF允许组织通过各种可能的第三方验证评估来确定和证明他们对HITRUST的遵守程度。beplay最新备用网站

确定一个组织需要CSF评估的类型取决于该组织是寻求HITRUST CSF认证，CSF自我评估还是CSF验证评估。

避免遵从性疲beplay最新备用网站劳
对于大型医疗保健组织来说，在努力确保业务伙伴和供应商实际实现安全控制时，可beplay最新备用网站能会出现遵从性疲劳，因为他们应该这样做，以便在HIPAA下保护患者数据。作为供应商风险管理的一部分，医疗保健组织可以制定问卷调查，同时促进第三方评估审查和审计;虽然这是供应商风险管理过程的一部分，但它也可能导致遵从性疲劳。beplay最新备用网站

HITRUST可以通过提供标准控制框架的第三方认证(即CSF)来帮助组织确保其业务伙伴保护HIPAA所涵盖的患者数据，该标准框架包含所需的控制措施，并通过说明性程序和特定的审计证据收集过程提供实施指导。

尽职调查
IBM 2016年的一项研究表明，数据泄露的平均成本为400万美元。HITRUST使医疗保健组织及其患者安心，同时为医疗保健安全专业人员提供基于其他标准框架(ISO 27001、NIST 800-53、COBIT、HIPAA和HITECH)的控制框架，以保护个人医疗保健信息。

jennifer Rees是总部位于西雅图的Base2 Solutions的高级质量工程顾问，也是认证CSF从业者(CCSFP) CSSLP (ISC)²。

- Andrew Hosch是Base2解决方案的技术副总裁，也是认证CSF从业者(CCSFP)认证Nessus审计师，CWATP, CISSP， (ISC)²。