6月2017

通过信息治理提升安全水平
伊丽莎白·s·高尔著
郑重声明
第二十九卷第六页

聪明的组织将把这些离散的概念连接起来,形成协同关系。

信息治理(IG)摆脱了曾经被禁锢的“分析和完整性”的框框,已经成为寻求提高数据安全性的强大武器。事实上,一些HIM专家认为IG是“医疗安全的下一个进化”,因为组织寻求保护关键的临床索赔和患者数据免受新接入点的稳定涌入。

“组织正在应对越来越复杂的立法网络、外部威胁和复杂的数据使用。“隐私和安全是重叠的学科,需要通过将其合规计划扩展到企业范围的倡议来应对信息挑战,”Kathy Downing说,MA, RHIA, CHP, PMP, AHIMA HIM实践卓越总监。beplay最新备用网站“IG是一个框架,包括隐私、安全、合规、风险管理、数据治理和生命周期管理等关键概念。beplay最新备用网站通过IG扩大安全工作包括更广泛的信息视图,从hipaa要求的电子保护健康信息[ePHI]到组织的所有信息。”

提供健康数据生命周期管理解决方案的Immersive公司联合创始人兼负责人Stephanie Crabb表示,IG“呼吁我们以不同的方式思考数据/信息生命周期,这影响了我们对信息安全的看法。IG的一个原则是企业信息管理,特别是它的信息生命周期管理方面,它让我们考虑跨时间和跨所有存储库的保护,这些存储库是信息存在和流动的地方。

“在一个成熟和高性能的IG项目中,数据和信息具有明确的价值。这种价值可能会随着时间的推移而改变。”“随着价值的变化,我们对信息的安全保护水平也会随之变化,这通常取决于信息存储的位置——现场存储、长期数字保存还是易于访问的云存储。”

协同关系
Crabb说,安全的存在仅仅是为了保护组织的主要资产:结构化和非结构化数据,这些数据是信息的构建块,也是创建、传输、利用和保留这些数据的技术。通常情况下,ePHI消耗了组织的全部关注点。虽然ePHI“非常重要”,但这种单一的关注是以牺牲其他知识产权为代价的,如果这些知识产权丢失、被盗或受到损害,将会削弱组织——这就是IG发挥作用的地方。

“从战略上和战术上,IG提升了我们的意识,让我们考虑到所有的信息资产。因此,它提升了我们对信息安全的思考,而不仅仅是我们的ePHI,”克拉布说。“当我们将ePHI与(知识产权)、公司敏感和公司专有(信息)结合在一起时,我们得到了一个非常不同的安全行动呼吁。我们开始从真正的业务角度来考虑安全性,而不仅仅是从遵从性的角度。beplay最新备用网站我们考虑将安全性与这些信息资产的价值和生命周期结合起来。当我们开始认识到我们的信息在金钱和战略上的真正价值时,我们就会看到在信息安全方面的各种投资,这应该一直在发生。对人员、流程和技术的更多投资总是会提高安全性。”

唐宁指出,由于这是一项企业范围的倡议,IG在支持组织的数据安全工作方面具有独特的优势。这一概念将多学科团队的集体智力资本引入到识别、记录和减轻风险的过程中,从而使更全面的风险评估超越了电子病历和临床信息系统。

例如,保护移动设备的最佳方法是通过多学科方法进行管理——既可以识别风险,也可以确定组织在对最终用户施加限制的情况下可以走多远。记录保存也受益于IG,部分原因是除了it之外,它还利用了安全官员的专业知识,以获取有关需求和风险的信息——这些信息对任何长期数字保存战略都至关重要。

在网络威胁如此普遍的当今世界,这一点尤为重要。网络威胁通常不是针对电子病历,而是针对不太安全的、面向外部的系统,如电子邮件、门户网站和移动设备,”唐宁补充说,“IG计划将开始深入挖掘信息的生命周期,实施企业记录保留计划不仅可以节省成本,还可以降低安全风险。你拥有的数据越多,你需要备份、保护、灾难(和)业务连续性计划以及培训员工的数据就越多。”

Fortinet医疗保健高级主管Susan Biddle指出,安全就是保护和最大化关键资产和知识产权的价值,有效的IG需要部门之间的合作,以确保每个组成部分都得到考虑。当一个组识别和管理数据并设置控制数据使用的策略时,另一个组可以查看这些数据的安全输入、访问和更新。

IT和安全部门有责任分发、备份和保护这些数据。c级团队和董事会必须确定诸如用于安全性和合规性的可用资源之类的事情,或者制定生命周期策略,以确定何时以及如何清除旧数据或不再有用的数据。”beplay最新备用网站

最大的影响
谈到IG对安全的影响,Biddle指出了以下五个具体的影响点:

•问责制,包括帮助清点数据和获取数据的流程;

•完整性,侧重于确保关键数据不被篡改,包括立即标记医疗记录中药物过敏或血型信息的变化;

•保护,包括全面的数据丢失预防策略,以保护数据免受破坏和泄漏;

•符beplay最新备用网站合性,或组织符合各种法规要求的能力;和

•可用性,确保数据在需要的时候可以被需要的人访问。

比德尔说:“如果医务人员、管理人员甚至患者无法获得数据,可能会对整个医疗保健系统产生毁灭性的影响。”“DDoS攻击和勒索软件可能会导致服务器瘫痪或锁定关键数据,企业需要制定应对这些挑战的计划。”

Crabb指出了AHIMA的信息治理框架和采用模型,以确定IG可以在哪些方面对安全产生最重大的影响。该模型的10项能力中有4项特别突出:战略一致性、数据治理、企业信息管理以及意识和遵守。

Crabb说:“随着今天医疗保健领域产生的新信息的数量,以及我们期望在我们的指尖上获得关键信息以支持决策的速度,医疗保健需要重新思考我们管理信息的方式。”“IG提供了这个框架,AHIMA创建了模型和工具包,使所有医疗保健都可以使用IG。”

将信息视为战略资产的战略一致性支持信息驱动的决策文化,并确保所有员工都能访问他们需要的信息,从而实时做出正确的决策。通过提出一种结构化的方法来确保数据适合所需的业务目的,IG建立了一个高质量数据环境的操作环境和文化承诺。

企业信息管理是在整个组织生命周期中对所有信息进行分类和管理的过程。它还建立了信息共享、发布和交换、监管链和数字保存的企业实践。

“这些信息共享、发布、交换和监管链的考虑与信息安全计划有很强的联系,需要高性能、可审计的安全流程和保障措施,”Crabb说。“随着信息共享需求的增长,身份和访问管理、传输协议、第三方风险管理等安全保障措施必须变得越来越复杂。”

最后,意识和坚持能力寻求确保员工学习、理解并遵守信息管理原则、政策、实践、过程和程序。这一点至关重要,因为人为错误和判断失误,无论是无意的还是恶意的,都是大多数数据泄露的根本原因。

“IG强烈强调并鼓励对信息的创造、使用、处理、访问、共享、存储、保留和处置进行深思熟虑和有目的的指导和培训,”Crabb说。“这远远超出了我们今天在大多数信息安全劳动力教育计划中看到的内容和结构。对IG的承诺意味着对完全重新设计的、更加以目标为导向的劳动力教育和培训的承诺。如果我们提高员工的‘信息智商’,我们就能为我们的信息创造更多的安全保障。”

让它发挥作用
建立IG计划(或改进现有计划)以提高安全性的关键是有目的的规划。它需要检查整体治理框架——从政策、程序、库存和问题管理到尽职调查和终止政策——以确定IG可以通过缩小安全漏洞来最好地降低风险。

“这在很大程度上是一个规划过程。电子医疗网络认证委员会(Electronic Healthcare Network Accreditation Commission)执行董事李•巴雷特(Lee Barrett)表示:“必须建立一个严谨的整体结构,以管理漏洞和风险。”“当我们谈论分层(或)固有风险方法时,它意味着查看组织的所有方面,然后根据分层矩阵评估每个领域,以确定每个领域如何融入其中。在任何一个区域受到损害的情况下,我们该如何应对?这是组织在设计提高安全性的IG计划时需要具备的严谨性和结构。

巴雷特指出,在IG架构中解决安全问题的努力应该来自最高层,理想情况下,这个人不仅可以提供高管层的批准,而且在适当的情况下,还可以听取董事会和审计委员会的意见。这确保了一定程度的独立性,同时仍然需要对任何暴露负责。

“当我们研究基础设施及其组织方式时,它实际上是关于三道具体的防线,第一道是在业务单位层面,以及赞助商和风险管理人员如何管理第三方和分包商。这很重要,”巴雷特说。“第二个是从治理、合规和监督的角度来看待(安全)——如何处理采购,以及如何处理与业务合作伙伴的各种关系。beplay最新备用网站第三种是独立测试内部控制的内部审计。”

巴雷特表示,降低风险的最佳方式是通过合同强制要求任何供应商合作伙伴接受第三方认证或认证,以“设定与他们在HIPAA合规性、协议和标准方面的审查水平相关的标准”。beplay最新备用网站“它不会消除风险或广度,但它会减轻或最小化整体风险。你还需要一些可量化的指标。你不能只相信他们的话。”

比德尔说,IG程序必须灵活,以适应随着用户需求不断变化而不断变化的网络。因此,IG必须包含动态安全态势。这使得很难有效地改造现有的IG计划,使其成为静态的短期政策。

“这只是一个拼凑的解决方案,”比德尔说。“在某种程度上,每个组织都需要从根本上战略性地构建或重建安全,以满足其不断发展的网络、设备和用户的需求。例如,虽然可以使用Fortinet或其他安全供应商的解决方案来保护物联网设备和流量,但更永久的解决方案将是将安全性构建到物联网设备本身。这将需要安全和IT团队结合有效的安全规划和设计,并要求物联网设备制造商负责提高其销售设备的安全性。”

保持清醒
Crabb认为,只要一开始就正确执行,就没有必要对现有的IG程序进行改造。她说,安全性在程序设计中占有重要地位。也就是说,Crabb指出,安全驱动程序和用例可能会被优先考虑,以使IG程序在一定时间内更加面向安全。

她说:“如果有的话,我们鼓励组织审视他们的安全计划,并找到机会让他们更了解IG,更好地将安全与IG原则和关键绩效指标结合起来。”“对于一个组织来说,这个过程通常是非常有启发性的,因为它既是教育性的,也是战术性的,特别是对于那些还没有启动IG项目的组织。通过IG的视角来看待安全,从设计上看,IG是非常受业务驱动的,这与典型的合规性视角(即看待、感知和/或评估安全)大不相同。”beplay最新备用网站

Elizabeth S. Goar是佛罗里达州坦帕市的自由撰稿人,专门从事医疗保健和HIT方面的工作。

留在公司内部还是外包?
考虑实施信息治理(IG)计划的医疗保健组织不必单独行动。如果他们放弃内部努力,有独立的第三方准备填补空白。与任何外包决策一样,必须仔细权衡利弊。

“许多组织都有非常有才华的主题专家,当他们希望评估和实施自己的内部报告和控制时,他们会做得很好。然而,在很多情况下,他们是通过自己的视角来看待问题的。第三方评估人员可以客观看待,”电子医疗网络认证委员会执行董事Lee Barrett说。“他们(通常)会验证你一直在做的一些事情,但更大的机会是找出主要差距,以弥补和减少漏洞。”

他说,寻求独立第三方的帮助“就像一份保险单”。“这不会消除你在被入侵或网络攻击的情况下面临的风险,但作为缓解战略和准备计划的一部分,让第三方介入进行这种级别的审查并提出建议是明智的。”

Fortinet的医疗保健高级主管苏珊•比德尔(Susan Biddle)对此表示赞同,她指出,医疗保健机构并不从事安全业务。因此,很少有IT或安全团队能够提供全面IG所需的所有专业知识。此外,许多公司,包括拥有深厚员工资源的大型企业,仍然使用托管安全服务提供商来监督其安全状态的开发和实施。

Biddle说:“当涉及到安全问题时,第二对经验丰富的眼睛总是很有价值的,因为他们经常可以看到主要团队可能错过的事情或提出解决方案,第三方专家可以协助制定战略、战术实施和威胁响应。”

Immersive的联合创始人兼负责人斯蒂芬妮•克拉布(Stephanie Crabb)表示,有一些资源可以帮助那些喜欢自己进行自我评估的人,比如AHIMA的IG healththrate,它提供了一种标准化的、结构化的方法来评估IG的能力和采用情况。该工具还可以用来设置基线,以衡量任何未来的进展。

然而,克拉布表示,缺乏IG和安全方面的行业经验可能足以成为外包的理由。“一般来说,医疗保健行业在信息治理方面几乎没有经验。这是卫生保健领域的一门新兴学科。我们还没有建立起让我们成为优秀战略家或实践者的IG智慧或IG运营经验,”她说。由于这些原因,一个组织可能会从第三方专家的支持中受益匪浅,他们可以对任何治理政策、章程、工作文件——任何可以阐明其迄今为止所做努力的东西——进行审查。

她继续说道:“那些非常致力于IG的组织可能想要更进一步,进行第三方环境/当前能力评估,以帮助识别能够提供IG正在行动的证据的实践,尽管是以孤立的或有限的方式,并确定如何最好地推进正式的IG项目。”“我们鼓励组织仔细审查任何潜在的第三方,以证明医疗保健IG的资格。正如我所说,我们中没有多少人专门为医疗保健做这项工作。”

——环境、社会和治理