10月2015

灾难恢复的变化
作者:Susan M. Lucci, RHIA, CHPS, CHDS, AHDI-F, Tom Walsh, CISSP
郑重声明
第二十七卷第十期，第14页

在大自然的愤怒之上，医疗机构必须准备好应对现代入侵。

与医疗保健的大多数方面一样，灾难恢复也在不断发展。近年来，可能导致灾难的事件类型的多样性发生了巨大变化。因此，计划、准备和实践的需要被赋予了额外的意义。在整个行业，人们关注的焦点已经从“是否”转移到了“何时”。

你的医疗机构准备好了吗?

灾害类型
安全控制的目的是预防、检测、保证和恢复。无论发生何种类型的事件，医疗保健组织都必须能够充分恢复，以便继续对患者进行持续的护理。系统中断，即无法访问关键任务应用程序和系统，一直是人们关注的一个灾难问题。

传统上，组织将灾难分为内部或外部。飓风、洪水、龙卷风等自然灾害就是外部灾害的例子。内部灾难包括系统崩溃、软件升级失败以及数据中心水管破裂或应急电源被错误关闭等事故。

在这些情况之上，出现了一组新的灾难恢复事件。恐怖袭击、流行病健康问题和有组织的网络犯罪黑客事件等悲惨情况现在令人担忧。虽然这些对医疗保健来说并不是全新的，但伴随此类事件的准备和恢复而来的不断扩大的挑战增加了复杂性。

在许多情况下，某些内部和外部因素不容易预测，因此必须做好准备。适当的规划有助于迅速有效地恢复正常活动，同时为周围社区提供持续的卫生保健。

网络攻击是医疗机构面临的典型现代威胁。传统的灾难恢复主要集中在自然事件造成的系统中断上，而网络攻击则提出了一系列新的挑战。下列案件说明了这些邪恶行为所造成的危险。

•2012年8月，一名黑客加密了莱克县外科医生诊所受保护的健康信息，并要求支付赎金以获得密码。

•2014年4月，波士顿儿童医院(Boston Children’s Hospital)的互联网接入被切断了近两天，当时一群疑似由匿名组织(Anonymous)领导的黑客活动分子针对一起儿童监护权案件发起了定向拒绝服务攻击。

•2014年12月，克莱县医院的内部系统被勒索软件程序感染，导致受保护的健康信息被劫持。数据劫持者威胁说，如果不支付一笔可观的款项，他将向公众公布这些信息。

灾备计划
根据HIPAA安全规则的要求，灾难恢复计划包括一系列必须遵循的系统步骤，以便快速恢复正常。如果没有适当的计划，某些情况可能会严重延迟甚至破坏恢复过程。计划的主要组成部分包括:

激活(何时以及如何宣布灾难);

•评估(确定根本原因并评估灾难影响);

•遏制和控制(防止升级的步骤);

•恢复(至少使关键任务应用程序和系统快速恢复的步骤);

•紧急模式操作程序(在业务恢复正常之前组织将如何运作);

•恢复(恢复正常操作可能意味着将数据中心操作从备用站点转移到主数据中心);和

•演练和测试(何时以及如何测试灾难恢复计划)。

尽管如此，即使有极好的计划，也有可能发生意想不到的事情。例如，沟通是任何恢复计划的关键步骤。许多组织已经实现了语音互联网协议，更广为人知的是VoIP。这个系统的一个缺点是，如果网络坏了，电话也会坏。此外，外部灾难通常会导致蜂窝网络上的电话流量泛滥，导致许多呼叫者无法使用该服务。

一份写得很好的灾难计划提供了通信选择，比如使用短信联系灾难小组。

策略

维护高可用性
大多数医疗保健组织使用虚拟化服务器和系统来维持高可用性。虚拟化允许多个服务器在一台服务器主机上运行——类似于小型主机。如果检测到硬件或软件问题，控制器会立即将服务器从一台主机移动到另一台主机服务器，从而避免潜在的停机或灾难。

数据备份方案
定义良好的数据备份计划是任何灾难恢复策略的重要组成部分。除了作为HIPAA安全规则的要求之外，实现数据备份计划对于确定恢复点目标(RPO)也是必要的，RPO是数据复制之间所经过的时间量。

在过去，每天备份到磁带是流行的做法，但现在已经不是这样了。每日备份表示24小时的RPO，这意味着在系统发生故障时，可能会丢失多达24小时的工作。想象一下，告诉医生或护士，他们必须在每个病人的病历中重新输入他们昨天做过的所有事情——请确保它完全相同。

现在，组织正在将RPO时间降低到不到两个小时，并使用磁盘到磁盘备份来快速有效地完成RPO。

事件应变小组
适当的灾难恢复计划首先要确定能够洞察每个部门需求的关键参与者。在灾难发生时，具有最高级别管理职责或在现场任职时间最长的工作人员应临时担任事件指挥官的角色，他必须立即与事件响应小组(IRT)联系。这个人应该留在这个职位上，直到更有权威或资历的人到达现场。

IRT通常由能够评估损失并协助恢复过程的个人组成。典型的小组成员包括:

•IT总监;

•信息安全官;

•房屋主管(下班后);

•隐私官;

•公关经理;

•电信经理;和

•设施(或工厂工程)主管。

根据灾难的类型，可以将其他主题专家添加到团队中。

关键任务系统
必须建立一份应用程序和系统的清单，以及它们对特派团的指定重要性。业务影响分析确定应用程序系统的优先级，并定义恢复目标。

紧急模式操作规程
当系统离线时，登记和照顾病人的业务将不可避免地变得更加复杂。应急模式操作计划在混乱时期提供指导。在灾难恢复情况下，许多正常的业务流程和过程可能必须暂时暂停。

恢复(同步)
在任何类型的灾难之后，信息和系统的同步都可能是恢复过程中最具挑战性的部分之一。存储在纸上的信息必须重新整合到电子系统中，而且文件和事件的时间必须仔细协调。

测试
一旦制定了计划，就必须对其进行测试。因为它不需要实际关闭任何系统，所以桌面练习是一种简单的方法，可以在不影响患者护理或业务操作的情况下逐步完成计划。错误、不正确的假设和缺少的计划元素可以在这个过程中被发现。在练习之后，应该更新计划以纠正任何错误的观念、遗漏或错误。

故障点
在制定灾难恢复计划时，请记住没有足够的时间来针对每种可能的场景进行练习。多年来，医院投入了大量的时间和资源，为恐怖主义行为和随机枪击事件做好准备，但这些仍然会给系统带来负担，并造成无数潜在的失误。

当今卫生系统所经历的灾难不仅仅与天气有关，但毫无疑问;大自然母亲加紧努力，使医院领导的生活变得痛苦。

备用发电机可能会按计划运行，但如果淹水的道路无法通行，无法获得必要的燃料，恢复工作可能会推迟。更复杂的是，一些较老的医院将应急发电机安置在易淹水的地下室。

2012年10月，飓风桑迪袭击了东海岸，造成了巨大的破坏，迫使许多医疗机构启动了灾难恢复措施。例如，史坦顿岛大学医院在停电时被迫使用纸质文件，严重扰乱了包括其数据中心在内的运营。随着风暴的临近，贝尔维尤医院中心和纽约大学医院认为他们的发电机已经为即将到来的威胁做好了准备，但是当地下室的水达到8英尺的高度时，机器失灵了。唯一的选择是用手电筒疏散几百名病人。

难题在于，虽然许多安全措施可能满足备灾要求，但很少有医院将其基础设施升级到必要的程度。许多大型城市医院都有50多年的历史，在预算问题最为重要的时候，承担大规模的基础设施项目是不可能的。此外，很少有病人根据备用发电机的位置来选择医院。

事实上，参与2012年联合委员会调查的医院中，只有三分之一的医院表示他们计划升级基础设施。尽管如此，还是有一些人在冒险。例如，西奈山医疗系统(Mount Sinai Health System)已拨出1200万美元用于改善基础设施，包括将四个地下室的发电机搬到更高的楼层。

他扮演的角色

组织工作流程

灾难恢复计划往往侧重于驻留在本地数据中心或服务器机房的IT部门。IT人员可能不像HIM专业人员那样对组织工作流程有深入的了解。系统的系统恢复必须与向患者提供治疗和护理时使用的业务流程步骤保持一致。HIM专业人员可以在应用程序、系统和医院部门恢复优先级方面为IT人员提供帮助，以支持工作流程。

文档
灾难发生后，医疗信息系统工作人员将以多种方式参与恢复过程。HIM专业人员了解良好文档和保存关键信息的重要性。如果使用的是纸质记录，则必须决定是否要重新加载这些信息。订单和应急记录必须在恢复供电时上传或扫描。

当博尔德社区医院(Boulder Community Hospital)的服务器故障导致医院的MEDITECH系统关闭时，没有人想到它会瘫痪10天。向纸质记录的转换是有效的，但耗时较长。当完全恢复完成时，只有大约8小时的数据丢失。然而，过渡到纸质和恢复电子程序的影响给护理人员和卫生信息系统工作人员带来了许多额外的工作。

病人识别
医疗卫生专家知道在灾难情况下获取哪些信息，他们可以在患者身份识别程序中发挥关键作用。随时可用的预编号标签和病历表，以及存放贵重物品和个人物品的程序，可以帮助受害者与家人团聚。

发布信息
关心的家人和朋友需要一个指定的地方，在那里他们可以等待获得亲人的信息。由于HIPAA规定允许在灾难期间披露患者的一般情况或死亡情况，因此应尽一切努力以尽可能舒适和方便的方式容纳家属。他的专业人员和隐私官员可以支持公共关系和行政人员，以确保发布准确、合规的信息。

对人力资源管理人员的影响
在准备方面，卫生组织工作人员将在制定应急模式行动计划方面发挥重要作用。

在更直接的层面上，根据灾难的规模，HIM的工作时间表可能需要改变。由于电子病历系统无法工作，灾难情况变得复杂，这意味着从登记到治疗实践的一切都将在纸质记录上处理。因此，即使灾难已经解决，他的日常工作也可能在一段时间内受到影响。工作可能会更有压力，根据灾难的类型，长时间工作可能会成为常态。

一个平稳运行的HIM部门将是整个组织如何快速有效地恢复正常运营的关键因素。

尽你所能地管理
没有单一的解决方案可以帮助医院为每种类型的灾难做好准备。在当今的医疗保健环境中，它需要一个精心策划的战略组合，包括解决如何打击不断上升的网络犯罪发生率。

在每个卫生系统中，抵御灾害和实施成功的恢复取决于由许多参与者组成的团队。仔细的计划，练习和练习可以导致更多的“如果”问题，以优化危机期间的反应。这种团队方法为组织提供了在最短的时间内恢复全面运作的最佳机会。健康信息的保护和交流对于确保及时提供护理和保持数据完整性至关重要。

- Susan M. Lucci, RHIA, CHPS, CHDS, AHDI-F, Just Associates的顾问兼首席隐私官。

- Tom Walsh, CISSP, two - security公司总裁兼首席执行官。