注册 登录
APP
申请认证 退出

24小时更新医疗健康领域的要闻,打造最及时、最鲜活的资讯平台。

72 小时热文

别被忽悠!移动医疗信息安全的五个维度

原创 文/王哲 2015-08-04 来源:健康界
A- A+
我行我show!中国医院管理案例评选,医院卓越管理实践大秀场。点击查看

在设计安全的四大领域,除了技术安全服务、技术安全机制两个直接相关的技术要求外,管理流程和物理防护两大管理领域也是医疗安全方面的重要组成,必须加以重视。

笔者在上一期《移动医疗运营的四点感触》中提到系统遭受攻击的话题,于是这两周不少人和笔者探讨关于移动医疗过程中的各种安全相关问题。忽然发现,一方面,同样的"安全"二字,在医疗和技术领域,许多人的理解似乎并不相同,另一方面,由于大家对安全的重视和知识信息的不足,一些被渲染安全问题,比较容易造成保守型恐惧,导致创新受阻。笔者虽然谈不上安全专家,不过确实算是读过系统安全验证的博士生,研习过完整的HIPPA课程。所以,结合笔者这些年在系统安全上遇到的各种实践经历,特别想用相对容易理解的言语澄清一些安全领域的概念,供更多同行参考,互相交流。

安全不是单单技术上的事情

提及安全,医疗领域同事担心最多的部分是信息泄露问题。这大概和大众对IT信息系统了解较少有关,因此造成了对未知的恐惧。事实上,安全是一个完整的体系,包括了管理和技术两部分的有机结合。任何一部分的缺失或者漏洞都可能带来安全隐患。2013年美国名人金-卡戴珊身上曾发生病历泄露事件,当时其刚出生女儿的一系列信息,被西奈医疗中心工作人员窥探并泄露给了记者媒体。事后医疗中心解雇了6名相关工作人员,并对事主告知详情和道歉。这就是典型的管理安全范畴,医疗服务机构在前期的病历信息管理不到位导致泄露造成不良影响。

对于移动医疗而言,有效的管理更是尤为重要。公司入职人员都应该签订相关医疗信息保密协议,让法律威慑形成企业行为标准。 其次,医疗安全培训,笔者曾经在公司做过若干次管理和技术相关安全培训,起到了很好的效果。帮助员工引导和加强安全意识也是移动医疗企业必经的环节。最后,相关操作规章制度的建立,也是医疗安全的重要屏障。

事实上,在设计安全的四大领域,除了技术安全服务、技术安全机制两个直接相关的技术要求外,管理流程和物理防护两大管理领域也是医疗安全方面的重要组成,必须加以重视。

安全政策参考HIPAA,等待国家指引

和其他信息产业略有不同,医疗领域因为涉及民生安全,所以各国政府都在积极进行规范。目前美国是在这方面走最先进的国家,HIPAA(Health Insurance Portability and Accountability Act)中文翻译全称健康保险携带及责任法案。这个法案对多种医疗健康产业进行了比较具体的规范,包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等各个部分。

说完美国,再看中国的现状。到目前为止,我国尚没有一个比较系统性的法律法规来约束新互联网环境下的医疗信息安全。这也是为什么国内有安全意识的公司会以HIPAA为参照标准的原因。已有的规定在互联网方面,主要有《中华人民共和国计算机信息系统安全保护条例》和《电信和互联网用户个人信息保护规定》。两部国家级规定部分约束了互联网信息在传输和存储过程中的信息安全性,具有一定的参考意义,但是绝大部分是用户信息内容相关的。在医疗方面,卫生部发布了《互联网医疗保健信息服务管理办法》,但这个主要和互联网企业运营相关,与内容安全关系很少。

今年7月,国务院印发了《关于积极推进"互联网+"行动的指导意见》,内容第一次以国家级文件明确支持第三方平台构建医学影像、健康档案、检验报告、电子病历等医疗信息共享服务平台。相信不久的将来,相关法律新规也会产生,给行业从业企业更好的指引。

安全里的传输窃听与系统渗透

已发表0篇文章

已发表0篇文章

0人收藏

0人打赏

最新评论

相关附件下载

相关阅读

0条评论

0/500

评论字数超出限制

表情
发表

相关新闻

赞+1

©2012  北京华媒康讯信息技术股份有限公司  All Rights Reserved.  注册地址:北京  联系电话:82736610

京ICP证150092号 健康界备案京公网安备 11010802020745号

您的申请提交成功

确定 取消
X

打赏金额

1元 5元 10元 20元 50元 其它

打赏
X

扫描二维码

立即打赏给Ta吧!

温馨提示:仅支持微信支付!

X

扫描二维码

温馨提示:仅支持微信支付!