管理HIPAA's Pain

在HIPAA隐私和安全规则的最后期限的中间,医疗保健CISO为我们其他人分享了合规性课程。

在美国华盛顿特区联合车站以北三个街区的一栋普通砖砌建筑的七层上,美国国家档案和记录管理局的一个小办公室推出了名为《联邦公报》的出版物。该报纸种类繁多,每个工作日长达数百页,是规则,提议的规则和联邦机构发布的公告以及总统的行政命令的公开记录。在办公室的图书馆里,有一叠蓝绿色的书架,上面放着过去的《联邦公报》,这是一个可以追溯到1935年的官僚档案馆。如果您查阅第68卷第34号附录C的附录A在第164部分中,您将找到一个169个字的安全标准矩阵,该矩阵告诉您保护电子数据应采取的所有措施。

这里没有惊喜,只有优雅明显。行政保障措施。实物保障。技术保障。总共有十二个具体的操作项目,从数据备份到密码管理再到加密,在一页纸的图表上汇总在一起,该图表总结了前面46页中列出的安全规则。而且,尽管如此,该安全性矩阵还是取得了意外的成功,如果您愿意,它将是联邦文件的“我的大胖希腊婚礼”。一项没有人认为会产生特殊影响的作品,但由于它是如此的容易获得,使它有了自己的生命。

有三分之二的早期筛查用户要求安全矩阵进入此安全规则的最终版本。它为工作队和工具包提供了无数安全审核和差距评估的结构。

对于缺少的内容和包含的内容同样重要。您会发现,尽管事实上我们在这里所说的仅适用于医疗保健行业的公司 它是根据《健康保险携带与责任法案》(HIPAA)发布的它可以应用于任何行业的任何公司。首先,HIPAA文档的这一部分是关于安全性的。

卫生保健咨询公司The Marblehead Group总裁CISSP的凯特·伯顿(Kate Borten)表示:“这些都是好的做法。” “规则中没有专门针对医疗保健的内容。这是教科书安全性101。”

波士顿儿童医院首席信息官Paul Scheib表示:“总体而言,该法规突出了大多数安全专业人员都同意的良好安全做法。” “ EPHI(受电子保护的健康信息)一词与其他行业无关,但是您可以用'关键业务信息'代替,因为任何企业都试图保护其最关键的信息。”

在过去的五年中,卫生保健行业中新成立的安全官员大批争先恐后地满足了隐私权规则,现在又满足了该安全规则,这两个规则均由美国卫生与公共服务部根据任务授权实施法案于1996年由国会通过。(第三条法规的遵守日期是2003年10月,该法规涉及电子交易和代码集,旨在简化医疗保健组织处理付款的方式。)

其他行业的CISO大多在展会中打哈欠。但是,不管喜欢与否,越来越多的人很快就会成为政府为改善信息安全所做的努力的参与者,而不是观察家。

《格拉姆-里奇-布里利法案》已经对金融服务公司产生了影响。联邦机构正在努力解决《联邦信息安全管理法》。上市公司正在根据萨班斯法案(Sarbanes-Oxley Act)第404节的要求,研究信息安全在确保其内部控制中所起的作用。在加利福尼亚开展业务的公司正在整理SB 1386,这要求他们制定适当的流程来通知客户其个人信息已被泄露。甚至有传言说,证券交易委员会必须对信息安全进行披露。

然而,没有其他行业在遵守此类法规方面做得太多或对他们的合规工作持开放态度作为保健行业。

在HIPAA隐私规则的2003年4月截止日期和安全规则的2005年4月截止日期中间,我们与医疗保健CISO讨论了严格的合规性细节。在这里,他们分享了您可能注定要去旅行的路上所学的知识。

至少一名CISO该组织的工作不仅要遵守HIPAA,还要遵守加利福尼亚的SB 1386以及自愿的Sarbanes-Oxley Section 404认为时间到了。

太平洋人寿保险公司副总裁兼首席信息安全官米奇·克劳斯(Cick Micki Krause)(ISC)2在2003年被任命为最高信息安全专业人员,他说:“如果所有法规都在20年前制定出来,我们将处于一个更好的状态。 “您在哪里?Rita Aikins尚不确定使Providence Health System符合HIPAA的安全规则将涉及什么。但是她知道流程必须从风险评估开始。 Aikins正忙于收集部门,主机/服务器和应用程序调查的庞大数据库,这些数据库将安全规则的要求与位于西雅图的非营利组织Providence的现实进行了比较,Aikins是隐私和信息的系统主管。

“(数据库)非常庞大。它包含大量数据,” Aikins说。她的小组仅俄勒冈就已经编写了139份申请调查他们在审计流程中的起点,因为普罗维登斯俄勒冈州地区的资本预算流程比该组织运营的其他三个州更早进行。 1月底,Aikins在俄勒冈州结束了这次安全审核,她希望华盛顿,然后是阿拉斯加,最后在6月30日之前完成加利福尼亚的安全审核。

Aikins认为,内部进行审核比雇用顾问更有效。她说:“我认为,如果进行风险评估的人是负责执行该规则的人,那将会有所帮助。”但是在完成安全审核之前,她的团队几乎无能为力。 “风险评估为我们提供了差距分析”使组织符合法规的行动项目。 “没有风险评估,您只是在旋转。”

最终的安全规则非常明确。在较早版本的安全规则中,要求在民主上没有优先级。但是在最终版本中,HHS决定首先在行政保障措施清单中进行此风险分析安全矩阵的第一行。该规则指出:“我们认为这构成了所有其他标准所依赖的基础。”

普华永道(PricewaterhouseCoopers)HIPAA安全和隐私惯例的高级经理辛迪·史密斯(Cindy Smith)表示,这就是大多数医疗保健组织在新的一年中所采用的方式。她说:“组织正处于风险评估的困境中。” “这绝不是一件容易的事。每个人都意识到这是一项艰巨的工作,但这不是火箭科学。这是标准的风险评估确定您拥有的资产以及风险和漏洞是什么。”

该风险评估过程也是《萨班斯法案》合规性的组成部分。 Smith说,一些公司正在整合该流程,并进行了充分的评估以满足这两个法规。但是,大多数不是。 “有人说,我不想咬掉我不能咀嚼的东西。”

无论哪种方式,一旦安全评估完成,就开始真正的咬和咬。总共有两千四百个,它们必须锁定并清空Maimonides Medical Center上任何设备上的EPHI并保持三分钟。 “我无法在2400个工作站上进行设置屏幕保护程序之类的工作,”安全官员兼技术服务高级总监Mark Moroses说。 “那是战trench。”

因此,在一月份的一个寒冷的早晨,凌晨6点过后,莫洛斯(Moroses)进行了一系列网络架构更改,这使他可以对屏幕保护程序等进行全局控制因此为纽约布鲁克林的705张病床的医院奠定了基础,使其符合HIPAA标准。事实证明,屏幕保护程序是最简单的部分。

“在此之前,每个人都致力于使护理人员尽可能容易地使用(系统),” Moroses说。 “然后HIPAA出现了,并说不是那么容易使用,而是要确保正确的人可以访问信息。这是两个相互竞争的想法,您必须加以调和。这就是存在的差距。”

例如,考虑访问Maimonides的电子病历。电子病历(EMR)系统上线时,最初是为了节省医生登录网络的时间而设置的。相反,计算机具有通用的网络登录名,但是医生为EMR系统键入了唯一的用户名和密码,这限制了任何给定用户可以访问的信息,并且还提供了审核功能。这很方便,但是这意味着无法跟踪谁正在访问其他网络资源。

在Moroses和他的小组可以使用唯一的用户名和密码替换患者护理区域中的常规网络登录之前,他们必须获得临床领导的批准:医院信息系统咨询委员会,其中包括所有临床主席以及首席运营官,高级副总裁和副总裁;和医师工作组,由医生主持的小组委员会工作组。

莫罗斯说:“我们所做的一切都是通过该委员会进行的。” “他们可以推荐它,也可以击落它。”

起初,他们击落了它。

当Moroses的小组就此变更向急诊部门主席求助时,“他说,'我们做不到”,Moroses回忆道。急诊医生不能花费额外的80秒登录时间而不会对患者的护理产生负面影响。因此,小组来回走动,直到找到一个每个人都可以接受的解决方案:紧急情况下的230台计算机非临床护理计算机将需要网络和EMR系统唯一的用户名和密码,而该部门将与网络的其余部分分开,并且只能访问EMR数据。

合规性是折衷的游戏。

现在技术框架已经到位,Moroses专注于流程。例如,如果会计部门的某人已离开医院但仍在收取假期工资,则她的网络特权需要在工作的最后一天被撤销。或者,如果一名护士为另一个部门的同事填补空缺,那么Moroses一旦返回原来的工作,就需要一个程序来削减临时访问权限。

莫洛斯说:“过去没有解决很多小问题,但现在您必须处理它。这将是最大的工作,这是过程变更。” “油轮需要向左转大约五英里。医疗机构就是这样。”宣传一旦政策到位,教育挑战就开始了。在这种情况下,至少,医疗保健机构具有HIPAA隐私规则的经验来指导他们。在弗吉尼亚州罗阿诺克(Roanoke)的Carilion Health System,信息安全官Tom Newton记得,花了四个月的时间对10,000名员工进行了有关变更的教育无论是从规则的含义,为何重要到如何在日常环境中正确应用这两个方面。

问题范围很广:可以在答录机上留下哪些信息?接待员何时可以告诉呼叫者当天下午个人是否有医生预约?护士如何识别需要检查结果的患者?可以在哪里张贴患者姓名和房间号?所有这些问题都需要通过政策来回答,然后传递给员工。

如果听起来像是员工对规则有强烈的要求,那您是对的。 “哦,太糟糕了,”牛顿说。 “它只是把事情淹没了。”

9月,Carilion将开始对安全规则进行培训。这次会比较容易。隐私规则适用于各种受保护的健康信息,无论是电子信息还是其他信息,但安全规则仅涵盖电子PHI。

牛顿决定对现有策略进行修改,以包含安全规则中的新内容就像他为遵守隐私所做的那样。

他确实确定要知道的一件事:上一次提供基于Web的培训是浪费金钱,因为不到15%的员工使用了Web模块,而且Newton认为它的效率不如面对面的培训。对于安全规则,员工将可以参加现场会议或自己阅读手册。解释事项即使组织逐渐放弃按员工划分的HIPAA合规性,仍然存在一个更大的问题:HHS将如何解释和执行明年4月的最后期限过后,HIPAA安全规则是否生效?这也许是所有其他CISO值得关注的事情,因为这可能会对未来信息安全法规的制定和实施产生巨大影响。

1 2 Page 1
第1页,共2页