保护机密数据是每个行业的首要任务, 但在医疗保健行业, 现有的法规和遵从性要求要求采取严格的数据保护措施.
无论您是医疗保健提供者还是医疗保健开发人员, 如果你们在美国的组织处理这些藏品, 存储, 和/或受保护健康信息(PHI)的传输, 那么您的数据库需要符合美国健康保险流通与责任法案(HIPAA).
2020年,针对医疗数据的网络攻击急剧增加,就被泄露的医疗记录数量而言,这是第三糟糕的一年, 在29日,298,012份据报已公开或不允许公开的记录. 根据Emsisoft的说法, 2020年,美国有560家医疗机构受到勒索软件攻击的影响, 跨越80个独立事件.
保护您的HIPAA数据库
的 HIPAA安全规则 需要三种保障措施:行政、物质和技术.
现代应用程序和存储格式主要是数据库驱动的. PHI主要存储在数据库表中,有 符合HIPAA的数据库 提高PHI的安全性和安全性需要成为医疗保健组织及其签署业务合作协议(BAA)的实体的首要议程.
对医疗保健数据库的网络攻击不仅会导致严重的收入损失和声誉受损, 但如果违反HIPAA法规是违规的原因,它也会招致巨额罚款.
以下是你需要知道的,以最好地保护你的HIPAA数据库:
- 进行风险评估
定期的风险评估可以帮助识别组织数据安全中的漏洞, 员工教育的差距, 供应商和业务伙伴在安全覆盖方面的失误和可能的陷阱, 以及其他值得关注的领域.
定期进行的内部风险评估可以帮助您找出可能导致数据库及其包含的PHI暴露的潜在缺陷. 通过风险评估主动识别和减轻可能的漏洞可以帮助您避免数据泄露的有害影响,并保持HIPAA数据库的安全.
- 培训员工
随着 网络安全 威胁形势继续演变, 员工培训需要跟上,以避免由于人为错误而导致的意外数据泄露. 安全意识培训为您的员工提供了处理敏感的HIPAA数据库所需的知识.
随着黑客不断发展他们的技术, 您的员工需要能够识别可能的网络钓鱼攻击,并遵循安全最佳实践,以跟上当前对HIPAA数据库的威胁. 培训还将使您的员工在处理患者数据时更加谨慎.
- 确保数据加密
无论是在数据库中还是在传输中, 为了确保数据安全,必须对PHI进行完全加密,以防止恶意势力绕过数据库控制直接访问信息. 即使在数据泄露的情况下,数据库加密也能确保PHI不被破译.
- 设置数据控件
数据控制确保可以实时标记和阻止威胁医疗保健数据库安全的任何恶意活动. 数据控制包括访问控制、审计日志记录、身份验证和授权.
访问数据的人越多,数据泄露的风险就越大. 访问控制包括设置用户身份验证. 审计日志记录是指跟踪用户登录, 读取, 在单独的日志中写入和编辑 遵守HIPAA法规. 身份验证和授权处理定义谁将有权访问数据库,并为用户分配适当的角色和特权.
- 执行老板
仅仅确保内部遵守HIPAA规范是不够的. 为了保护您的HIPAA数据库,您需要仔细评估 HIPAA合规 并确保您与所有参与收集的供应商签署业务合作协议(BAAs), 传输, 或医疗保健数据的存储.
BAAs是一种法律合同,必须在使用, 传输, 收到, 或交换PHI. 在接收或共享PHI之前,它们需要在共享PHI的各方之间到位.
- 有数据恢复计划吗
HIPAA要求组织在服务中断的情况下实现备份和灾难恢复过程. 网络攻击和其他灾难会阻碍数据的可用性, 这就是为什么根据HIPAA准则备份是必要的. 但是,还需要采取措施来保护数据备份.
备份数据还需要完全加密,以符合HIPAA规范. 必须定期检查和测试所有备份. 需要对备份进行验证,并且必须对测试和验证进行记录. 利用异地数据备份也是灾难恢复的一个组成部分.
- 数据处理计划
您必须在系统中保存受保护数据的时间越长,法规就越严格. 在美国,有超过150个州和联邦法律影响数据的保留. 需要保留医疗保健数据的法规和持续时间取决于所存储的数据类型.
一旦超过规定的数据存储期限, 您需要设置一些机制,以便在不再需要时安全地清除数据库,并安全地处置数据和媒体. 高安全性文件擦除, 根据现行的NIST标准, 在制定数据处置计划时,是否有必要.
需要一个积极的计划
随着医疗保健领域的不断发展, 医疗保健数据面临的威胁将继续上升. 在制定和实施数据保护计划时,需要采取主动而不是被动的方法.
随着确保HIPAA数据库保护的法规要求的发展, 采取主动方法实现医疗保健安全最佳实践的医疗保健组织将最适合确保合规性,并降低遭受代价高昂的数据泄露的风险.
