医院高层们，你们的医院数据可还安全？

　　还记得在2015年初的Anthem医疗数据泄露事件吗？许多医疗机构都很关注如何医院管理患者信息，并想知道他们的数据管理方案能否抵御下一次的网络攻击。面对一系列的威胁，美国医疗行业决定团结起来，他们建立了国家网络信息分享与分析研究中心（ISAC）。面对威胁，医院要怎么保护自己医院的数据库？

　　在众多需要考虑的因素中，我们列出应考虑的5大因素，这也是网络信息公司容忽视的5个问题。

　　1. 未能进行全面的风险评估 一个行之有效的合规性计划其基础是全面的风险评估。但是，大多数医院网络营销信息公司使用的解决方案是按通常情况的风险评估方案，对医疗机构缺乏针对性。这不仅仅是因为医疗行业具有独特的监管要求，也因为合规义务在医疗机构与其他工业领域有很大的差异。

　　寻找有丰富经验、能执行复杂风险评估、适合于医疗行业的评估资源是重要的。应确保风险评估有切实可行的流程，应坚持一个定制的方案来满足医疗行业独特的监管要求。即使你认为你的风险评估是完全正确的，也需有一个独特的方案予以验证。但请记住，你的方案还必包含你的商业伙伴。

　　2. 未能全面审核网络信息公司 作为一个医疗机构，其受电子化保护的健康信息（ePHI）的数据安全的责任可能超出你的想象。医疗信息技术促进经济和临床健康法案 (HITECH)规定，当商业伙伴对ePHI进行信息共享时，也需要保护数据的安全。为了保证数据安全性，每个网络信息公司都要建立访问控制、协议周全和监管完善的机制。针对所存在的风险，明智的做法是每年对网络信息公司协议和安全计划进行独立的审核。这种逐年的评估是一种性价比较高的方式，它详细记录了每个网络信息公司如何保护您的数据，并保证他们遵循的是同样有效可行的标准。

　　3．缺乏所有权和问责制 数据安全的标准和医疗机构在各个领域的职责是错综复杂和常常混淆的。从管理到技术到物理检查的每个领域，都各司其职，但往往存在着较大的差异。有效的网络风险治理、管理及可行的计划都需要清晰认识到企业内部的所有权和问责制。为了促进整体的成功，网络信息公司应实现一个能明确界定每个区域的数据安全所有权（责任）的架构。这包括为机构内的每个员工或团队适用的职责。责任人对他们区域内的日常活动或者事故过程中的工作职责进行负责。该架构应该在每年和重大事件之后进行审查，找出差距并需要追究发生任何变化的责任。

　　4. 较差的流程和事故响应速度 定制一个及时、恰当、成本效益好的安全应急响应方案和定义明确的流程是至关重要的。首先要针对机构内每个区域列出数据安全责任人清单和对安全事故类型所负的责任。然后制定须严格遵守的具体流程，并形成文件。一步一步形成标准化的制度，使得它更容易被大家坚持遵循。这些文件包括需要立即报告的重大事件和及时材料更新。一开始就要仔细测试流程，然后至少每年重新检查一次，以确保所有信息是新的。

　　5.过多或过少的依赖技术 当涉及到ePHI的数据安全性时，网络信息公司需要选择合适的技术，以满足医疗机构的具体需求。首先需要全面了解你的风险。一个独立的，定制的风险评估会帮助你确定哪些是已经到位并工作得很好，还会确定你的技术组合中哪些是遗漏了的。托管服务提供商通常不是好的选择，因为大多数提供商提供的解决方案（包括软件）你可能并不需要。