醫(yī)療行業(yè)信息安全最佳實踐
2018年02月27日
如果安全團隊不知道何為安全最佳實踐,企業(yè)損失人力物力財力不過是時間問題�����。而且一旦發(fā)生安全事件�,還有可能損及客戶,造成需要花費數(shù)年時間才能彌補過來的業(yè)務損失或賠償��。
至于醫(yī)療信息安全領(lǐng)域��,可以嘗試的安全方法多種多樣����。但無論你采用哪種實現(xiàn)方式,總有些結(jié)果不是你所預期的����。于是,問題來了:醫(yī)療信息安全最佳操作有哪些?
一�����、技術(shù)層面看
培訓,培訓��,再培訓�����。確保員工熟知最新威脅是“全民皆兵”的極佳方式���,可以讓每一名員工都成為公司的“眼睛和耳朵”。通過信息安全培訓�����,也可以讓員工了解自身與公司是共擔風險的���。
1. 域訪問權(quán)限
不是每個人都需要域訪問權(quán)限���。事實上,職位高低與域訪問權(quán)無甚關(guān)系�。董事長或CEO掌握域控口令甚至更糟,因為高管本身就是黑客的主要目標����。
2. 自帶設備辦公(BYOD)
如果公司允許自帶設備辦公(BYOD),那就部署移動設備管理(MDM)解決方案,管控員工訪問受保護健康信息(PHI)和個人可識別信息(PII)的會話��。MDM中應特別注意開發(fā)者模式是否被禁用����,若禁用該模式,MDM工具所提供的服務就無效了���。
3. 殺毒軟件(AV)
做安全要走心���,僅僅對著列表劃勾的敷衍態(tài)度做不好安全。要確保所有AV都配置正確�,運行良好,病毒庫和規(guī)則保持更新���。
4. 做好變更管理與跟蹤
無論是大企業(yè)還是小公司�,都需要變更管理��,即便只是用一張Excel電子表格來管���。公司越小���,越需要知道應該回滾到哪里����。對大公司而言��,則需要有足夠的跟蹤��、監(jiān)視��、核查與平衡�,以便將變更管理有效集成進公司運營中�����。
二���、文化層面看
1. 別太自負
歷史已無數(shù)次證明�����,總有些專家覺得自己知道一切�����。但最終�����,人總得與他人合作�����,友好合作��。太自負不利于協(xié)作����,最好完全摒棄這種高傲的態(tài)度,為項目����、公司或工作職責貢獻出你的價值。
2. 安全域的存在是有理由的
安全域的叫法或許多種多樣�,但其存在是有理由的。必須將之視為安全底線來遵守��。你可以不喜歡安全域���,但它就在那里���,合理存在著�����。
3. 盡量透明
沒錯���,信息安全中有些領(lǐng)域就是要保密的。但是��,如果每個人都清楚各自在做的事和做事的方式��,那業(yè)務推進就會更快更平滑�����。近期的項目中出現(xiàn)過員工出于工作安全考慮而秘藏信息的現(xiàn)象���,但這是錯誤的做法。讓整個團隊或公司知道當前項目的進展可以播下信任與尊重的種子��。
4. 清楚醫(yī)療法規(guī)
不僅要知道業(yè)務范圍�,還要知道本行業(yè)應遵從的各項法規(guī)。法律就是法律�����,連同相關(guān)規(guī)定、規(guī)則和指導原則都要知道�。
最后,以上建議請根據(jù)自身業(yè)務及業(yè)務需求斟酌采納���。
江蘇國駿信息科技有限公司在信息網(wǎng)絡安全���、運維平臺建設、動漫設計�、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型����,從“人員素養(yǎng)”、“制度流程”����、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案�,業(yè)務涵蓋咨詢、評估���、規(guī)劃�、管控、建設����、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商��。
