医疗信息安全需要关注的问题和探讨.PDFVIP

医疗信息安全需要关注的问题和探讨 王海彤 haitong.wang@ Oracle 医药与卫生行业总监 很多父母都有这样的经历，当孩子刚出生，很快就有人 直接打他的手机推销婴儿用品。 为什么很多人在就诊时对留下非常详细的个人信息有顾 虑？ 议题 Agenda • 国外医疗信息安全建设思路和体系 • 医疗信息安全需要关注的内容 • 医疗信息安全的最佳实践分享 医疗信息安全的核心内容 • Privacy (隐私): 通过赋予患者控制他们个人识别信息和健康/治疗信息使用的权 利，使得患者可以设置健康/治疗信息的使用、共享、被访问以 及如何保护的规则 • ƒSecurity (安全) ： 通过一系列管理、技术和物理的安全防护措施以及相关的策略/ 规章制度（Polices ）和操作规范（procedures ）来保证ePHI （受 保护的健康信息）的安全性。 隐私问题 被授权的用户对信息做不适当的披露 安全问题 未被授权的用户对信息作不适当的披露 使用目的 业务行为或者任务的分类，授权用户是否不适当的使用 (Purpose) 数据取决于使用目的（PURPOSE ） 受保护的医疗信息 (PHI) 纸面 Protected health information 受保护的医疗信息 PHI 口头 电子 e-PHI • 明确标识个人 （或有合理的可用于识别个人）的信息 • 包括过去，现在或将来的身体或精神健康状况，治疗状况，或医疗支付等 医疗信息的安全性是一个“系统”问题 法律制度的强制 人员的遵循 PHI 技术方法的支持 规章制度约束 美国医疗信息的安全法律体系 法律制度 HIPPA: Healthcare Insurance Portability and Accountability Act • 保证健康保险流通性性，降低医疗欺诈行为，保证健康信息的安全及隐私， 并强制卫生信息标准。 • 要求“涵盖实体”实施的具体程序和安全保障，以保护 “电子保护的健康 信息”（ePHI ）安全和隐私。 HITECH: Health Information Technology for Economic and Clinical Health Act • 包含新的关于“涵盖实体”和商业伙伴如何管理医疗信息的隐私和安全 的要求 美国医疗信息安全体系要求 • 合规性评估，最后的合规期限 • 自我评估，基于评估方案选择 管理和技术文档 技术保障措施 物理环境保障措施