随着 ONC 致力于推动医疗 IT 的发展和使用,我们知道您在维护公众信心和信任方面发挥着重要且同等的作用。医疗信息的隐私和安全始终是我们工作和贵组织业务实践的重中之重。本着国家网络安全意识月(NCSAM) 的精神,我们希望重点介绍HHS 安全风险评估 (SRA) 工具,您可以使用该工具来评估贵组织的安全风险。如果您负责受保护的电子医疗信息 (ePHI)的隐私或安全,您可能会对 SRA 工具特别感兴趣。
措施以确保 零售电子邮件列表 医疗信息的机密性、完整性和可用性的方式。进行安全风险评估是识别和评估贵组织内 ePHI 风险的一种方式,检查贵组织是否已采取适当的保障措施,并发现 ePHI 可能存在风险的任何领域。然后,您可以采取行动来减轻发现的任何风险。例如,评估安全风险可以帮助您的组织降低受到各种网络攻击、恶意软件、勒索软件和其他在线诈骗影响的可能性。
进行安全风险评估是识别和评估组织内 ePHI 风险的一种方法,可以检查组织是否有适当的保护措施,并揭示 ePHI 可能存在风险的任何领域。
鉴于医疗保健领域存在已知和新出现的网络安全风险,使用 SRA 工具可以通过以下 4 种方式帮助您的组织。最重要的是,它是免费的!
识别 ePHI 的潜在威胁和漏洞。SRA 工具旨在帮助中小型医疗机构或组织评估 ePHI 的风险。组织可以使用 SRA 工具帮助识别潜在威胁(例如网络攻击、盗窃)和漏洞(例如访问 EHR 的弱登录),这些威胁和漏洞可用于为组织制定缓解计划以保护电子患者数据提供参考。
审查与 ePHI 有关的所有电子设备。SRA 工具让用户能够审查存储或捕获 ePHI 的所有电子设备。SRA 工具提供添加文档的功能,详细说明您的风险识别和分析过程(例如漏洞扫描、站点演练)。包括电子健康记录 (EHR) 硬件、软件(例如技术端点/ API)和可以访问 EHR 中保存的数据的设备(例如您的智能手机、平板电脑)。让您的 EHR 开发人员参与此过程。
定期评估您的整体安全风险。一些提供商可能会每年或根据需要进行这些审查,具体取决于其环境情况(例如,当医疗保健提供商的技术环境中引入新技术时)。您必须继续审查、更正、修改和更新安全保护措施,以便在面对新出现的威胁和漏洞时继续保护 ePHI。安全风险管理过程是反复且持续的。
协助满足 HIPAA 安全规则要求。SRA工具可通过发现组织安全政策、流程和系统中的潜在弱点,帮助组织满足《健康保险流通与责任法案》(HIPAA) 安全规则的要求。HIPAA 安全规则要求适用于您的组织创建、接收、维护或传输的所有 ePHI,而不仅仅是您的 EHR 或其他健康 IT 产品中包含的内容。虽然使用此工具可以帮助进行 HIPAA 合规活动,但使用该工具既不是 HIPAA 安全规则要求的强制要求,也不能保证符合 HIPAA 安全规则要求。
您需要做的就是下载SRA 工具。请务必查看用户指南以获取有关使用 SRA 工具的提示。有问题?给帮助台发送电子邮件或查看我们 8 月网络研讨会的材料和录音。SRA工具的当前版本包括基于公众意见的功能更新。我们希望继续改进,因此如果您在使用 SRA 工具后有任何建议,请通过Health IT 反馈表与我们联系。
评估风险是安全管理流程中的重要一步,可帮助您的组织识别需要采取哪些保护措施来保护 ePHI,包括防范勒索软件和其他类型的网络攻击。立即开始 -下载并使用 SRA 工具。