PDF《Meeting HITECH??s Challenge to the Health Care Industry》

Oracle 白皮书

2011 年10 月HITECH 对医疗保健业带来的挑战 Oracle 白皮书 ― HITECH 对医疗保健业带来的挑战 引言

3 HITECH 带来革命.

4 迁移到电子健康记录 (EHR)4 加强处罚

4 更积极的监督

4 泄露通知

5 HITECH 的挑战.6 医疗保健风险环境

6 制定整体安全计划

6 安全性与合规性负担.7 数据保护挑战

7 访问控制挑战

8 合规性框架.9 基于标准的控制.9 业务伙伴的角色.9 HITRUST 的通用安全框架.10 全面的数据安全.13 纵深防御.13 Oracle 如何保护患者信息

14 数据加密和屏蔽.14 在数据库中实施访问控制.15 监视、警报和报告.15 Oracle 白皮书 ― HITECH 对医疗保健业带来的挑战 Oracle 如何控制对患者信息的访问.16 实施集中访问控制

16 使用基于角色的访问控制.17 自动用户供应

18 部署安全联合

18 降低风险与减少欺诈.19 总结

19 法律免责声明

20 Oracle 白皮书 ― HITECH 对医疗保健业带来的挑战

3 引言 经济与临床健康信息技术法案 (HITECH) 迫使医疗保健服务提供者及其业务伙伴产生对 保护受保健康信息 (PHI) 的紧迫感.该法案要求实施从 PHI 到电子健康记录 (EHR) 的转 换并且为此同时施以压力和激励措施,它强制推行医疗保险携带和责任法案 (HIPAA) 的隐 私和安全法规. 虽然 HIPAA 的安全和隐私法规自

2003 起就已生效,但相应审计不过是零零星星,处罚的 执行也十分罕见,并且它们并未直接应用于业务伙伴.在这种情况下,医疗保健业的安全 计划落后于大多数其他行业也就不足为奇了. 由医疗保健信息和管理系统学会 (HIMSS) 于2009 年进行的一项调查显示,超过五分之一 的受访者在安全方面的预算占比不足总预算的 1%,与前一年相比几乎没有变化. Forrester Research 的年度安全调查显示,按安全预算在总 IT 预算中所占百分比考量,医 疗保健行业要落后于金融服务、零售和政府部门. 对医院而言,它们以前一直未将信息安全看成首要问题,以前,很自然地它们只会根 据对患者服务质量的影响来评估资源的能力、花费和分配方面的投入.实施 HITECH 之前,法规的执行既没有相应的激励措施也鲜少令人挂虑. 向EHR 的转换将会导致健康信息交换、医院、医师和业务伙伴间共享的数字信息的爆炸 式增长.实施 HITECH 之后,为保护 PHI,所有接收 EHR 中所含 PHI 信息的接收者如今 要遵守同样的要求.无意或恶意披露健康信息的风险显著增加,并且有证据表明,攻击 者关注和针对的医疗保健机构也在不断增加. Oracle 白皮书 ― HITECH 对医疗保健业带来的挑战

4 在这种环境中,医疗保健服务提供者应该对自己的安全计划进行评估,确保它们实施 了保护患者信息的策略、流程以及自动化支持工具. HITECH 带来革命 迁移到电子健康记录 (EHR) HITECH 法案是

7870 亿美元的美国复兴与再投资法案 (ARRA)(通常称为经济刺激法 案)的组成部分,于2009 年2月颁布.HITECH 的核心目标是将美国的医疗保健记录 转化为数字格式,以便通过快速医疗信息传输而改善医疗保健服务,并通过提高国家 医疗保健系统效率来节省运营成本. HITECH 采取萝卜加大棒的软硬兼施方法促进其要求的向 EHR 的转换.自2011 年起,该法案投入

192 亿美元促进这一转换,其中大部分作为激励手段用于医疗保险和医 疗补助的报销,以便激励该法案所称的对 EHR 的 有意义的使用 .从2015 年开始,对 不使用 EHR 的实体,将会采取减少报销比例的强硬措施. 但是,硬性措施的真正强硬之处还在于,在认识到电子 PHI 不断增加的风险后, HITECH 怎样让未能达到 HIPAA 安全和隐私法规要求的医疗保健服务提供者及其业务 伙伴付出更多代价. 加强处罚 以前,对每次违规的罚款估计也就是