6、医疗信息隐私与安全风险评估全解析

医疗信息隐私与安全风险评估全解析

一、数据收集与审计的重要性

在医疗信息领域，仅仅收集数据是远远不够的。大量的数据，无论存储在文件夹还是网络文件共享中，都只是数据而已。只有当这些数据被收集、基于专家意见进行评估，并汇编成报告时，才能称之为审计。审计报告的目的是评估当前控制措施和流程的有效性，并进一步提出一套纠正措施，使组织符合最佳实践，降低风险。

二、行业规范与风险分析要求

美国卫生与公众服务部（HHS）的安全规则中的安全管理流程标准要求组织“实施政策和程序，以预防、检测、遏制和纠正安全违规行为”。风险分析是实施安全管理流程标准的四个必要实施规范之一，要求对组织持有的电子受保护健康信息（ePHI）的保密性、完整性和可用性进行准确、全面的潜在风险和漏洞评估。

不仅如此，《健康保险流通与责任法案》（HIPAA）安全规则要求所有存储受保护健康信息的组织进行周全的风险分析，而且根据《平价医疗法案》第一阶段有意义使用激励措施，组织必须提供完成此类风险评估的证据才能获得联邦资金。这表明风险评估与资金直接挂钩，凸显了其重要性。

三、HHS的模糊要求与可用工具

HHS对于组织为满足安全风险评估要求需要做什么故意含糊其辞，不说明评估应是什么样子、由谁执行以及最终报告应包含什么内容。不过，HHS推动成立了国家学习联盟（NLC）这一行业工作组，该工作组支持一个专注于隐私和安全领域的特定任务组。这个任务组推出了“医疗信息技术（HIT）安全风险评估工具”，这是一个启用宏的Microsoft Excel工作簿，能指导审计人员评估医疗企业的隐私和安全实践。

查找该风险评估工具的最简单方法是在浏览器中搜索完整短语“HIT S