云安全联盟提供保护远程健康数据

本篇文章1167字，读完约3分钟

covid-19大流行促使医疗机构将远程医疗作为重中之重。正如他们所做的那样，他们被迫面对与信息访问、使用和更改相关的隐私问题，以及存储健康数据的公共云服务的安全问题。

正如云安全联盟(csa)在一份关于健康数据保护的新报告中所解释的那样，远程医疗和远程保健不应互换使用。前者是指通过技术手段进行临床诊断和监测；后者的定义更宽泛。远程医疗涵盖临床医学和工具，如信息亭、网站监控应用、移动应用、可穿戴设备和视频会议技术，将患者与医疗服务提供商联系起来。

卫生保健组织(hdo)正在提高远程医疗能力，如远程病人监测(rpm)和远程医疗，以便在家治疗病人，并降低医疗服务提供者和病人的暴露风险。专家写道，这种情况将在大流行后的很长一段时间内持续增长。

人们越来越依赖云中的远程医疗，这有望给医疗保健机构带来隐私和安全风险。大多数提供远程医疗服务的医院系统使用视频会议工具以及云和互联网技术，这导致了一系列潜在的问题，并要求安全团队仔细审查其体系结构，以发现缺陷并确定控制措施。

这是hdo和云提供商的共同责任。医疗保健组织必须了解对患者数据的监管要求及其使用的技术。

公共云服务可以通过公共互联网访问。专家表示，这并不意味着云具有固有的安全性，而是应该在云安全模型中加以考虑。Hipaa要求hdo保持合理和适当的管理、技术和物理保护，以保护公共健康信息(phi)。Hdo还需要进行安全威胁风险分析，包括基于云的威胁，并提供做出基于风险的决策所需的信息。

卫生保健组织还应该确定他们已经实施的安全控制措施，并确保它们按预期工作。作为这些评估的一部分，hdo应该与其云服务提供商讨论治理、合规性、保密性、完整性、可用性以及事件响应和管理。利益相关者必须考虑系统的端到端安全性，包括访问控制和用户配置的内部策略。

受保护的健康信息是与远程医疗相关的隐私问题的核心，并且正在关注针对访问phi的信息系统的目标攻击的出现。Hipaa隐私规则规范了phi的收集、使用和披露，它提供了对隐私含义的洞察。它要求世卫组织跟踪phi的使用和披露情况，并在使用患者数据时告知患者。欧盟gdpr(在使用数据时给予人们某些权利)也可能适用，这取决于phi的存储位置。

医疗保健组织必须知道他们的云提供商如何处理数据保留，并监控他们如何访问和使用数据。如果存在任何违反健康数据的情况，提供商应制定计划通知hdo并启动事件响应。云提供商也应该签署业务合作伙伴协议，这是hipaa的另一个要求。

Csa还强调持续监控程序的重要性，以确保hdo执行并改善其内部控制的安全运行以及云服务提供商使用的隐私和安全程序。专家们在报告中解释说，这种监测在数据、应用程序和系统的整个生命周期中都得到维持，并应随着时间的推移而改变，以实现持续的风险意识和合规性。[techweb编译]

来源：搜狐微门户