ビデオ: Amito cosita ã ã ã (10月 2024)
データ侵害は、インシデントの種類に関係なく、医療組織にとって大きな問題です。 侵害またはセキュリティインシデントの余波に対処することは、困難で、多くの場合、混chaとしたプロセスです。 ID Expertsのプライバシーに精通した社員のRadarは、データ侵害が発生した場合のインシデント対応計画を作成し、解決された各ステップを追跡するのを組織が支援します。 サイバー攻撃者がネットワークを侵害して機密データにアクセスしたり、従業員が健康関連情報を含むドキュメントを含むラップトップを誤って紛失した可能性があります。 サーバーの構成が誤っていると、組織外のユーザーにファイルが誤って公開され、病院の不正な従業員が患者の記録にアクセスして、権限のない個人と共有する可能性があります。 これらのすべてのインシデントは、多数のコンプライアンス規制、州法および連邦法、および業界標準の対象となります。 レーダーは複雑なプロセスをより簡単にします。
ID Expertsは、レーダーを、病院、診療所、医療計画などの医療組織向けに特別に設計された「プライバシーインシデント管理」ツールとして位置付けています。 このプラットフォームは、HIPAA(Health Insurance Portability Accountability Act)およびHITECH(Health Information Technology for Economic and Clinical Health)規制、および状態データ侵害通知法に焦点を当てています。
レーダーは、管理者がデータ侵害を管理し、欠陥を特定し、問題を修正し、被害者に通知し、問題が解決されたことを確認する手順を特定するのに役立つという点でCo3システムに似ています。 Co3 Systemsは、ウィザードベースであり、ヘルスケアだけでなく広範な規制に対応しており、データ侵害だけに限定されません。
RADARは、HIPAA最終規則の4つの要素を使用するなど、連邦および州の法律でコンプライアンスに必要なインシデント固有のリスク評価を実行するという点で、他のプラットフォームとは異なります。 RADARはこれらの評価ルールをソフトウェアに組み込み、プライバシーおよびコンプライアンス担当者が各インシデントを一貫して評価しやすくしました。
レーダーの機能
データ漏えいや漏えいの防止に重点を置いたビジネスでは、セキュリティテクノロジーとプロセスが失敗する最悪のシナリオを計画することを忘れがちです。 レーダーは、管理者が詳細なインシデント対応計画を生成して、発生する必要のある各ステップを特定できるようにすることで、この問題に積極的に対処します。
管理者とセキュリティチームは、特定のセキュリティまたはプライバシーインシデントに関する一連の質問に答え、レーダーは州法のリストを返し、HIPAA / HITECH規制は特定の状況に適用されます。 ソフトウェアは、通知が必要な全員を識別します。
私はしばしば用語を同じ意味で使用しますが、プラットフォームはインシデントと違反を区別します。 インシデントは従業員がラップトップを紛失することです。 誰かがラップトップを失い、患者データを公開しているのを誰かが発見した場合、違反になります。 ハードドライブが暗号化されていた場合、データはまだ安全であったため、損失はインシデントのままでした。 データが公開されていないと指定した場合(ラップトップが海に落ちたため)、レーダーはレポートに「ドキュメントのみ」のフラグを付け、インシデント対応計画を生成しません。 実際に誰かがデータに出くわす可能性があることを示した場合(会議でノートパソコンを紛失した場合)、レーダーは対応計画を作成します。
違反に苦しんでいる企業は迅速に対応する必要があることを考慮すると、明確なワークフローでカスタマイズされたインシデント対応計画を迅速に生成できることは、組織が一貫して効果的に対応できることを意味します。 プラットフォームでは、色分けされたキーを使用して、どのインシデントがリスクが高く、HITECHコンプライアンスに影響するかを特定します。
Radar ID Expertsにインシデントを入力すると、Radar 2.7にアクセスでき、アカウントに既成のインシデントが事前に入力されました。 プラットフォームにログオンした後、「Document New Incident」ボタンをクリックしてイベントを作成し、何が起きたかを記録してから、レポートモジュールで再生しました。
紛失したラップトップの場合は、何が失われたのか、データの形式、誰が関与したのか、影響を受ける可能性のあるレコードの数を説明する詳細なフォームに記入しました。 失われた電子データの形式(電子メール、ポータブルストレージFTPなど)や、侵害が悪意のあるものか悪意のないものか、およびその発生方法を明確にするなど、一部のセクションは非常に詳細になりました。
また、個人識別情報(PII)、保護された健康情報(PHI)、その他の機密情報など、どのデータ要素が失われたかを特定しました。 すべてのチェックボックスをクリックしてクリックするのではなく、「すべてのPII」または「すべてのPHI」と言うことができれば良かったのですが、失われたデータに管理者が本当に注意を払わなければなりません。
名前、健康記録、銀行情報など、公開されているデータの種類を示すことができます。 すべてのビジネスは異なるため、対象となるコンプライアンス規制(またはベストプラクティス)を正確に指定し、非常にカスタマイズされたインシデントプランを作成することができました。次:レーダーによるインシデント管理
