编辑’注意:这篇文章最初出现在BakerHostetler上’的Data Privacy Monitor博客。

国家卫生信息技术协调员(ONC)办公室于3月28日发布了安全风险评估工具(SRA工具)。 这里 ),该工具旨在帮助中小型医疗保健实践“评估风险,漏洞和对HIPAA安全规则的遵守情况”。用户指南,1. ONC将中小型实践定义为包括1-10个医疗保健提供者的实践。  ID。   可从HealthIT.gov网站下载SRA工具 这里 。 ONC要求用户提交评论 这里 在6月2日之前帮助改善此工具。

SRA工具在许多方面都给人留下了深刻的印象。它可以快速下载,包括有关其评估的每个安全规则要求的信息,提供关键字和短语的有用定义,快速存储和检索信息,并生成可以以pdf和Excel格式导出的报告。开发性能良好的软件所面临的挑战不应降至最低。 (请考虑Healthcare.gov网站的首次发布)。应该认识到ONC可以构建功能良好的工具。

该工具的用户指南指出,HIPAA安全规则45 CFR 164.308(a)(1)(ii)(A)的规定要求受保护实体和业务伙伴对潜在风险和漏洞进行风险评估。电子保护的健康信息的机密性,完整性和可用性。用户指南,2.《指南》指出SRA工具的目的是为了 支持 风险评估过程。  ID。  

但是,该指南警告说,使用该工具并不能保证遵守安全规则,并且“遵守情况是所涉实体以及HIPAA安全规则监管和执行机构的责任。”  ID。  

HHS 民权办公室最近的HIPAA执法行动表明,它打算执行风险评估要求:OCR在几项近期事项中的和解包括提及所涵盖实体未进行风险评估的内容,并且OCR施加的和解金额可能已考虑在内该机构可能会对实体未能执行风险评估施加的潜在罚款。  参见例如成人和儿科皮肤病学 (2013年12月24日); 亲和健康计划 (2013年8月7日); 爱达荷州立大学 (2013年5月13日); 爱达荷州北部的临终关怀 (2012年12月31日);和 马萨诸塞州眼耳医院 (2012年9月17日)。如果中小型医疗保健机构真诚地使用该工具并记录其对工具的使用,则他们应能够证明其符合风险评估要求。

ONC建议所涵盖的实体需要做更多的工作来履行其在《安全规则》下的所有职责,而不仅仅是使用工具来完成报告。例如,如果该工具表明医疗保健实践未遵守安全规则要求,则该实践必须采取措施纠正该不符合项。如果医疗保健实践没有这样做,并且OCR有理由调查该医疗保健实践,也许是响应数据泄露后的患者投诉,则可以使用该工具生成的报告来表明该实践故意未能解决不符合安全性的问题规则要求。尽管该工具无法帮助受保护实体遵守所有《 HIPAA 安全规则》要求,但它提供了一种用户友好的机制来进行某种形式的《 HIPAA 安全规则》风险评估。

但是,需要改进SRA工具的风险评级功能。该工具允许用户将与该工具评估的每个安全规则要求相关的“低”,“中”或“高”评级为“损害的可能性”和“损害的影响”。但是,该工具未提供有关为何与每项要求相关的风险应归为“低”类别而不是“中”或“高”类别的指导。用户可以猜测是否不遵守要求会对机密性,完整性或可用性ePHI造成影响的可能性是低,中还是高,以及这种影响的影响是“低”,“中等”还是“低”?或“高”。

例如,SRA工具问题T34询问:

§164.312(d)–必填

您的执业机构是否有政策和程序来对要求访问ePHI的个人或实体进行验证?

是□否□标记□

该问题包括的“威胁和漏洞”信息指出:

一些潜在的影响包括:

•人为威胁,例如未经授权的用户,可能破坏或损害ePHI的机密性,可用性和完整性。

•未经授权的ePHI披露(包括通过盗窃和丢失造成的披露)可能导致身份盗用。

此信息不能识别公认的威胁,例如“未经授权访问ePHI的员工或承包商可以访问和复制机密信息(例如患者的保险或付款信息),并使用该信息进行保险欺诈或对客户进行欺诈性收费。患者帐户。”

基于威胁的风险评估(例如NIST SP 800-30中所述的评估)包括一个步骤,要求用户确定 威胁 最有可能影响业务以及 威胁 对企业最有害。这种基于威胁的评估可帮助用户确定补救措施的优先级。当然,应对ePHI威胁(和风险)的资源是有限的,尤其是对于中小型医疗机构,例如ONC打算使用该工具的机构。如果SRA工具提供了有关如何评估危害可能性和影响的更多指导,例如,通过解释每项安全规则条款旨在解决的威胁和影响,则风险评级将更好地达到其目的。尽管该工具当前允许用户生成彩色图表,以显示“低”,“中”和“高”风险的数量和相对数量,但该工具中缺乏有关如何应用评级的指南,将导致这些图表具有没什么意义。

SRA工具未启用基于威胁的方法,而是建议实体必须同样关注 所有 工具中确定的安全规则要求。该工具生成的文本报告(按安全规则要求的顺序列出)通过列出该实体是否在其中而加强了这一建议。 合规 列出了“安全规则”要求,而不是显示对ePHI的哪些实际威胁最有可能对实体及其患者造成伤害。

简而言之,当前版本的SRA工具将为中小型医疗保健实践提供一种有效的方法,以评估其对工具中包含的安全规则要求的遵守情况。该工具的风险评级功能应通过确定对ePHI的威胁来改善,以帮助实体确定其修复工作的优先级。

计划进行信息安全风险评估的医疗保健实体和其他企业应咨询其信息技术经理,信息安全官员以及处理和存储敏感数据的业务部门负责人。这些人应该知道机密数据存储在哪里以及最容易受到攻击的位置。公司的总顾问也应包括在计划评估中。认证信息系统安全专家(CISSP)的律师可以是团队的宝贵成员,可以指导评估,聘请技术顾问来进行渗透测试和漏洞扫描,为有关评估结果的潜在责任提供保密的法律建议,并帮助规划解决评估中发现的任何差距所需的安全性改进。