如果安全团队不知道何为安全最佳实践,企业损失人力物力财力不过是时间问题。而且一旦发生安全事件,还有可能损及客户,造成需要花费数年时间才能弥补过来的业务损失或赔偿。
至于医疗信息安全领域,可以尝试的安全方法多种多样。但无论你采用哪种实现方式,总有些结果不是你所预期的。于是,问题来了:医疗信息安全最佳操作有哪些?
一、技术层面看
培训,培训,再培训。确保员工熟知最新威胁是“全民皆兵”的极佳方式,可以让每一名员工都成为公司的“眼睛和耳朵”。通过信息安全培训,也可以让员工了解自身与公司是共担风险的。
1. 域访问权限
不是每个人都需要域访问权限。事实上,职位高低与域访问权无甚关系。董事长或CEO掌握域控口令甚至更糟,因为高管本身就是黑客的主要目标。
2. 自带设备办公(BYOD)
如果公司允许自带设备办公(BYOD),那就部署移动设备管理(MDM)解决方案,管控员工访问受保护健康信息(PHI)和个人可识别信息(PII)的会话。MDM中应特别注意开发者模式是否被禁用,若禁用该模式,MDM工具所提供的服务就无效了。
3. 杀毒软件(AV)
做安全要走心,仅仅对着列表划勾的敷衍态度做不好安全。要确保所有AV都配置正确,运行良好,病毒库和规则保持更新。
4. 做好变更管理与跟踪
无论是大企业还是小公司,都需要变更管理,即便只是用一张Excel电子表格来管。公司越小,越需要知道应该回滚到哪里。对大公司而言,则需要有足够的跟踪、监视、核查与平衡,以便将变更管理有效集成进公司运营中。
二、文化层面看
1. 别太自负
历史已无数次证明,总有些专家觉得自己知道一切。但最终,人总得与他人合作,友好合作。太自负不利于协作,最好完全摒弃这种高傲的态度,为项目、公司或工作职责贡献出你的价值。
2. 安全域的存在是有理由的
安全域的叫法或许多种多样,但其存在是有理由的。必须将之视为安全底线来遵守。你可以不喜欢安全域,但它就在那里,合理存在着。
3. 尽量透明
没错,信息安全中有些领域就是要保密的。但是,如果每个人都清楚各自在做的事和做事的方式,那业务推进就会更快更平滑。近期的项目中出现过员工出于工作安全考虑而秘藏信息的现象,但这是错误的做法。让整个团队或公司知道当前项目的进展可以播下信任与尊重的种子。
4. 清楚医疗法规
不仅要知道业务范围,还要知道本行业应遵从的各项法规。法律就是法律,连同相关规定、规则和指导原则都要知道。
最后,以上建议请根据自身业务及业务需求斟酌采纳。