行業的進步,離不開從業者的奮鬥與思考。在多年的讀者來稿中,HIT專家網有幸見證了一批愛鑽研、勤思考的作者的進步與成長,更有幸能與更多讀者分享這些思考的閃光點。
「有才華的人,擋也擋不住。」歡迎各位讀者將日常工作中的所見、所思、所得沉澱下來,記錄成文,我們期待您的精彩分享。投稿郵箱:gong_chen@HIT180.com
前不久,老張無意中看到了2020年新增的7個熱門網絡安全認證,這兩年在Linkedin(領英)上很火的信息系統安全專業認證(Certification for Information System Security Professional,以下簡稱CISSP)榜上有名,另有一個「醫療信息隱私安全從業者認證(HealthCare Information Security and Privacy Practitioner,以下簡稱HCISPP)」。立即「百度」了一下,只有以下中文介紹:「HCISPP的認證機構是(ISC)²(Inspiring a Safe and Secure Cyber World),自2019年10月1日至今它僅頒發了140份證書,由於新冠疫情引發了大規模的醫療數據共享需求,HCISPP的熱度持續上升,儘管目前它依然是個非常小眾的證書,但在醫療行業卻很受歡迎,2021年HCISSP認證熱潮有望迎來高峰。」目前,HCISSP認證的費用是530美元。HCISPP Logo
老張登錄美國TechExams認證考試論壇,在HCISPP分論壇留言貼中發現,有的美國網友把這個認證當作進入醫療信息行業的敲門磚。提前聲明,老張和(ISC)²完全無關,沒有任何私人及商業聯繫,只是作為一名國內醫療信息行業從業人員,做了些調研如下。(ISC)²發布過名為HCISPP Official CBK的官方教材,由Steven Hernandez主編。該教材共分為6大章節:醫療行業介紹、制度環境、醫療隱私與安全、信息治理與風險管理、信息風險評估、第三方風險管理。根據HCISPP的定義,所有美國公立或私營醫院、第三方檢測機構、生物製藥公司、保險公司、各類公共帳單支付者、政府監管者、公共醫療組織,甚至是僱傭工作單位(為僱員繳納社保或補充醫療保險)——所有相互依賴、有效和快速交換醫療數據的機構,都統稱為醫療數據相關產業。凡是醫療數據相關產業內的機構,都將接觸到,並有責任保護患者數據隱私安全。美國在1996年通過的《健康保險攜帶和責任法案》(Health Insurance Portability and Accountability Act,以下簡稱HIPAA)中,提出了「敏感個人健康信息PHI(Protected Health Information)」的概念。PHI共包含18種隱私數據(姓名、性別、年齡、生日、種族、電話、地址等)。自法案通過至今,出現了大量因醫療機構對患者隱私數據保護不力而引發的案件,正是這些案件催生了HCISPP認證。HCISPP認證試題中大約70%涉及網絡安全信息技術,30%涉及美國醫療隱私安全法案的內容。經過一周的比對,老張發現,HCISPP認證與我國發布的《醫療質量安全核心制度要點》高度類似,未經深入學習法案部分,也能答對試題的十之八九。老張認為,HCISPP可以被認為是信息安全基礎常識+《醫療質量安全核心制度-信息安全篇》+美國醫療隱私保護法案的綜合結合。老張曾負責單位《醫療質量安全核心制度要點》信息安全部分的內部細則起草,如今發現該認證與核心制度18條中很多核心要義一致或高度相似。不可否認,美國醫療市場更龐大、更多元、更市場化,對患者隱私保護有時甚至到了草木皆兵的程度。美國大型醫院,各類Healthcare Plan(類似我國職工醫保)甚至強制要求設置Privacy Officer(隱私官)職位。HCISPP認證本身就是對醫療信息安全高度專業分工的認可。相信國內絕大多數公立醫院HR可能都沒聽說過HCISPP認證,即便聽說,對認證的具體內容和含金量也基本沒概念。我覺得更有吸引力的,是現有各級各類醫院信息科、保險機構、醫藥企業與大健康網際網路公司的同行,對於日常工作中遇到的涉及患者隱私保護方面的迫切問題,可以參考HCISPP的一些原則和要義,批判性地消化吸收。老張期待,未來我國也能推出醫療信息隱私安全從業人員相關認證,認證不是最終目的,重要的是結合我國現實醫療信息安全環境與網際網路醫療、遠程醫療、醫療AI、醫療商業營銷等患者醫療數據交互的上下遊環境,開展全面深入的隱私安全培訓,為中國患者隱私信息保駕護航,提高醫療信息從業者的職業含金量和自我價值。附:10道由老張翻譯搬運的HCISPP認證原裝樣題(附答案)。A非對稱加密; B對稱加密; C Hashing; D 數字籤名。2.某癌症醫療機構,將網絡伺服器維護外包給XYZ公司,因合同未設限,XYZ公司又將其分包給ABC公司,該癌症機構的伺服器負責處理、存儲、傳輸癌症患者的PHI,這種情況下,如果發生患者信息洩露,誰是負責主體?A 癌症機構; B XYZ公司; C ABC公司; D 誰都不是,因為合同已經完全轉嫁了風險。答案是A,美國HIPAA明確規定醫療機構是健康數據的最終負責主體(Primary Entity)。雖然合同中兩家公司接觸並維護設備,但並不採集數據。癌症機構才是採集數據的最終主體。3.以下哪種方式,能讓一名HCISPP專家確保第三方雲服務商可以「內置」隱私信息安全?B 在尋找雲服務商之前調研自身的隱私安全需求,確保雲服務商都需滿足該需求;C 先購買,再與雲服務商溝通,讓對方能採取額外的安全控制;D 確保HCISPP專家被排除在任何合同溝通之外,因為隱私安全會使對方提高報價。4.一家重要的醫療服務商僱傭了一名黑客,非法侵入一家醫療機構並偷取數據,對於醫療機構而言,如何描述該黑客最為恰當?A 風險; B 有成功可能性; C 脆弱; D 威脅。5.一家機構發現有違規發生,導致機構財務風險暴露。一名高級穿行測試人員發現,該機構一年發生了2次違規,每一次需花費10萬美元來換取減輕處罰,以及換取信用跟蹤監測offer。請問該機構的當年度損益預期(ALE)金額是多少?A 5萬美元; B 2.5萬美元; C 20萬美元; D 25萬美元。6.一家機構,同時將受保護的健康數據存放在雲端、本地伺服器和紙質記錄上,如果發生信息洩露,哪種方式造成的影響最大?A 紙質記錄; B雲端記錄; C本地伺服器; D影響同樣大, 與媒介無關。7.信息安全與隱私最使醫療產業受益的是_____?8.一名自稱是某心理科患者的母親,來到護士站,索取該患者的診療記錄,根據HIPAA,以下哪個是適當的行為?A 如確認是患者母親,護士可提供該患者的關鍵治療記錄; B 除了患者本人,和主治醫生,護士不能向任何人提供記錄; C 如確認是患者母親,護士需要求母親籤署保密協議書,方可提供; D 包括患者本人,和主治醫生,護士不能向任何人提供記錄。 C不應被鼓勵但可以容忍,因為體現對同事人品充分信任;10.針對第三方供應商員工進行的背景調查,以下哪項描述最貼切?C 針對當本機構面臨防止非法洩露的法律、監管和風險控制要求時的任何合同;最後,再附上TechExams論壇中一位獲得認證(2018年6月)的網友的總結(英文),老張認為是加強對HCISPP認證理解最有價值的一篇回帖:https://community.infosecinstitute.com/discussion/comment/1167211#Comment_1167211
老張,供職於某醫院集團信息中心。臨床醫學5年制,計算機碩士。朝九晚五,在平凡中,希望做一個白求恩式的信息科老張。