医疗行业如何应对汹涌而来的BYOD风潮

发布时间:2013-08-27 14:10 作者:佚名来源:移动信息化点击:加载中...次

过去几年中，已出现诸多针对移动设备与个人设备行业的爆炸性增长之相关探讨。事实上，全球手机营收预计将达总价约1.6万亿美元;但即便规模如此，与美国医疗保健业预计约3万亿美元的成长相比，仍可谓是相形见绌。而此二大行业的并行发展，使 “自带设备”(BYOD)趋势在整个医疗保健机构越来越流行。

有鉴于此，美国联邦医疗保险与医疗补助服务中心 (Centers for Medicare and Medicaid Services， CMS) 在去年推出的第二阶段合规性指南中，对医疗卫生机构在电子通讯的使用上订定了更严格的限制。BYOD一直是业界IT专业人士越来越关注的焦点，而相关规则不断地更新更是为了加强保护病人隐私。为确保这些规则能彻底贯彻与执行，美国卫生及公共服务部的民权办公室 (HHS Office for Civil Rights， OCR) 比以往进行更多的审查，而患者和机构却不禁要问：“医疗保健机构又是如何处理其员工自行携带设备工作的问题?”

第二阶段指南推出的时期正临约有 85% 的医院都允许员工自行携带和使用个人设备工作。这种杂乱无章的做法的确为IT团队带来许多的问题，因为他们再也不能确保所有敏感的患者信息的安全性。员工透过智能型手机发送电子邮件，所有记录被储存在iPad 中 - 如果没有正确的程序与技术，可能会造成相当严重的后果。

如麻省眼耳机构于2012年9月一例，只因一台笔记型计算机失窃导致病人资料泄露，而被OCR罚款150万美元。一台设备失窃的代价已是如此之高，想象每天有多少医疗保健机构的员工倚赖智能型手机和笔电储存和存取信息。笔记型计算机在医院环境中出现仍属于预期中的状况，但加上平板计算机和智能型手机后，只会潜在性的拉高违反相关规定的机率。既然如此，医疗保健机构要如何确保大量私人设备的涌入不会造成信息安全质量的下降呢?

承认并适应BYOD的这项事实就算医院有足够的魄力这么做，禁用个人设备在现时也已不再是一个备选方案了。约有 70% 的IT专家和医生们都已开始使用移动设备存取电子病历，而且，随着越来越多的医疗保健解决方案开始适用于无线和移动设备，我们可以期待未来BYOD将成为卫生服务项目的一部分。Gartner预测，医疗保健业无线解决方案的年度市场将在2014年高达17亿美元，而到了2015年，将会有5亿人使用健康保健的无线应用程序。

如此看来，似乎在短短的几年之后，医疗保健行业将以个人设备取代机构专用的基础架构。为应对此发展趋势，医疗保健机构首先必须在面对 HIPPA相关合规时承认这是一项重大改变。有用的第二阶段指南就是朝此方向迈出的一步，但似乎大多数机构都还尚未跟进。由一家非盈利组织 (ISC)2 所进行的调查显示，许多医疗保健行业的IT专业人士觉得没有足够人力去应对相关的IT威胁，而有 59% 的受访者表示，对于隐私权的侵犯是他们最大的隐忧。

他们的担心是有道理的，因为可能只要一台错放位置的iPad就足以为我们敲响警钟。但这只是IT团队为何必须开始设想如何处理相关问题的原因之一。移动设备上的敏感性资料是否能够经由远端移除吗? 相关信息是否能够自动同步到另一个平台，以确保关键信息不会丢失? 消费者也相当关注这些问题。资诚会计师事务所卫生研究院最近的一项研究指出： 39% 的消费者对于医护人员自行携带设备带到工作场所并储存敏感性资料感到担忧。这显示确保BYOD的安全不仅是为避免罚款和维护病人资料安全，更涉及个人隐私问题。

医疗保健机构需要采取什么样的措施? 乍看之下，医疗保健行业似乎正卡在严格的规章制度和能加强协作、连结性与成果、同时难以避免的BYOD大趋势之间不知所措。变化可能很快会来临，但这并不表示 IT部门将无力面对，尤其是如果他们能遵循以下五步骤，便能为来日的

BYOD安全性做好万全准备：

1、导入移动设备管理 (MDM) – 步骤一是请员工在医疗保健机构网上注册他们的个人设备，透过集中化设备管理协助降低法规监管风险。如此，所有相关人员都可透过检视最精细的存取与使用细节，确保设备合乎相关规定。

2、采用移动档案管理 (MFM) 确保资料安全 – 一旦机构对员工设备进行集中管理，就必须要仔细评估资料如何被存取，储存和使用。任何资料登录和输出设备都需要高度加密，无论这些资料存放在何处或如何被使用，IT部门都必须能够控制档案是否可删除、恢复、修改或共享。

3、检查安全问题 – 如果IT部门能够定期审核自己的网络，那么OCR的审核也不会发现任何突发状况，同时他们还可确保消除任何潜在威胁，并更新安全基础架构。

4、解决方案应具备用户友善性、简单且易用 – 当您检修网络安全时，员工必然会在存取所需资料时涉及某些混乱。透过定期举办培训并使用直观和界面友善的工具，医疗保健机构可让每位员工从容应对相关的更改，并确保顺利过渡。

5、紧急备案策略，应对最坏情况 – 在培训员工如何适当而安全的在机构内网中使用私人设备时，IT部门也应建立一套能报告任何潜在破坏的逐步流程。如此，IT部门才能在个人资料暴露威胁产生时尽快做出回应。

随着私人设备和Web应用在医疗保健行业中的广泛应用，机构提前制定一套确保资料安全性的方案是至关重要的。否则，当威胁真的来临，不仅会失去患者的信任，某些过程中还可能会产生昂贵的罚金。

(责任编辑：)