2018年02月27日
如果安全團隊不知道何為安全最佳實踐,企業損失人力物力財力不過是時間問題。而且一旦發生安全事件,還有可能損及客戶,造成需要花費數年時間才能彌補過來的業務損失或賠償。
至于醫療信息安全領域,可以嘗試的安全方法多種多樣。但無論你采用哪種實現方式,總有些結果不是你所預期的。于是,問題來了:醫療信息安全最佳操作有哪些?
一、技術層面看
培訓,培訓,再培訓。確保員工熟知最新威脅是“全民皆兵”的極佳方式,可以讓每一名員工都成為公司的“眼睛和耳朵”。通過信息安全培訓,也可以讓員工了解自身與公司是共擔風險的。
1. 域訪問權限
不是每個人都需要域訪問權限。事實上,職位高低與域訪問權無甚關系。董事長或CEO掌握域控口令甚至更糟,因為高管本身就是黑客的主要目標。
2. 自帶設備辦公(BYOD)
如果公司允許自帶設備辦公(BYOD),那就部署移動設備管理(MDM)解決方案,管控員工訪問受保護健康信息(PHI)和個人可識別信息(PII)的會話。MDM中應特別注意開發者模式是否被禁用,若禁用該模式,MDM工具所提供的服務就無效了。
3. 殺毒軟件(AV)
做安全要走心,僅僅對著列表劃勾的敷衍態度做不好安全。要確保所有AV都配置正確,運行良好,病毒庫和規則保持更新。
4. 做好變更管理與跟蹤
無論是大企業還是小公司,都需要變更管理,即便只是用一張Excel電子表格來管。公司越小,越需要知道應該回滾到哪里。對大公司而言,則需要有足夠的跟蹤、監視、核查與平衡,以便將變更管理有效集成進公司運營中。
二、文化層面看
1. 別太自負
歷史已無數次證明,總有些專家覺得自己知道一切。但最終,人總得與他人合作,友好合作。太自負不利于協作,最好完全摒棄這種高傲的態度,為項目、公司或工作職責貢獻出你的價值。
2. 安全域的存在是有理由的
安全域的叫法或許多種多樣,但其存在是有理由的。必須將之視為安全底線來遵守。你可以不喜歡安全域,但它就在那里,合理存在著。
3. 盡量透明
沒錯,信息安全中有些領域就是要保密的。但是,如果每個人都清楚各自在做的事和做事的方式,那業務推進就會更快更平滑。近期的項目中出現過員工出于工作安全考慮而秘藏信息的現象,但這是錯誤的做法。讓整個團隊或公司知道當前項目的進展可以播下信任與尊重的種子。
4. 清楚醫療法規
不僅要知道業務范圍,還要知道本行業應遵從的各項法規。法律就是法律,連同相關規定、規則和指導原則都要知道。
最后,以上建議請根據自身業務及業務需求斟酌采納。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。