【孟晓阳专栏】2017年HIMSS网络安全调查报告透露了哪些重要信息
上个月HIMSS发布了2017年度的网络安全调查报告,并很慷慨地提供了免费下载链接。从网上能查到的资料来看,这是HIMSS连续第三年发布年度的网络安全调查报告。
本次调查是在2017年4月~5月中旬进行的,采集的数据来自于126个 “符合条件的”的信息安全专业人士,筛选标准是:参与这项调查的受访者必须在他们所在的机构中有一定的网络安全监督或日常操作的职责。在接受调查的155名个人中,有26人表示他们“根本没有监督/影响”,有3个人选择不回答这个问题。因此,这29个人被排除在这项调查之外了。
受访者所在的机构涵盖以下类型:
有急诊的医疗机构,包括综合型医院、医院连锁集团、急重症医院(CAHs)、乡村医院、社区医院、区域医院和研究型医院。
其他包括医疗IT厂商、第三方咨询顾问和医保支付方。
没有急诊的医疗机构,包括门诊诊所或医生诊所、心理/行为健康机构、家庭健康机构、特护及长期护理机构,以及独立的康复机构。
业务合作伙伴包括健康信息交换(HIE)和区域卫生信息组织。
经过比对,笔者发现本次报告的内容与2016年度大不相同。报告首先给出了三个观点:
有信息安全专业人员的组织,正在逐步加强网络安全。
有CISO(首席信息安全官)或其他安全高级主管的组织,在关键领域采用整体网络安全的理论和实践。
有急诊的医疗机构,更关心网络安全。
然后,本次报告才对调查问题展开讨论,解说得出相关观点的原因。调查问题包括以下内容:
安全框架。贵机构使用了下列哪个安全框架?
采购。当贵机构采用产品或服务时,是否在调研中考虑了网络安全评估?
教育和培训。贵机构是否支持网络安全人员进行教育和培训,以进一步提高他们的网络安全技能和知识?.
业务连续性和灾难恢复。您是否进行模拟演练以测试组织中的技术资源的有效性?(例如:设备故障、软件或硬件崩溃、自然灾害、人为失误等。)
医疗设备安全。贵机构对医疗设备安全最担忧的是什么?
网络安全重点。下列问题在贵机构明年安全计划中的重视程度如何?
信息共享的障碍。您在与外部机构交换有关网络安全威胁、漏洞、缓解和安全事件的内部组织信息时,有哪些挑战?
云安全。贵机构对于使用云有哪些安全担忧?
第三方安全。在与第三方交换医疗信息时,贵机构有哪些信息安全担忧?
个人认为,相对调查给出的简单的结论,以上问题答案中蕴藏着更有参考价值的数据,比如:
80%的IT负责人说他们有专业的网络安全人员。
超过半数(60%)的受访者表示他们的机构有信息安全高级主管,比如首席信息安全官(CISO)。
71%的受访者所在的组织有专用网络安全预算,60%受访者说(安全预算)比例是总预算的3%或更多。
四分之三的受访者(75%)表示,他们的组织有内部威胁管理程序。
绝大多数的受访者(85%)每年至少进行一次风险评估。
绝大多数的受访者(75%)定期进行渗透测试。
安全专业人士关注的三个焦点分别是:医疗设备安全、患者安全、数据外泄和恶意软件。
HIMSS作为全球医疗信息化领域最具影响力的学术组织,它发布的这份网络安全调查报告,无疑在调查方法和调查结果方面,都可作为国内同行了解美国医疗信息化现状的重要参考。但在我看来,本次HIMSS网络安全调查报告还是留下了稍许遗憾。首先是样本量,相对2015年的样本量297人和2016年的样本量183人,今年的参与调查的人数又减少了三成;其次是报告内容,虽然仍可称得上详实和严谨,但却与往年完全不同,一些在2016年调查报告中很有价值的问题,在今年并没有得到延续,实在可惜。
【作者简介】
孟晓阳,清华大学软件工程硕士,信息系统项目管理师。在北京协和医院从事医院信息化工作15年,团队管理经验7年。
积极组织和参与业界学术交流活动,现为中国医院协会信息管理专业委员会青年委员,中国卫生信息学会新技术应用专委会委员,中国研究型医院学会信息专委会青委会副主任委员,HIT青年学术团体–蜜蜂会(MiForum)管理员。
参与863项目《数字化医疗医院流程研究及应用示范》等多项课题研究,主持并完成院内青年基金项目2项,发表各类期刊杂志全文10余篇。
HIT专家网∣最新鲜的医疗信息化资讯,不一样的专家视角
微信:HIT180com
投稿: public@hit180.com
商务合作:(010)82373062