编者按
行业的进步,离不开从业者的奋斗与思考。在多年的读者来稿中,HIT专家网有幸见证了一批爱钻研、勤思考的作者的进步与成长,更有幸能与更多读者分享这些思考的闪光点。
“有才华的人,挡也挡不住。”欢迎各位读者将日常工作中的所见、所思、所得沉淀下来,记录成文,我们期待您的精彩分享。投稿邮箱:gong_chen@HIT180.com
前不久,老张无意中看到了2020年新增的7个热门网络安全认证,这两年在Linkedin(领英)上很火的信息系统安全专业认证(Certification for Information System Security Professional,以下简称CISSP)榜上有名,另有一个“医疗信息隐私安全从业者认证(HealthCare Information Security and Privacy Practitioner,以下简称HCISPP)”。立即“百度”了一下,只有以下中文介绍:“HCISPP的认证机构是(ISC)²(Inspiring a Safe and Secure Cyber World),自2019年10月1日至今它仅颁发了140份证书,由于新冠疫情引发了大规模的医疗数据共享需求,HCISPP的热度持续上升,尽管目前它依然是个非常小众的证书,但在医疗行业却很受欢迎,2021年HCISSP认证热潮有望迎来高峰。”目前,HCISSP认证的费用是530美元。
HCISPP Logo
老张登录美国TechExams认证考试论坛,在HCISPP分论坛留言贴中发现,有的美国网友把这个认证当作进入医疗信息行业的敲门砖。提前声明,老张和(ISC)²完全无关,没有任何私人及商业联系,只是作为一名国内医疗信息行业从业人员,做了些调研如下。(ISC)²发布过名为HCISPP Official CBK的官方教材,由Steven Hernandez主编。该教材共分为6大章节:医疗行业介绍、制度环境、医疗隐私与安全、信息治理与风险管理、信息风险评估、第三方风险管理。根据HCISPP的定义,所有美国公立或私营医院、第三方检测机构、生物制药公司、保险公司、各类公共账单支付者、政府监管者、公共医疗组织,甚至是雇佣工作单位(为雇员缴纳社保或补充医疗保险)——所有相互依赖、有效和快速交换医疗数据的机构,都统称为医疗数据相关产业。凡是医疗数据相关产业内的机构,都将接触到,并有责任保护患者数据隐私安全。美国在1996年通过的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,以下简称HIPAA)中,提出了“敏感个人健康信息PHI(Protected Health Information)”的概念。PHI共包含18种隐私数据(姓名、性别、年龄、生日、种族、电话、地址等)。自法案通过至今,出现了大量因医疗机构对患者隐私数据保护不力而引发的案件,正是这些案件催生了HCISPP认证。HCISPP认证试题中大约70%涉及网络安全信息技术,30%涉及美国医疗隐私安全法案的内容。经过一周的比对,老张发现,HCISPP认证与我国发布的《医疗质量安全核心制度要点》高度类似,未经深入学习法案部分,也能答对试题的十之八九。老张认为,HCISPP可以被认为是信息安全基础常识+《医疗质量安全核心制度-信息安全篇》+美国医疗隐私保护法案的综合结合。老张曾负责单位《医疗质量安全核心制度要点》信息安全部分的内部细则起草,如今发现该认证与核心制度18条中很多核心要义一致或高度相似。不可否认,美国医疗市场更庞大、更多元、更市场化,对患者隐私保护有时甚至到了草木皆兵的程度。美国大型医院,各类Healthcare Plan(类似我国职工医保)甚至强制要求设置Privacy Officer(隐私官)职位。HCISPP认证本身就是对医疗信息安全高度专业分工的认可。相信国内绝大多数公立医院HR可能都没听说过HCISPP认证,即便听说,对认证的具体内容和含金量也基本没概念。我觉得更有吸引力的,是现有各级各类医院信息科、保险机构、医药企业与大健康互联网公司的同行,对于日常工作中遇到的涉及患者隐私保护方面的迫切问题,可以参考HCISPP的一些原则和要义,批判性地消化吸收。老张期待,未来我国也能推出医疗信息隐私安全从业人员相关认证,认证不是最终目的,重要的是结合我国现实医疗信息安全环境与互联网医疗、远程医疗、医疗AI、医疗商业营销等患者医疗数据交互的上下游环境,开展全面深入的隐私安全培训,为中国患者隐私信息保驾护航,提高医疗信息从业者的职业含金量和自我价值。附:10道由老张翻译搬运的HCISPP认证原装样题(附答案)。A非对称加密; B对称加密; C Hashing; D 数字签名。2.某癌症医疗机构,将网络服务器维护外包给XYZ公司,因合同未设限,XYZ公司又将其分包给ABC公司,该癌症机构的服务器负责处理、存储、传输癌症患者的PHI,这种情况下,如果发生患者信息泄露,谁是负责主体?A 癌症机构; B XYZ公司; C ABC公司; D 谁都不是,因为合同已经完全转嫁了风险。答案是A,美国HIPAA明确规定医疗机构是健康数据的最终负责主体(Primary Entity)。虽然合同中两家公司接触并维护设备,但并不采集数据。癌症机构才是采集数据的最终主体。3.以下哪种方式,能让一名HCISPP专家确保第三方云服务商可以“内置”隐私信息安全?B 在寻找云服务商之前调研自身的隐私安全需求,确保云服务商都需满足该需求;C 先购买,再与云服务商沟通,让对方能采取额外的安全控制;D 确保HCISPP专家被排除在任何合同沟通之外,因为隐私安全会使对方提高报价。4.一家重要的医疗服务商雇佣了一名黑客,非法侵入一家医疗机构并偷取数据,对于医疗机构而言,如何描述该黑客最为恰当?A 风险; B 有成功可能性; C 脆弱; D 威胁。5.一家机构发现有违规发生,导致机构财务风险暴露。一名高级穿行测试人员发现,该机构一年发生了2次违规,每一次需花费10万美元来换取减轻处罚,以及换取信用跟踪监测offer。请问该机构的当年度损益预期(ALE)金额是多少?A 5万美元; B 2.5万美元; C 20万美元; D 25万美元。6.一家机构,同时将受保护的健康数据存放在云端、本地服务器和纸质记录上,如果发生信息泄露,哪种方式造成的影响最大?A 纸质记录; B云端记录; C本地服务器; D影响同样大, 与媒介无关。7.信息安全与隐私最使医疗产业受益的是_____?8.一名自称是某心理科患者的母亲,来到护士站,索取该患者的诊疗记录,根据HIPAA,以下哪个是适当的行为?A 如确认是患者母亲,护士可提供该患者的关键治疗记录; B 除了患者本人,和主治医生,护士不能向任何人提供记录; C 如确认是患者母亲,护士需要求母亲签署保密协议书,方可提供; D 包括患者本人,和主治医生,护士不能向任何人提供记录。 C不应被鼓励但可以容忍,因为体现对同事人品充分信任;10.针对第三方供应商员工进行的背景调查,以下哪项描述最贴切?C 针对当本机构面临防止非法泄露的法律、监管和风险控制要求时的任何合同;最后,再附上TechExams论坛中一位获得认证(2018年6月)的网友的总结(英文),老张认为是加强对HCISPP认证理解最有价值的一篇回帖:https://community.infosecinstitute.com/discussion/comment/1167211#Comment_1167211
老张,供职于某医院集团信息中心。临床医学5年制,计算机硕士。朝九晚五,在平凡中,希望做一个白求恩式的信息科老张。
HIT专家网∣致力推进中国卫生信息化长按二维码可申请加入HIT专家网专业交流群投稿:gong_chen@HIT180.com商务合作:(010)82373062