2018年02月27日
如果安全團(tuán)隊(duì)不知道何為安全最佳實(shí)踐,企業(yè)損失人力物力財(cái)力不過是時(shí)間問題。而且一旦發(fā)生安全事件,還有可能損及客戶,造成需要花費(fèi)數(shù)年時(shí)間才能彌補(bǔ)過來的業(yè)務(wù)損失或賠償。
至于醫(yī)療信息安全領(lǐng)域,可以嘗試的安全方法多種多樣。但無論你采用哪種實(shí)現(xiàn)方式,總有些結(jié)果不是你所預(yù)期的。于是,問題來了:醫(yī)療信息安全最佳操作有哪些?
一、技術(shù)層面看
培訓(xùn),培訓(xùn),再培訓(xùn)。確保員工熟知最新威脅是“全民皆兵”的極佳方式,可以讓每一名員工都成為公司的“眼睛和耳朵”。通過信息安全培訓(xùn),也可以讓員工了解自身與公司是共擔(dān)風(fēng)險(xiǎn)的。
1. 域訪問權(quán)限
不是每個(gè)人都需要域訪問權(quán)限。事實(shí)上,職位高低與域訪問權(quán)無甚關(guān)系。董事長或CEO掌握域控口令甚至更糟,因?yàn)楦吖鼙旧砭褪呛诳偷闹饕繕?biāo)。
2. 自帶設(shè)備辦公(BYOD)
如果公司允許自帶設(shè)備辦公(BYOD),那就部署移動(dòng)設(shè)備管理(MDM)解決方案,管控員工訪問受保護(hù)健康信息(PHI)和個(gè)人可識(shí)別信息(PII)的會(huì)話。MDM中應(yīng)特別注意開發(fā)者模式是否被禁用,若禁用該模式,MDM工具所提供的服務(wù)就無效了。
3. 殺毒軟件(AV)
做安全要走心,僅僅對(duì)著列表劃勾的敷衍態(tài)度做不好安全。要確保所有AV都配置正確,運(yùn)行良好,病毒庫和規(guī)則保持更新。
4. 做好變更管理與跟蹤
無論是大企業(yè)還是小公司,都需要變更管理,即便只是用一張Excel電子表格來管。公司越小,越需要知道應(yīng)該回滾到哪里。對(duì)大公司而言,則需要有足夠的跟蹤、監(jiān)視、核查與平衡,以便將變更管理有效集成進(jìn)公司運(yùn)營中。
二、文化層面看
1. 別太自負(fù)
歷史已無數(shù)次證明,總有些專家覺得自己知道一切。但最終,人總得與他人合作,友好合作。太自負(fù)不利于協(xié)作,最好完全摒棄這種高傲的態(tài)度,為項(xiàng)目、公司或工作職責(zé)貢獻(xiàn)出你的價(jià)值。
2. 安全域的存在是有理由的
安全域的叫法或許多種多樣,但其存在是有理由的。必須將之視為安全底線來遵守。你可以不喜歡安全域,但它就在那里,合理存在著。
3. 盡量透明
沒錯(cuò),信息安全中有些領(lǐng)域就是要保密的。但是,如果每個(gè)人都清楚各自在做的事和做事的方式,那業(yè)務(wù)推進(jìn)就會(huì)更快更平滑。近期的項(xiàng)目中出現(xiàn)過員工出于工作安全考慮而秘藏信息的現(xiàn)象,但這是錯(cuò)誤的做法。讓整個(gè)團(tuán)隊(duì)或公司知道當(dāng)前項(xiàng)目的進(jìn)展可以播下信任與尊重的種子。
4. 清楚醫(yī)療法規(guī)
不僅要知道業(yè)務(wù)范圍,還要知道本行業(yè)應(yīng)遵從的各項(xiàng)法規(guī)。法律就是法律,連同相關(guān)規(guī)定、規(guī)則和指導(dǎo)原則都要知道。
最后,以上建議請(qǐng)根據(jù)自身業(yè)務(wù)及業(yè)務(wù)需求斟酌采納。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)、動(dòng)漫設(shè)計(jì)、軟件研發(fā)、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養(yǎng)”、“制度流程”、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案,業(yè)務(wù)涵蓋咨詢、評(píng)估、規(guī)劃、管控、建設(shè)、培訓(xùn)等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。