医疗机构管理个人移动设备的五大要诀

　　【HC3I独家翻译】某专家指出，随着越来越多的员工上班时使用个人移动设备，对于医疗机构而言，“制定相关政策以保证员工的工作效率和数据安全”至关重要。

　　TriGeo网络安全公司系一家安全信息和事故管理解决方案供应商，位于爱达荷州波斯特福尔斯。该公司首席技术官Michael Maloof表示，为继续贯彻《健康保险流通与责任法案》（HIPAA）的相关政策，很重要的一点是机构的人力资源和IT部门进行合作，做好员工的移动设备政策教育工作。

　　TriGeo网络安全公司首席技术官Michael Maloof

　　我们应记住，如发现某机构未按规定执行，“上述部门负有责任，员工也会丢掉工作。”Maloof说。他称此为“企业终结事故”。

　　Maloof与Healthcare IT News分享了遵守医疗领域规范的五大要诀：

　　1、制定、传达和执行明确的个人设备使用政策。Maloof称，首先“不能禁止——禁止使用个人设备并不可取”。如今，员工们普遍将手机和iPad用作“个人生产力工具”。对此，医疗机构应颁布政策，确保员工“将设备用于合法商业用途。”他们应问问自己，“到底想如何使用这些设备？”他说，“这些设备不应用于储存数据。”比如，医生不应将患者信息拷入个人设备，以便在家加班。机构也应建立相关制度，监督并警告触犯规定的员工。

　　2、控制USB设备的使用（禁止使用USB设备或限定用户使用，并仅限加密设备）。Maloof表示，“USB设备在多数情况下都用于非正当目的。”绝大多数机构不应使用USB设备，但对于确有需要者，应进行精确控制。”比如，机构可以制订相关政策，规定“某用户可以使用某密匙打开X”，并与序列号匹配以监督设备使用。数据应时刻保持加密状态。

　　3、仅限使用安全的移动设备。根据Maloof的观点，对于员工上班时使用手机这一问题，医疗机构可以出台相关政策，如规定员工必须对其随身携带的手机进行登记。这样一来，如果手机丢失或被盗，则可对手机数据进行清空处理。“这是最基本的安全策略，”他说。对特定应用程序的安装做出规定也是防止员工安装“木马或恶意软件进入企业网络”的方法之一，他补充道。

　　4、全天候网络监控和预警。Maloof称，医疗机构应该建立相应系统，监控发生事故的设备。例如，当设备登录失败或授权USB插入了处于非正常位置的机器时，应触发问题报警装置。Maloof表示，这点之所以尤为重要，是因为USB设备因其“体积小、容量大”的特征而成为了医疗机构的“心腹大患”。

　　5、找出事件的关联性。Maloof说，医疗机构应有一套“化零为整”的系统。每天都有林林总总的事件发生，他补充道，“找出与可疑活动相关的事件好比是大海捞针。”这套系统应能找出首要事件的关联性。