从数据保护到业务连续性再到法规遵从

对于数据保护的影响

在HIPAA法规的管理安全措施一章中有以下一段关于事故应急计划的要求。根据这个要求，所有健康机构和相关企业都必须：

“建立相应的策略和程序，以应对各种可能发生的紧急事件或其他威胁到存有保护医疗信息（PHI）系统安全的突发事件。并确保它们能够在需要时顺利地实施。”

但是，在这个规定中到底哪些部分是必须遵守的，哪些部分又是可以协商的呢？我想在介绍HIPAA中所描述的关于数据保护的五个主要部分（或执行规范）之前，有必要先明确一下这个问题。

简单地说，所谓“可协商的规定”不同于“必须遵守的规定”的地方在于：如果某个医疗健康机构或相关企业能够证明某个规定对于这个组织的商业运营是不合理的，那么它就可以拒绝执行这个规定。如果一个医疗健康机构或相关企业选择了拒绝执行某些被HIPAA定义为“可协商的”规定，那么它就必须出示备有证明文件的相关证据来证明它已经采用其他的替代方案来满足了规定中的相关部分的要求。同时它还必须演示这个替代方案是如何满足这些法规要求的。

如今，整个法案中有五分之二的执行规范是“可协商的”，而在它的原始版本中，所有的执行规范都是被要求强制执行的。因为在当时，企业存储集团相信医疗组织投资在这五个部分上的每一分钱对于保护那些重要的数字化医疗信息都是值得的。可是后来他们意识到很多组织的IT资源有限，而且资金紧张，很难满足规定中全部的五个部分。

这个表格大体上描述了HIPAA安全规定中五个关键的执行规范。其中，中间一栏详细说明了这个法规可能对诸如存储管理、应急持续性计划和数据保护实施等方面产生的影响。最后一栏是为那些准备采取行动来满足法规要求的IT专业人员准备的一些需要考虑的基本问题。

底线

对于今天的整个医疗系统来讲，比较讽刺的一点就是，我们的医生，我们的医疗设备每天都在不停地为改善医疗服务质量而努力。但是到最后，传统的基于纸张的管理方式却成为了制约医疗服务水平发展的瓶颈。

通过对计算机和存储资源的有效利用，我们可以极大地缩短患者诊断及治疗所需的时间。因此，所有患者在医院的等候时间也将随即减少。并且那飞涨的医疗费也将逐渐趋于稳定。

虽然，企业策略集团并不认为HIPAA安全规范是医疗健康行业的“万能药”，但我们相信这个规范的出台将帮助我们更好地了解整个国家的医疗IT系统。虽然满足HIPAA中相关规定的投资将会比较大，但是这将帮助我们不断地改进我们的IT工具和流程，以便更好地保护那些有价值的重要信息。