读者来稿 | 了解一点美国医疗行业信息安全认证

来源：HIT专家网      作者：老张

【编者按】

行业的进步，离不开从业者的奋斗与思考。在多年的读者来稿中，HIT专家网有幸见证了一批爱钻研、勤思考的作者的进步与成长，更有幸能与更多读者分享这些思考的闪光点。

“有才华的人，挡也挡不住。”欢迎各位读者将日常工作中的所见、所思、所得沉淀下来，记录成文，我们期待您的精彩分享。投稿邮箱：gong_chen@HIT180.com

前不久，老张无意中看到了2020年新增的7个热门网络安全认证，这两年在Linkedin（领英）上很火的信息系统安全专业认证（Certification for Information System Security Professional，以下简称CISSP）榜上有名，另有一个“医疗信息隐私安全从业者认证（HealthCare Information Security and Privacy Practitioner，以下简称HCISPP）”。立即“百度”了一下，只有以下中文介绍：

“HCISPP的认证机构是(ISC)²（Inspiring a Safe and Secure Cyber World），自2019年10月1日至今它仅颁发了140份证书，由于新冠疫情引发了大规模的医疗数据共享需求，HCISPP的热度持续上升，尽管目前它依然是个非常小众的证书，但在医疗行业却很受欢迎，2021年HCISSP认证热潮有望迎来高峰。”目前，HCISSP认证的费用是530美元。

老张登录美国TechExams认证考试论坛，在HCISPP分论坛留言贴中发现，有的美国网友把这个认证当作进入医疗信息行业的敲门砖。

提前声明，老张和(ISC)²完全无关，没有任何私人及商业联系，只是作为一名国内医疗信息行业从业人员，做了些调研如下。

(ISC)²发布过名为HCISPP Official CBK的官方教材，由Steven Hernandez主编。该教材共分为6大章节：医疗行业介绍、制度环境、医疗隐私与安全、信息治理与风险管理、信息风险评估、第三方风险管理。

根据HCISPP的定义，所有美国公立或私营医院、第三方检测机构、生物制药公司、保险公司、各类公共账单支付者、政府监管者、公共医疗组织，甚至是雇佣工作单位（为雇员缴纳社保或补充医疗保险）——所有相互依赖、有效和快速交换医疗数据的机构，都统称为医疗数据相关产业。

凡是医疗数据相关产业内的机构，都将接触到，并有责任保护患者数据隐私安全。

美国在1996年通过的《健康保险携带和责任法案》（Health Insurance Portability and Accountability Act，以下简称HIPAA）中，提出了“敏感个人健康信息PHI(Protected Health Information)”的概念。PHI共包含18种隐私数据（姓名、性别、年龄、生日、种族、电话、地址等）。自法案通过至今，出现了大量因医疗机构对患者隐私数据保护不力而引发的案件，正是这些案件催生了HCISPP认证。

HCISPP认证试题中大约70%涉及网络安全信息技术，30%涉及美国医疗隐私安全法案的内容。经过一周的比对，老张发现，HCISPP认证与我国发布的《医疗质量安全核心制度要点》高度类似，未经深入学习法案部分，也能答对试题的十之八九。

老张认为，HCISPP可以被认为是信息安全基础常识+《医疗质量安全核心制度-信息安全篇》+美国医疗隐私保护法案的综合结合。老张曾负责单位《医疗质量安全核心制度要点》信息安全部分的内部细则起草，如今发现该认证与核心制度18条中很多核心要义一致或高度相似。

不可否认，美国医疗市场更庞大、更多元、更市场化，对患者隐私保护有时甚至到了草木皆兵的程度。美国大型医院，各类Healthcare Plan（类似我国职工医保）甚至强制要求设置Privacy Officer（隐私官）职位。HCISPP认证本身就是对医疗信息安全高度专业分工的认可。

相信国内绝大多数公立医院HR可能都没听说过HCISPP认证，即便听说，对认证的具体内容和含金量也基本没概念。我觉得更有吸引力的，是现有各级各类医院信息科、保险机构、医药企业与大健康互联网公司的同行，对于日常工作中遇到的涉及患者隐私保护方面的迫切问题，可以参考HCISPP的一些原则和要义，批判性地消化吸收。

老张期待，未来我国也能推出医疗信息隐私安全从业人员相关认证，认证不是最终目的，重要的是结合我国现实医疗信息安全环境与互联网医疗、远程医疗、医疗AI、医疗商业营销等患者医疗数据交互的上下游环境，开展全面深入的隐私安全培训，为中国患者隐私信息保驾护航，提高医疗信息从业者的职业含金量和自我价值。

附：10道由老张翻译搬运的 HCISPP 认证原装样题（附答案）。

1.PKI是一种___________?

A非对称加密；       B对称加密；       C Hashing；      D 数字签名。

答案是A。

2.某癌症医疗机构，将网络服务器维护外包给XYZ公司，因合同未设限，XYZ公司又将其分包给ABC公司，该癌症机构的服务器负责处理、存储、传输癌症患者的PHI，这种情况下，如果发生患者信息泄露，谁是负责主体？

A 癌症机构；         B XYZ公司；          C ABC公司；      D 谁都不是，因为合同已经完全转嫁了风险。

答案是A，美国HIPAA明确规定医疗机构是健康数据的最终负责主体(Primary Entity)。虽然合同中两家公司接触并维护设备，但并不采集数据。癌症机构才是采集数据的最终主体。

3.以下哪种方式，能让一名HCISPP专家确保第三方云服务商可以“内置”隐私信息安全？

A 采购目前市场上任意主流解决方案；

B 在寻找云服务商之前调研自身的隐私安全需求，确保云服务商都需满足该需求；

C 先购买，再与云服务商沟通，让对方能采取额外的安全控制；

D 确保HCISPP专家被排除在任何合同沟通之外，因为隐私安全会使对方提高报价。

答案是B。

4.一家重要的医疗服务商雇佣了一名黑客，非法侵入一家医疗机构并偷取数据，对于医疗机构而言，如何描述该黑客最为恰当？

A 风险；        B 有成功可能性；        C 脆弱；     D 威胁。

答案是D。

5.一家机构发现有违规发生，导致机构财务风险暴露。一名高级穿行测试人员发现，该机构一年发生了2次违规，每一次需花费10万美元来换取减轻处罚，以及换取信用跟踪监测offer。请问该机构的当年度损益预期(ALE)金额是多少？

A 5万美元；     B 2.5万美元；      C 20万美元；     D 25万美元。

答案是C。

6.一家机构，同时将受保护的健康数据存放在云端、本地服务器和纸质记录上，如果发生信息泄露，哪种方式造成的影响最大？

A 纸质记录；         B云端记录；           C本地服务器；            D影响同样大， 与媒介无关。

答案是D。

7.信息安全与隐私最使医疗产业受益的是_____?

A 增加本机构的IT预算开支；

B 促使本机构满足监管合规；

C 及时识别风险，并及时合理处置；

D 将风险从本机构转移到第三方。

答案是C。

8.一名自称是某心理科患者的母亲，来到护士站，索取该患者的诊疗记录，根据HIPAA，以下哪个是适当的行为？

A 如确认是患者母亲，护士可提供该患者的关键治疗记录；     

B 除了患者本人，和主治医生，护士不能向任何人提供记录；      

C 如确认是患者母亲，护士需要求母亲签署保密协议书，方可提供；      

D 包括患者本人，和主治医生，护士不能向任何人提供记录。   

答案是B。

9.分享登录密码__________?

A 应当被鼓励，减少了管理上的阻碍；

B 仅应在用户互相认识及充分信任的情况下；

C不应被鼓励但可以容忍，因为体现对同事人品充分信任；

D 不应被鼓励，密码是非“不可抵赖性”。

答案是D。

10.针对第三方供应商员工进行的背景调查，以下哪项描述最贴切？

A 通常仅针对海外/全球第三方供应商；

B 通常仅针对国内的第三方供应商；

C 针对当本机构面临防止非法泄露的法律、监管和风险控制要求时的任何合同；

D 仅针对当供应商需要接触处理已脱敏数据时。

答案是C。

最后，再附上TechExams论坛中一位获得认证（2018年6月）的网友的总结（英文），老张认为是加强对HCISPP认证理解最有价值的一篇回帖：

https://community.infosecinstitute.com/discussion/comment/1167211#Comment_1167211

【作者简介】

老张，供职于某医院集团信息中心。临床医学5年制，计算机硕士。朝九晚五，在平凡中，希望做一个白求恩式的信息科老张。

【责任编辑：秦勉】