前不久,老张无意中看到了2020年新增的7个热门网络安全认证,这两年在Linkedin(领英)上很火的信息系统安全专业认证(Certification for Information System Security Professional,以下简称CISSP)榜上有名,另有一个“医疗信息隐私安全从业者认证(HealthCare Information Security and Privacy Practitioner,以下简称HCISPP)”。立即“百度”了一下,只有以下中文介绍:
“HCISPP的认证机构是(ISC)²(Inspiring a Safe and Secure Cyber World),自2019年10月1日至今它仅颁发了140份证书,由于新冠疫情引发了大规模的医疗数据共享需求,HCISPP的热度持续上升,尽管目前它依然是个非常小众的证书,但在医疗行业却很受欢迎,2021年HCISSP认证热潮有望迎来高峰。”目前,HCISSP认证的费用是530美元。
HCISPP Logo
老张登录美国TechExams认证考试论坛,在HCISPP分论坛留言贴中发现,有的美国网友把这个认证当作进入医疗信息行业的敲门砖。
提前声明,老张和(ISC)²完全无关,没有任何私人及商业联系,只是作为一名国内医疗信息行业从业人员,做了些调研如下。
(ISC)²发布过名为HCISPP Official CBK的官方教材,由Steven Hernandez主编。该教材共分为6大章节:医疗行业介绍、制度环境、医疗隐私与安全、信息治理与风险管理、信息风险评估、第三方风险管理。
根据HCISPP的定义,所有美国公立或私营医院、第三方检测机构、生物制药公司、保险公司、各类公共账单支付者、政府监管者、公共医疗组织,甚至是雇佣工作单位(为雇员缴纳社保或补充医疗保险)——所有相互依赖、有效和快速交换医疗数据的机构,都统称为医疗数据相关产业。
凡是医疗数据相关产业内的机构,都将接触到,并有责任保护患者数据隐私安全。
美国在1996年通过的《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,以下简称HIPAA)中,提出了“敏感个人健康信息PHI(Protected Health Information)”的概念。PHI共包含18种隐私数据(姓名、性别、年龄、生日、种族、电话、地址等)。自法案通过至今,出现了大量因医疗机构对患者隐私数据保护不力而引发的案件,正是这些案件催生了HCISPP认证。
HCISPP认证试题中大约70%涉及网络安全信息技术,30%涉及美国医疗隐私安全法案的内容。经过一周的比对,老张发现,HCISPP认证与我国发布的《医疗质量安全核心制度要点》高度类似,未经深入学习法案部分,也能答对试题的十之八九。
老张认为,HCISPP可以被认为是信息安全基础常识+《医疗质量安全核心制度-信息安全篇》+美国医疗隐私保护法案的综合结合。老张曾负责单位《医疗质量安全核心制度要点》信息安全部分的内部细则起草,如今发现该认证与核心制度18条中很多核心要义一致或高度相似。
不可否认,美国医疗市场更庞大、更多元、更市场化,对患者隐私保护有时甚至到了草木皆兵的程度。美国大型医院,各类Healthcare Plan(类似我国职工医保)甚至强制要求设置Privacy Officer(隐私官)职位。HCISPP认证本身就是对医疗信息安全高度专业分工的认可。
相信国内绝大多数公立医院HR可能都没听说过HCISPP认证,即便听说,对认证的具体内容和含金量也基本没概念。我觉得更有吸引力的,是现有各级各类医院信息科、保险机构、医药企业与大健康互联网公司的同行,对于日常工作中遇到的涉及患者隐私保护方面的迫切问题,可以参考HCISPP的一些原则和要义,批判性地消化吸收。
老张期待,未来我国也能推出医疗信息隐私安全从业人员相关认证,认证不是最终目的,重要的是结合我国现实医疗信息安全环境与互联网医疗、远程医疗、医疗AI、医疗商业营销等患者医疗数据交互的上下游环境,开展全面深入的隐私安全培训,为中国患者隐私信息保驾护航,提高医疗信息从业者的职业含金量和自我价值。
附:10道由老张翻译搬运的 HCISPP 认证原装样题(附答案)。
1.PKI是一种___________?
A非对称加密; B对称加密; C Hashing; D 数字签名。
答案是A。
2.某癌症医疗机构,将网络服务器维护外包给XYZ公司,因合同未设限,XYZ公司又将其分包给ABC公司,该癌症机构的服务器负责处理、存储、传输癌症患者的PHI,这种情况下,如果发生患者信息泄露,谁是负责主体?
A 癌症机构; B XYZ公司; C ABC公司; D 谁都不是,因为合同已经完全转嫁了风险。
答案是A,美国HIPAA明确规定医疗机构是健康数据的最终负责主体(Primary Entity)。虽然合同中两家公司接触并维护设备,但并不采集数据。癌症机构才是采集数据的最终主体。
3.以下哪种方式,能让一名HCISPP专家确保第三方云服务商可以“内置”隐私信息安全?
A 采购目前市场上任意主流解决方案;
B 在寻找云服务商之前调研自身的隐私安全需求,确保云服务商都需满足该需求;
C 先购买,再与云服务商沟通,让对方能采取额外的安全控制;
D 确保HCISPP专家被排除在任何合同沟通之外,因为隐私安全会使对方提高报价。
答案是B。
4.一家重要的医疗服务商雇佣了一名黑客,非法侵入一家医疗机构并偷取数据,对于医疗机构而言,如何描述该黑客最为恰当?
A 风险; B 有成功可能性; C 脆弱; D 威胁。
答案是D。
5.一家机构发现有违规发生,导致机构财务风险暴露。一名高级穿行测试人员发现,该机构一年发生了2次违规,每一次需花费10万美元来换取减轻处罚,以及换取信用跟踪监测offer。请问该机构的当年度损益预期(ALE)金额是多少?
A 5万美元; B 2.5万美元; C 20万美元; D 25万美元。
答案是C。
6.一家机构,同时将受保护的健康数据存放在云端、本地服务器和纸质记录上,如果发生信息泄露,哪种方式造成的影响最大?
A 纸质记录; B云端记录; C本地服务器; D影响同样大, 与媒介无关。
答案是D。
7.信息安全与隐私最使医疗产业受益的是_____?
A 增加本机构的IT预算开支;
B 促使本机构满足监管合规;
C 及时识别风险,并及时合理处置;
D 将风险从本机构转移到第三方。
答案是C。
8.一名自称是某心理科患者的母亲,来到护士站,索取该患者的诊疗记录,根据HIPAA,以下哪个是适当的行为?
A 如确认是患者母亲,护士可提供该患者的关键治疗记录;
B 除了患者本人,和主治医生,护士不能向任何人提供记录;
C 如确认是患者母亲,护士需要求母亲签署保密协议书,方可提供;
D 包括患者本人,和主治医生,护士不能向任何人提供记录。
答案是B。
9.分享登录密码__________?
A 应当被鼓励,减少了管理上的阻碍;
B 仅应在用户互相认识及充分信任的情况下;
C不应被鼓励但可以容忍,因为体现对同事人品充分信任;
D 不应被鼓励,密码是非“不可抵赖性”。
答案是D。
10.针对第三方供应商员工进行的背景调查,以下哪项描述最贴切?
A 通常仅针对海外/全球第三方供应商;
B 通常仅针对国内的第三方供应商;
C 针对当本机构面临防止非法泄露的法律、监管和风险控制要求时的任何合同;
D 仅针对当供应商需要接触处理已脱敏数据时。
答案是C。
最后,再附上TechExams论坛中一位获得认证(2018年6月)的网友的总结(英文),老张认为是加强对HCISPP认证理解最有价值的一篇回帖:
https://community.infosecinstitute.com/discussion/comment/1167211#Comment_1167211
HCISPP认证官方教材