Sitemap

त्वरित नेविगेशन

घटना के प्रकार की परवाह किए बिना, एक स्वास्थ्य सेवा संगठन के लिए डेटा उल्लंघन एक बड़ी बात है।एक उल्लंघन, या एक सुरक्षा घटना के बाद से निपटना, एक चुनौतीपूर्ण, उपभोग करने वाली और अक्सर, अराजक प्रक्रिया हो सकती है।आईडी विशेषज्ञों के गोपनीयता-प्रेमी लोगों से रडार, डेटा उल्लंघन की स्थिति में संगठनों को एक घटना प्रतिक्रिया योजना बनाने में मदद करता है और प्रत्येक चरण को हल होने पर ट्रैक करता है।साइबर-हमलावर नेटवर्क को भंग कर सकते हैं और संवेदनशील डेटा तक पहुंच सकते हैं या किसी कर्मचारी ने गलती से एक लैपटॉप खो दिया है जिसमें स्वास्थ्य संबंधी जानकारी वाले दस्तावेज़ हैं।एक गलत कॉन्फ़िगर किए गए सर्वर ने अनजाने में संगठन के बाहर के लोगों के सामने फाइलें उजागर कर दी हो सकती हैं, और एक दुष्ट अस्पताल कर्मचारी रोगी के रिकॉर्ड तक पहुंच सकता है और इसे अनधिकृत व्यक्तियों के साथ साझा कर सकता है।ये सभी घटनाएं कई अनुपालन विनियमों, राज्य और संघीय कानूनों और उद्योग मानकों के अधीन हैं; और रडार जटिल प्रक्रिया को और अधिक सरल बनाता है।

आईडी विशेषज्ञ रडार को "गोपनीयता घटना प्रबंधन" उपकरण के रूप में स्थान देते हैं जो विशेष रूप से अस्पतालों, क्लीनिकों और स्वास्थ्य योजनाओं जैसे स्वास्थ्य संगठनों के लिए डिज़ाइन किया गया है।मंच HIPAA (स्वास्थ्य बीमा पोर्टेबिलिटी जवाबदेही अधिनियम) और HITECH (आर्थिक और नैदानिक ​​स्वास्थ्य के लिए स्वास्थ्य सूचना प्रौद्योगिकी) नियमों के साथ-साथ राज्य डेटा उल्लंघन अधिसूचना कानूनों पर केंद्रित है।

रडार Co3 सिस्टम के समान है जिसमें दोनों प्लेटफॉर्म प्रशासकों को डेटा उल्लंघनों का प्रबंधन करने और खामियों की पहचान करने, समस्या को ठीक करने, पीड़ितों को सूचित करने और समस्या को हल करने की पुष्टि करने में मदद करते हैं।Co3 सिस्टम बहुत अधिक विज़ार्ड-आधारित है, केवल स्वास्थ्य देखभाल की तुलना में नियमों की एक विस्तृत श्रृंखला को कवर करता है, और केवल डेटा उल्लंघनों तक ही सीमित नहीं है।

राडार अन्य प्लेटफार्मों से अलग है जिसमें यह एक घटना-विशिष्ट जोखिम मूल्यांकन करता है, जैसे एचआईपीएए अंतिम नियम से चार कारकों का उपयोग करना, जो अनुपालन के लिए संघीय और राज्य कानूनों द्वारा आवश्यक है।राडार ने उन मूल्यांकन नियमों को सॉफ्टवेयर में एम्बेड किया, जिससे गोपनीयता और अनुपालन अधिकारियों के लिए प्रत्येक घटना का लगातार आकलन करना आसान हो गया।

राडार क्या करता है
डेटा उल्लंघनों और लीक को रोकने पर ध्यान केंद्रित करने वाले व्यवसाय अक्सर सबसे खराब स्थिति के लिए योजना बनाना भूल जाते हैं जब सुरक्षा तकनीक और प्रक्रियाएं विफल हो जाती हैं।राडार सक्रिय रूप से इस समस्या का समाधान प्रशासकों को प्रत्येक चरण की पहचान करने के लिए एक विस्तृत घटना प्रतिक्रिया योजना तैयार करने की अनुमति देकर करता है जो कि होने की आवश्यकता है।

प्रबंधक और सुरक्षा दल किसी विशेष सुरक्षा या गोपनीयता घटना के संबंध में प्रश्नों की एक श्रृंखला का उत्तर देते हैं और रडार राज्य कानूनों की एक सूची देता है और विशिष्ट परिस्थितियों पर HIPAA/HITECH नियम लागू होते हैं।सॉफ्टवेयर उन सभी की पहचान करता है जिन्हें अधिसूचित करने की आवश्यकता है।

जबकि मैं अक्सर शब्दों का परस्पर उपयोग करता हूं, मंच घटनाओं और उल्लंघनों के बीच अंतर करता है।एक घटना एक कर्मचारी के लैपटॉप खोने की होगी।एक उल्लंघन तब होगा जब किसी को वह खोया हुआ लैपटॉप और उजागर रोगी डेटा मिल जाए।यदि हार्ड ड्राइव को एन्क्रिप्ट किया गया होता, तो नुकसान एक घटना बना रहता क्योंकि डेटा अभी भी सुरक्षित था।यदि मैंने निर्दिष्ट किया कि डेटा उजागर नहीं किया गया था (क्योंकि लैपटॉप समुद्र में गिर गया था), रडार रिपोर्ट को "केवल दस्तावेज़ीकरण" के रूप में चिह्नित करेगा और एक घटना प्रतिक्रिया योजना उत्पन्न नहीं करेगा।अगर मैंने संकेत दिया कि वास्तव में किसी के डेटा में आने की संभावना थी (एक सम्मेलन में एक लैपटॉप के गुम होने की स्थिति में), तो रडार एक प्रतिक्रिया योजना तैयार करेगा।

यह ध्यान में रखते हुए कि उल्लंघन से पीड़ित कंपनियों को जल्दी से प्रतिक्रिया देनी होगी, स्पष्ट वर्कफ़्लो के साथ अनुकूलित घटना प्रतिक्रिया योजनाओं को जल्दी से तैयार करने में सक्षम होने का मतलब है कि संगठन लगातार और प्रभावी ढंग से प्रतिक्रिया दे सकता है।प्लेटफ़ॉर्म रंग-कोडित कुंजियों का उपयोग यह पहचानने के लिए भी करता है कि कौन सी घटनाएं उच्च जोखिम वाली हैं, और HITECH अनुपालन पर प्रभाव।

रडार आईडी में एक घटना दर्ज करना विशेषज्ञों ने मुझे रडार 2.7 तक पहुंच प्रदान की और कुछ तैयार घटनाओं के साथ खाते को पूर्व-आबाद किया।प्लेटफ़ॉर्म पर लॉग इन करने के बाद, मैंने एक ईवेंट बनाने के लिए "डॉक्यूमेंट न्यू इंसीडेंट" बटन पर क्लिक किया, जो हुआ उसे लॉग किया और फिर रिपोर्टिंग मॉड्यूल के साथ खेला।

खोए हुए लैपटॉप के मामले में, मैंने एक विस्तृत फॉर्म भरा जिसमें बताया गया था कि क्या खो गया था, डेटा किस प्रारूप में था, कौन शामिल था, और कितने रिकॉर्ड प्रभावित हो सकते हैं।कुछ खंड बहुत विस्तार से गए, जैसे कि खोए हुए इलेक्ट्रॉनिक्स डेटा के रूप को स्पष्ट करना - ईमेल, पोर्टेबल स्टोरेज एफ़टीपी, और अन्य - या क्या उल्लंघन दुर्भावनापूर्ण या गैर-दुर्भावनापूर्ण था, और यह कैसे हुआ।

मैंने यह भी पहचाना कि कौन से डेटा तत्व खो गए थे, चाहे वह व्यक्तिगत पहचान जानकारी (पीआईआई), संरक्षित स्वास्थ्य जानकारी (पीएचआई), या अन्य संवेदनशील जानकारी हो।नीचे जाने और प्रत्येक चेकबॉक्स पर क्लिक करने के बजाय केवल "सभी PII" या "सभी PHI" कहने में सक्षम होना अच्छा होता, लेकिन यह व्यवस्थापक को वास्तव में ध्यान देने के लिए मजबूर करता है कि कौन सा डेटा खो गया था।

मैं उजागर किए गए डेटा के प्रकारों को इंगित कर सकता हूं, जैसे नाम, स्वास्थ्य रिकॉर्ड, बैंकिंग जानकारी, और अन्य।सभी व्यवसाय अलग-अलग हैं, इसलिए मैं उन अनुपालन विनियमों को सटीक रूप से निर्दिष्ट करने में सक्षम था जिनके अधीन मैं था (या केवल सर्वोत्तम अभ्यास) और एक बहुत ही अनुकूलित घटना योजना के साथ समाप्त हुआ—अगला: रडार के साथ हादसा प्रबंधन

राडार के साथ घटना प्रबंधन


यह एक बहुत ही आसान प्रक्रिया थी, क्योंकि सारी जानकारी स्क्रीन-दर-स्क्रीन रखी गई थी।प्रत्येक चरण के साथ उपयोगी युक्तियाँ हैं, और यदि मेरे पास आवश्यक जानकारी नहीं है तो इंटरफ़ेस अनुभागों को छोड़ना आसान बनाता है।मैं हमेशा वापस जा सकता था और लापता जानकारी को फिर से दर्ज कर सकता था और मूल्यांकन को फिर से बना सकता था।

चूंकि रडार राज्य-दर-राज्य मूल्यांकन प्रदान करता है, इसलिए मुझे यह भी पहचानना होगा कि कितने पीड़ित किस राज्य के निवासी थे।इस तालिका से एकत्र की गई जानकारी यह निर्धारित करेगी कि संगठन किस राज्य के कानूनों के अधीन होगा।यह पृष्ठ केवल तभी लागू होता है जब हम वास्तविक उल्लंघन पर काम कर रहे हों, न कि "केवल दस्तावेज़ीकरण घटना" पर।

रडार पोर्टल
रास्ते के हर कदम पर, मैं घटना के व्यापक रिकॉर्ड बनाने के लिए नोट्स जोड़ सकता था या सहायक दस्तावेज अपलोड कर सकता था, जैसे कि उपचार योजना, चेकलिस्ट और रिपोर्ट।इस तरह मेरे पास सभी विवरणों, नोट्स और अनुलग्नकों के साथ हर एक सुरक्षा और गोपनीयता घटना का केंद्रीय भंडार था।

हाथ में उत्पन्न घटना प्रतिक्रिया योजना के साथ, मैं प्रासंगिक उत्तरदाताओं को कार्य सौंप सकता था और देख सकता था कि कौन से कार्य पूरे हो गए हैं।यह निर्दिष्ट करने वाले अनुभागों में कि मुझे एक नियामक एजेंसी को सूचित करना था, यह इंगित करने के लिए एक खंड था कि अधिसूचना कब की गई थी, क्या अधिसूचना (और क्यों) और अन्य गतिविधियों को स्थगित करने का निर्णय लिया गया था।कोई भी व्यक्ति योजना को देख सकता है और ठीक से देख सकता है कि प्रतिक्रिया टीम कहाँ थी और वर्तमान में कौन से कार्य लंबित हैं या रुके हुए हैं।अगर कोई अपना काम नहीं कर रहा था, तो मैं किसी और को काम फिर से सौंप सकता था।

राडार ने घटना की गंभीरता की गणना करके और अन्य नियामक समूहों को शामिल करने की आवश्यकता है या नहीं, जोखिम स्तर की साजिश रचने के लिए प्रदान की गई जानकारी का उपयोग किया।यदि पीआईआई का खुलासा हुआ, या यदि डेटा से जुड़े कोई वित्तीय, प्रतिष्ठित और चिकित्सा जोखिम स्तर थे, तो वह रंग-कोडित (लाल, हरा और पीला) होगा ताकि मैं देख सकूं कि जोखिम क्या थे।

मुख्य डैशबोर्ड दृश्य ने सिस्टम में वर्तमान में सभी घटनाओं को सूचीबद्ध किया है।मैं स्थिति के साथ-साथ तिथि के आधार पर सूची को फ़िल्टर कर सकता था, और घटना किसे सौंपी गई थी।किसी भी समय, मैं एक अद्यतन सूची देख सकता था कि मूल्यांकन के भीतर वास्तव में कौन से कदम पूरे किए गए थे और और क्या करना बाकी था।डैशबोर्ड में प्रत्येक घटना में HITECH और राज्य के कानूनों के जोखिम स्तर को इंगित करने के लिए एक रंग कोडित चक्र (लाल, पीला, हरा, सफेद) था।उदाहरण के लिए, कुछ घटनाओं में हाईटेक के लिए कम राज्य प्रभाव और मध्यम जोखिम था।

पूर्व-डिब्बाबंद रिपोर्ट मुझे खुले और बंद टिकटों को ट्रैक करने, अनुपालन रिपोर्ट चलाने और ऑडिट या जांच के मामले में दस्तावेज तैयार करने देती है।

सास के लाभ
चूंकि यह एक सेवा के रूप में एक सॉफ्टवेयर के रूप में पेश किया जाता है, इसलिए आईडी विशेषज्ञ नियमित रूप से कानूनों, अनुपालन आवश्यकताओं और उद्योग की सर्वोत्तम प्रथाओं में बदलाव को दर्शाने के लिए प्लेटफॉर्म को अपडेट कर सकते हैं।उपयोगकर्ताओं को नवीनतम सॉफ़्टवेयर में अपग्रेड किया गया है या नहीं, इस बारे में चिंता किए बिना नवीनतम जानकारी तक पहुंच प्राप्त होती है।पोर्टल में लॉग इन करते हुए, वे हमेशा नवीनतम संस्करण देखते हैं।जब उल्लंघन अधिसूचना की बात आती है, तो व्यवसायों को उन सभी विभिन्न कानूनों और विनियमों को याद रखने की कोशिश करने की ज़रूरत नहीं है जिनका उन्हें पालन करने की आवश्यकता है।

राज्य के उल्लंघन कानून एक दूसरे से बेतहाशा भिन्न होते हैं।कुछ राज्यों को व्यवसायों को दूसरों की तुलना में अधिक जानकारी प्रदान करने की आवश्यकता होती है।पीड़ितों को कितनी जल्दी सूचित करने की आवश्यकता होती है, यह भी राज्य द्वारा भिन्न होता है, मेन के लिए संगठनों को सात दिनों के भीतर ग्राहकों को सूचित करने की आवश्यकता होती है, और अन्य, जो कुछ हफ्तों या महीनों की अनुमति देते हैं।

प्लेटफॉर्म के बारे में महसूस करने के लिए व्यवसाय लाइव डेमो के लिए साइन अप कर सकते हैं या वेबकास्ट देख सकते हैं।वार्षिक सदस्यता के लिए मूल्य टैग $10,000 और $50,000 के बीच है, और यह उपयोगकर्ताओं की संख्या, लाइसेंस अवधि, मूल्यांकन में शामिल राज्यों की संख्या और अन्य जैसे कारकों पर निर्भर करता है।$ 5,250 का प्रारंभिक मूल्य एक उपयोगकर्ता के लिए HITECH मूल्यांकन और एक राज्य मूल्यांकन के साथ एक बहु-वर्षीय लाइसेंस है।

अंतिम कॉन्फ़िगरेशन के बावजूद, सभी रडार उपयोगकर्ताओं को स्वचालित रूप से जोखिम मूल्यांकन और घटना अधिसूचना क्षमताओं और केंद्रीय भंडार तक पहुंच प्राप्त होती है जिसमें सभी घटना संबंधी डेटा होते हैं।उपयोगकर्ता डैशबोर्ड का उपयोग कार्यों को असाइन करने और पुन: असाइन करने, संबंधित पक्षों को सूचित करने, अलर्ट जारी करने, नोट्स जोड़ने और संपादित करने, आसान पुनर्प्राप्ति और पूर्व-निर्धारित रिपोर्ट के लिए टैग नोट्स के लिए कर सकते हैं।ऐड-ऑन में राज्यों के लिए राज्य-आधारित जोखिम और अधिसूचना मूल्यांकन, कस्टम रिपोर्ट और चार्ट, और किस प्रकार के डेटा तक पहुंच है, इसे नियंत्रित करने के लिए उपयोगकर्ता पहुंच नियंत्रण सेट करना शामिल है।

कुछ व्यवसायों के लिए, एक प्लेटफ़ॉर्म के लिए वार्षिक सदस्यता के लिए $ 5,000 का मूल्य टैग या उससे अधिक, जिसकी उन्हें आवश्यकता नहीं है, उच्च और अनावश्यक लग सकता है।हालांकि, बाद में पैसे बचाने के लिए अब पैसा खर्च करने वाले संगठनों का यह एक आदर्श उदाहरण है।डेटा उल्लंघन स्वयं काफी महंगा हो सकता है, हाल के आंकड़ों में कुल लागत का अनुमान $ 5.5 मिलियन है, जिसमें कानूनी देनदारियां, खराब उत्पादकता और संबंधित खर्च शामिल हैं।अनिवार्य रूप से कानूनी देनदारियों को शून्य में बदलने के लिए $ 5,000 या अधिक खर्च करना, क्योंकि घटना प्रतिक्रिया योजना सुनिश्चित करती है कि संगठन समय पर सब कुछ निपटाते हैं, काफी सौदेबाजी की तरह लगता है।

सक्रिय योजना
संगठन उल्लंघन की सीमा का विश्लेषण और पता लगाने के लिए रडार का उपयोग कर सकते हैं और पहचान सकते हैं कि आगे क्या करने की आवश्यकता है।एक विस्तृत घटना योजना के साथ, घटना प्रतिक्रिया समय को नाटकीय रूप से घटाया जा सकता है, जो सीधे कम देनदारियों और तेजी से शमन में तब्दील हो जाता है।चूंकि यह एक सेवा के रूप में एक सॉफ्टवेयर है, इसलिए संगठन यह भी जानते हैं कि जानकारी को ट्रैक करने में समय व्यतीत किए बिना उनके पास सबसे अद्यतित नियमों तक पहुंच है।

राडार उन घटनाओं की योजना बनाने के लिए व्यवसायों को एक सीधा और उपयोग में आसान इंटरफ़ेस प्रदान करता है।रडार स्वास्थ्य संगठनों के लिए दुःस्वप्न परिदृश्य के लिए योजना बनाने की प्रक्रिया को यथासंभव दर्द रहित बनाता है।भले ही यह Co3 सिस्टम जितना व्यापक या स्लीक नहीं है, रडार एक ठोस घटना प्रतिक्रिया योजना उपकरण है जिसका उपयोग व्यवसाय अंतिम डेटा उल्लंघन के लिए सक्रिय रूप से तैयार करने के लिए कर सकता है।