Sitemap

クイックナビゲーション

インシデントの種類に関係なく、データ侵害は医療機関にとって大きな問題です。侵害やセキュリティ インシデントの余波に対処することは、困難で時間のかかる、そして多くの場合、無秩序なプロセスになる可能性があります。ID Experts のプライバシーに精通した人々による Radar は、組織がデータ侵害が発生した場合のインシデント対応計画を作成し、解決された各ステップを追跡するのに役立ちます。サイバー攻撃者がネットワークを侵害して機密データにアクセスしたり、従業員が健康関連の情報を含むドキュメントを含むラップトップを誤って紛失したりする可能性があります。誤って構成されたサーバーにより、組織外の人々にファイルが誤って公開されたり、不正な病院の従業員が患者の記録にアクセスして、許可されていない個人と共有したりする可能性があります.これらのインシデントはすべて、多数のコンプライアンス規制、州法および連邦法、業界標準の対象となります。 Radar は複雑なプロセスをより簡単にします。

ID Experts は、Radar を、病院、診療所、医療保険などの医療機関向けに特別に設計された「プライバシー インシデント管理」ツールと位置付けています。このプラットフォームは、HIPAA (Health Insurance Portability Accountability Act) と HITECH (Health Information Technology for Economic and Clinical Health) 規制、および州のデータ侵害通知法に焦点を当てています。

レーダーは、管理者がデータ侵害を管理し、欠陥を特定し、問題を修正し、被害者に通知し、問題が解決されたことを確認するための手順を特定するのに役立つという点で、Co3 Systems と似ています。Co3 Systems は非常にウィザードベースであり、医療だけでなく幅広い規制をカバーしており、データ侵害だけに限定されません。

RADAR は、コンプライアンスのために連邦法および州法で義務付けられている HIPAA 最終規則の 4 つの要素を使用するなど、インシデント固有のリスク評価を実行するという点で、他のプラットフォームとは異なります。RADAR はこれらの評価ルールをソフトウェアに組み込み、プライバシーとコンプライアンス担当者が各インシデントを一貫して評価することを容易にしました。

レーダーの機能
データ侵害や漏洩の防止に重点を置いている企業は、セキュリティ テクノロジとプロセスが失敗した場合の最悪のシナリオに対する計画を立てることを忘れがちです。Radar は、管理者が詳細なインシデント対応計画を作成して、実行する必要がある各ステップを特定できるようにすることで、この問題に積極的に対処します。

マネージャーとセキュリティ チームは、特定のセキュリティまたはプライバシー インシデントに関する一連の質問に回答し、Radar は、特定の状況に適用される州法と HIPAA/HITECH 規制のリストを返します。このソフトウェアは、通知が必要なすべての人を識別します。

私はこの用語を同じ意味で使用することがよくありますが、プラットフォームではインシデントと侵害を区別しています。インシデントとは、従業員がラップトップを紛失したことです。誰かがラップトップを紛失し、患者のデータが公開されていることを発見した場合、違反となります。ハードドライブが暗号化されていた場合、データは依然として安全であるため、損失はインシデントのままでした.(ラップトップが海に落ちたため)データが公開されていないと指定した場合、レーダーはレポートに「ドキュメントのみ」のフラグを立て、インシデント対応計画を生成しません.誰かが実際にデータに遭遇する可能性があることを示した場合 (会議でラップトップを紛失した場合)、Radar は対応計画を生成します。

侵害を受けた企業は迅速に対応する必要があることを考えると、明確なワークフローでカスタマイズされたインシデント対応計画を迅速に作成できるということは、組織が一貫して効果的に対応できることを意味します。また、プラットフォームは色分けされたキーを使用して、リスクの高いインシデントと HITECH コンプライアンスへの影響を識別します。

Radar ID Experts にインシデントを入力すると、Radar 2.7 にアクセスできるようになり、既製のインシデントがアカウントに事前入力されました。プラットフォームにログインした後、[Document New Incident] ボタンをクリックしてイベントを作成し、何が起こったかをログに記録してから、レポート モジュールを操作しました。

紛失したラップトップの場合、紛失したもの、データの形式、関与した人物、影響を受ける可能性のあるレコードの数を説明する詳細なフォームに記入しました.一部のセクションでは、失われた電子データの形式 (電子メール、ポータブル ストレージ FTP など) や、侵害が悪意のあるものか悪意のないものか、およびどのように発生したかなどを詳しく説明しています。

また、個人識別情報 (PII)、保護医療情報 (PHI)、その他の機密情報など、失われたデータ要素を特定しました。下に移動してすべてのチェックボックスをクリックする代わりに、「すべての PII」または「すべての PHI」と言うことができればよかったのですが、管理者は失われたデータに本当に注意を払う必要があります。

名前、健康記録、銀行情報など、公開されたデータの種類を示すことができました。すべてのビジネスは異なるため、自分が従うべきコンプライアンス規制 (または単にベスト プラクティス) を正確に指定し、最終的に非常にカスタマイズされたインシデント プランを作成することができました—次: レーダーを使用したインシデント管理

レーダーによるインシデント管理


すべての情報が画面ごとにレイアウトされているため、プロセスは非常に簡単でした。各ステップには役立つヒントがあり、必要な情報がない場合はインターフェイスを使用して簡単にセクションをスキップできます。いつでも戻って不足している情報を再入力し、評価を再作成することができました。

Radar は州ごとの評価を提供するため、犠牲者の何人がどの州の住民であったかを特定する必要もあります。この表から収集された情報によって、組織が対象となる州法が決まります。このページは、「ドキュメントのみのインシデント」ではなく、実際の侵害に取り組んでいる場合にのみ適用されます。

レーダーポータル
あらゆる段階で、メモを追加したり、是正計画、チェックリスト、レポートなどのサポート ドキュメントをアップロードして、インシデントの包括的な記録を作成したりできました。このようにして、すべての詳細、メモ、および添付ファイルを含む、すべてのセキュリティおよびプライバシー インシデントの中央リポジトリを用意しました。

生成されたインシデント対応計画を手元に置いて、関連するレスポンダーにタスクを割り当て、どのタスクが完了したかを確認できました。規制当局に通知する必要があることを明記したセクションには、いつ通知が行われたか、通知を延期する決定が行われたかどうか (およびその理由)、およびその他の活動を示すセクションがありました。誰でも計画を見て、対応チームがどこにいて、現在保留中または保留中のタスクを正確に確認できます。誰かが自分の仕事をしていない場合は、そのタスクを別の誰かに割り当てることができました。

Radar は、提供された情報を使用して、インシデントの重大度と、他の規制グループが関与する必要があるかどうかを計算することにより、リスク レベルをプロットしました。PII が公開された場合、またはデータに関連する財務、評判、および医療上のリスク レベルが存在する場合は、リスクが何であるかを確認できるように色分け (赤、緑、および黄色) されます。

メイン ダッシュボード ビューには、現在システム内にあるすべてのインシデントが一覧表示されました。ステータス、日付、インシデントの割り当て先に基づいてリストをフィルタリングできました。任意の時点で、評価内で完了したステップと、他に何が残っているかを正確に示す最新のリストを確認できました。ダッシュボードの各インシデントには、HITECH と州法のリスク レベルを示す色分けされた円 (赤、黄、緑、白) がありました。たとえば、一部のインシデントは状態への影響が低く、HITECH にとって中程度のリスクでした。

事前に作成されたレポートを使用すると、オープン チケットとクローズ チケットを追跡し、コンプライアンス レポートを実行し、監査や調査の場合に備えてドキュメントを準備できます。

SaaS の利点
サービスとしてのソフトウェアとして提供されるため、ID エキスパートはプラットフォームを定期的に更新して、法律、コンプライアンス要件、および業界のベスト プラクティスの変更を反映できます。ユーザーは、最新のソフトウェアにアップグレードしたかどうかを気にすることなく、最新の情報にアクセスできます。ポータルにログインすると、常に最新バージョンが表示されます。違反通知に関しては、企業は遵守する必要のあるさまざまな法律や規制をすべて覚えておく必要はありません。

州の違反に関する法律は、互いに大きく異なります。一部の州では、他の州よりも多くの情報を提供するよう企業に要求しています。被害者に通知する必要がある時期も州によって異なり、メイン州では組織に 7 日以内に顧客に通知するよう義務付けており、その他の組織では数週間または数か月以内に通知する必要があります。

企業は、ライブ デモにサインアップするか、Web キャストを視聴してプラットフォームの感触をつかむことができます。年間サブスクリプションの価格は 10,000 ~ 50,000 ドルで、ユーザー数、ライセンス期間、評価に含まれる州の数などの要因によって異なります。5,250 ドルのお試し価格は、HITECH アセスメントと 1 つの州アセスメントを備えた 1 人のユーザー向けの複数年ライセンスです。

最終的な構成に関係なく、すべての Radar ユーザーは、リスク評価とインシデント通知機能、およびすべてのインシデント関連データを保持する中央リポジトリへのアクセスを自動的に取得します。ユーザーはダッシュボードを使用して、タスクの割り当てと再割り当て、関係者への通知、アラートの発行、メモの追加と編集、簡単に検索できるようにメモにタグを付けたり、事前定義されたレポートを作成したりできます。アドオンには、状態に関する状態ベースのリスクと通知の評価、カスタム レポートとグラフ、および誰がどの種類のデータにアクセスできるかを制御するためのユーザー アクセス制御の設定が含まれます。

企業によっては、必要のないプラットフォームの年間サブスクリプションに 5,000 ドル以上の値札を付けるのは、高くて不必要に思えるかもしれません。しかし、これは組織が今お金を使って後でお金を節約する完璧な例です。データ侵害自体は非常に高くつく可能性があり、最近の数値では、法的責任、生産性の低下、および関連費用を含む総コストが平均 550 万ドルと見積もられています。法的責任を実質的にゼロにするために 5,000 ドル以上を費やすのは、インシデント対応計画によって組織がすべてをタイムリーに処理できるようにするため、かなりお買い得に思えます。

プロアクティブな計画
組織は Radar を使用して、侵害の範囲を分析および把握し、次に何をする必要があるかを特定できます。詳細なインシデント計画により、インシデントへの対応時間を大幅に短縮できます。これは、責任の軽減と迅速な緩和に直接つながります。これはサービスとしてのソフトウェアであるため、組織は情報の追跡に時間を費やすことなく、最新のルールにアクセスできることも知っています。

Radar は、これらのインシデント プランを作成するための簡単で使いやすいインターフェイスを企業に提供します。Radar は、医療機関にとって、悪夢のようなシナリオを計画するプロセスを可能な限り無痛にします。Radar は、Co3 Systems ほど広範で洗練されたものではありませんが、企業が最終的なデータ侵害に事前に備えるために使用できる堅実なインシデント対応計画ツールです。

すべてのカテゴリ: バグフィックス情報