Национальный аудитор Австралии в стране мои записи система здравоохранения практически здоров, несмотря на постоянные проблемы, связанные с управлением рисками кибербезопасности.

В ходе ревизии [в формате PDF] в реализации электронных медицинских записей, распространенном в понедельник, Австралийского национального аудита (ANAO) говорит, что планирование и поставка системы были “в значительной степени эффективными”.

Это включает в себя подготовку к переключатель для отказа от модели, которая состоялась в этом году после длительного отказа период свыше 2,5 миллиона австралийцев предпочитают не иметь запись.

“В моей медицинской экспансии отказаться модель была реализована в соответствии с утвержденным бизнес-кейсов и плана осуществления,” аудит государства.

Сказал ANAO информационная безопасность и риски конфиденциальности, чтобы система ядро инфраструктуры “в основном хорошо управляется”, с австралийским сигналы управления по тому восемь кибер смягчения стратегий.

Основным инфраструктура включает в себя программное обеспечение, оборудование и интерфейсы управляется компанией Accenture, которая провела национальный оператор инфраструктуры (НИО) по контракту с 2011 года.

Однако, удовлетворяя базовые требования безопасности правительства кибер, 15 из 413 информационной безопасности руководство (ИСМ) охраны Управления еще не реализованы.

И это несмотря на правительственные расходы, превышающие 1,5 миллиарда долларов на мою Запись Схема здоровья с 2011 года, когда она известна, как лично контролируемой электронной медицинской карте (PCEHR).

“Байрам механизмов управления рисками информационной безопасности с НИО для базовой инфраструктуры основываются на четко определенные роли и обязанности описаны в договоре НИО” аудит государства.

“В то время как договор требует НИО в соответствии с PSPF и ИСМ, Это изначально не в результате основной инфраструктуры, что выполнены все применимые элементы кибербезопасности изм.

“Дополнительные ассигнования были выделены в НИО внедрить улучшения безопасности и увеличения числа элементов управления кибербезопасности ИСМ для основной инфраструктуры”.

Ревизия отметила, что с, по крайней мере, 2017, Согласно последней оценке безопасности МРПД.

Управление Адха риск также был найден, чтобы быть в курсе по несколько оценок рисков конфиденциальности, проведенных за последние восемь лет, хотя ни один не был завершен, поскольку переключатель отказаться.

И это несмотря на Адха оплатой Австралийского управления информационной комиссии 3,6 миллиона долларов, чтобы завершить по крайней мере четыре оценки конфиденциальность между октября 2017 года и июне 2019 года.

Не так хорошо

В то время как базовая инфраструктура рисков кибербезопасности, были “вполне приемлемыми”, то же самое не может быть сказано для управления рисками информационной безопасности, в частности тех, которые касаются программного обеспечения сторонних поставщиков.

“Управление рисками информационной безопасности не подходит и должна быть улучшена в отношении рисков, которые являются общими со сторонними поставщиками программного обеспечения и поставщик медицинских организаций,” аудит государства.

В ходе проверки будет выявлено Адха отклоненный ранее 2016 конец-в-конец обзора рекомендацией о безопасности, поставщиков услуг, как для поставщиков программного обеспечения клинических систем аккредитации на том основании, что это создаст “дополнительную нагрузку с поставщиками и [] потенциальный ущерб репутации”

Рекомендации в последней оценки безопасности МПОСД в 2017 году также рекомендовал “соответствие ИСМ следует рассматривать как минимально приемлемый уровень для моей системы здравоохранения”.

“Решение не оценить, аттестовать или аккредитовать изм соответствия третьей стороной программного обеспечения и систем — в соответствии с требованиями PSPF [защитный политике безопасности основы]— Адха общества по обеспечению по информационной безопасности риски для моего здоровья, запись системы,” аудит государства.

“Оценка ИСМ, сертификация и аккредитация подход позволит обеспечить жесткую систему Адха понимать и управлять рисками информационной безопасности от стороннего программного обеспечения, но любой процесс контроля должен быть сбалансирован в отношении препятствий к регистрации и использованию системы”.

В ANAO также оценки Адха доли рисков информационной безопасности в значительной степени ориентирована на “последствия для самого Адха и техническими средствами ИКТ и процедуры защиты ключевой инфраструктуры”.

В ANAO рекомендует “основы обеспечения для стороннего программного обеспечения, подключившись к записи система здоровья” будет разработан, хотя Адха предложил такие рамки уже на месте.

“Существует основа обеспечения для систем (включая клинические программного обеспечения и мобильных приложений) подключения к услуге медицинские идентификаторы и мое здоровье записи системы, включая процессы для подтверждения соответствия”, – указало агентство.

“Агентство будет пересматривать стандарты, которые применяются для этих систем, и приведение в соответствие с информацией руководство по безопасности. Мы будем работать с промышленностью, чтобы обновить систему обеспечения как необходимых”.

Адха также было предложено “разработать стратегию по контролю за соблюдением законодательно установленных требований безопасности зарегистрированных организаций врача”.

Аудит также рекомендовала управлению рисками информационной безопасности Совета Адха быть усилены с отводится лишь четыре специальные брифинги, кибер-безопасности в период с июля 2016 года и февраль 2019 года.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here