來源：生策會編譯

美國國家標準與技術研究所（NIST）旗下的國家網絡安全卓越中心（National Cybersecurity Center of Excellence, NCCoE）本週發布了關於保障遠距醫療和遠端病人監測（Remote Patient Monitoring, RPM ）生態系統的最終指南。

據NCCoE稱，該指南主要在幫助識別與RPM架構相關的風險，並確保醫療機構與適當的遠距醫療平台供應商合作。

研究人員表示："雖然醫療服務組織沒有能力單方面管理和部署隱私和網絡安全控制，但他們仍有責任確保應用適當的控制和風險抵減。"

為了製定指導意見並展示企業如何加強彈性，NCCoE與產業夥伴合作，建立了一個實驗室環境（具體來說，就是建置一個以家用設備來捕捉病人生物識別數據所監控的環境）。

這些合作夥伴包括Accuhealth、思科、Inova、LogRhythm、MedCrypt、MedSec、Onclave Networks、Tenable、密西西比大學醫療中心和Vivify Health。

專家指出： "雖然NCCoE使用了一套商業產品來應對這一挑戰，但本指南並不認可這些特定的產品，也不保證符合任何監管舉措。"

他們補充提到："你的組織的資訊安全專家應該確定能與你的現有工具和資訊科技系統基礎設施最佳整合的產品。"

該實踐指南的操作假設是，提供服務的機構正在使用一個單獨的遠距醫療平台，該供應商管理著一個獨特的基礎設施、應用程式和一系列服務。

利用NIST風險管理框架、NIST網絡安全框架、NIST隱私框架和其他相關標準，NCCoE分析了RPM生態系統的風險因素，並確定了保障措施。

它概述了幾個潛在的安全漏洞，包括對健康相關資訊的欺詐性使用、病人診斷的中斷或不准確、流程的中斷和系統的中斷。

指導意見指出，雖然他們使用了以數據流量為基礎的生物識別設備，來解決了那些使用寬頻的設備，但未來的建設也可能實施電子健康記錄系統，從遠距醫療平台供應商那裡接收自動數據。  內容中寫道，未來的建設可能包括從RPM系統到EHR的直接資訊傳遞。

多年來，NIST一直在圍繞網絡安全和遠距醫療部署提供提示。 NIST IT安全專家Nakia Grayson是該指南的合著者，他在2021年4月受訪時提到，該機構開始這項工作是為了應對病人和供應商對虛擬照護需求的上升，特別是在COVID-19大流行的情況下。 如果沒有足夠的隱私和網絡安全措施，未經授權的用戶可能會暴露病人的敏感數據或破壞病人的監控系統。

NCCoE專家認為："病人的資料僅靠技術解決方案可能不足以維護外部環境的隱私和安全控制，該實踐指南指出，人員、流程和技術的應用是實施整體風險抵減策略的必要條件。

新聞來源：Health IT News