مكانيسم‌هاي امنيتي در سيستم‌هاي اطلاعات بيمارستاني بر اساس استاندارد امنيتي هيپا

Evaluating the Security Safeguards in Hospital Information System According to the Health Insurance Portability and Accountability Act of University Hospitals in Shiraz University of Medical Sciences,

مقدمه: يكي از ويژگي‌هاي اساسي سيستم اطلاعات بيمارستاني، حفظ محرمانگي مي‌باشد. تحقيقات نشان مي‌دهد كه در كشور ما الزامات امنيتي پرونده‌ي الكترونيك سلامت به طور كامل و دقيق به كار گرفته نمي‌شود. اين پژوهش با هدف تعيين درصد اعمال مكانيسم‌هاي حفاظتي استاندارد‌هاي امنيتي (Health insurance portability and accountability act يا HIPAA) در بيمارستان‌هاي منتخب آموزشي دانشگاه علوم پزشكي شيراز در سال 1389 انجام پذيرفت. روش بررسي: تحقيق حاضر از نوع توصيفي- مقطعي بود. جامعه‌ي پژوهش، بيمارستان‌هاي آموزشي دانشگاه علوم پزشكي شيراز مجهز به سيستم اطلاعات بيمارستاني بود. ابزار جمع‌آوري داده‌ها، چك ليستي بر اساس قانون استاندارد امنيتي HIPAA بود. روايي ابزار با روش روايي محتوي سنجيده شد. نحوه‌ي جمع‌آوري داده‌ها به صورت مصاحبه با مسوولين فن‌آوري اطلاعات بيمارستان‌هاي مورد مطالعه بود. تحليل داده‌هاي جمع‌آوري شده با استفاده از آمار توصيفي انجام شد. يافته‌ها: از هفت مورد مكانيسم حفاظتي مديريتي الزامي (تحليل خطر، مديريت خطر، خط‌مشي مجازات، بررسي فعاليت‌هاي سيستم اطلاعات، طرح پشتيبان داده‌ها، طرح بهبودي سانحه، طرح عمليات شيوه‌ي اورژانسي)، دو مورد مديريت خطر و طرح پشتيبان داده‌ها، به طور كامل در همه‌ي بيمارستان‌ها و دو مورد مكانيسم حفاظتي فيزيكي الزامي (منهدم كردن و استفاده‌ي مجدد از رسانه‌ها) در اكثر بيمارستان‌ها اعمال مي‌شد. از دو مورد مكانيسم فني الزامي، شناسايي كاربر واحد، به طور كامل و رويه‌ي دسترسي اورژانسي، تنها در يك بيمارستان‌ اعمال مي‌شد. نتيجه‌گيري: در جهت افزايش ميزان اعمال مكانيسم حفاظتي مديريتي الزامي، مي‌بايست برنامه‌ريزي اجرايي انجام گيرد. اعمال كامل مكانيسم‌هاي حفاظتي فيزيكي الزامي كه فاصله‌ي چنداني تا اجراي كامل آن در همه‌ي بيمارستان‌هاي تحت مطالعه وجود نداشت و مكانيسم حفاظتي فني الزامي، گام‌هاي مهمي در جهت ارتقاي سيستم امنيتي در نظام اطلاعات بيمارستان‌ها خواهد بود. واژه‌هاي كليدي: هيپا؛ سيستم‌هاي اطلاعات بيمارستاني؛ محرمانگي

Introduction: One of the main characteristics of a hospital information system (HIS) is confidentiality. Studies have shown that the security requirements on electronic health records are not fully met in Iran. This study was conducted to determine the percentage of HIPAA (health insurance portability and accountability act) security safeguard application in university hospitals of Shiraz University of Medical Sciences in 2010. Methods: This was a cross-sectional descriptive study. The study population included university hospitals of Shiraz University of Medical Sciences equipped with HIS. Data were collected by a checklist through interview with the IT authorities of the hospitals. The checklist was in accordance with HIPAA security standard rules. Tool validity was checked by the content validity method. Data were analyzed using descriptive statistics. Results: The risk management and data backup plan, two out of seven required administrative security safeguards (i.e. risk analysis, risk management, sanction policy, information system activity review, data backup plan, disaster recovery plan, and emergency mode operation plan), were fully applied in all the hospitals. Both of two required physical security safeguards, disposal and media reuse, were applied in the majority of the hospitals. Of the two required technical security safeguards, unique user identifications, and emergency access procedure were applied only in one of the hospitals. Conclusion: Operational planning must be implemented in order to increase the application of required administrative security safeguards. Full application of the required physical security safeguards, which are close to reach, and the required technical security safeguards could be the main steps in promoting security of the HIS. Keywords: Health Insurance Portability and Accountability Act; Hospital Information System; Confidentiality