III-1F披标准,以增加第三级管制:临床研究数据

概观

1.0版
最后修订日期:2011年11月18日
批准日期:2012年6月11日
审批权限:永利棋牌游戏app下载首席信息安全官

目的

作为企业级信息保护风险缓解动作,永利棋牌游戏app下载的信息安全标准的临床研究数据涉及患者资料,通常被称为电子个人健康信息(EPHI)的处理规定。永利棋牌游戏app下载永利棋牌游戏是一 混合实体 而不是一个标准所涉及的实体,因此,大学的部分是不受完全健康信息的隐私性和便携性法案(HIPAA)的监管规定。然而,永利棋牌游戏app下载永利棋牌游戏认识到收集用于研究目的的患者数据的隐私保护的需求。这些安全控制被定义为保护临床研究系统的当前状态,在确认该大学将临床研究数据移动到FISMA控制的研究环境。

范围

此过程的信息保护适用于将识别的患者数据或EPHI存储或处理的临床研究相关信息和信息技术系统。理事机构审查委员会(IRB)有人类受试者的研究进行监督,而这些控件旨在应对的IRB和数据丢失或泄露的风险减轻强加的任何隐私要求。这些控件旨在补充 第三级信息安全控制。

大学操作,其中覆盖实体的地位也可适用将受到HIPAA法规,这进一步增加这些标准。

消除

这个临时政策将在一个新的一套基于FISMA的信息安全控制的被合并,并在完成更广泛的努力时,这个文件将被取消。

过程语句

一般

此过程概述必要为所有注册的主机,其处理,存储或传输的基本控制 限制信息 永利棋牌游戏它的系统。因为EPHI被认为是机密性高的影响,因为限制这样的数据进行分类。

程序

这些控制是除了被施加到列Case Western Reserve大学 公开信息仅供内部使用 控制。他们是不全面适用于大学环境中的所有安全控制。

行政控制

  1. HIPAA隐私/安全培训。 参与临床研究涉及人类受试者的所有工作人员必须完成以下几个方面的一些培训:
    1. 强制性培训
      1. 年度调查的HIPAA隐私和安全标准适用从IRB赞助医院(如大学附属医院,克利夫兰诊所,地铁运行状况,或退伍军人管理局)
      2. 下一次安全意识培训 花旗培训计划 对健康信息的隐私和安全(HIPS)。
      3. 系统管理员为根据认证 受限信息的控制。
      4. 永利棋牌游戏app下载提供的安全意识培训。这是通过CWRU确保人类门户来完成(见师资培训 申请表)
    2. 可选训练
      1. 从花旗集团计划每年复习培训,授权由特定的研究合同。
      2. 对于美国国立卫生研究院资助的研究合同,美国国立卫生研究院 保护人类研究参与者” 基于Web的培训课程,可能还需要。
  2. 背景调查。一些研究项目可能需要能够访问EPHI的所有人员广泛的背景调查。这些都是通过在员工关系得到 人力资源永利棋牌游戏app下载部。
  3. 信息系统审计。 确保信息不会存储在未经授权的系统,研究组应使用学校提供的身份取景器产品找移动,桌面上识别的数据,以及基于服务器的资源。
    1. 一旦确定的数据中发现,他们要被保护的,删除或正确的去认定。
    2. 身份取景器将被用于支持管理临床研究型大学计算系统的库存。
      1. 任何丢失的设备或数据必须上报永利棋牌游戏app下载帮助台(help.case.edu)在24小时损失的范围内,以确保及时的事件响应。
  4. IRB批准。 从医院临床系统为研究目的获取的数据的管理必须经批准的机构审查委员会(IRB)协议下进行。
    1. 寻址安全风险的信息系统安全计划(ISSP)可以由IRB是必需的。该ISSP要求在大学的概述 限制信息控制
    2. 隐私影响评估。
    3. 当所有必要的控制得到充分解决,审批操作可以由在信息安全办公室的建议,IRB被授予。
    4. 当IRB协议停止,随着研究相关联的所有EPHI应当存档,然后从根据工作系统吹扫 标准程序 和保护披露。补充规定必须作出存档研究数据移动到适当保护和管理环境。

技术控制

  1. 使用个人拥有的设备。 在研究环境中使用的所有EPHI只应存储或维持在大学拥有或获得许可的系统。没有个人拥有的设备(如个人笔记本电脑,平板电脑,智能手机等)将用于存储,管理,或传输EPHI。
  2. 加密。 授权EPHI系统管理的所有非服务器系统应具有用于防止意外泄露保护内部数据的执行标准加密大学公用事业。
    1. 台式机和移动计算机(笔记本电脑标准)上运行Windows或者MacOS不得使用该大学的管理PGP全磁盘加密工具来保护本地数据。
    2. Linux桌面操作系统,应使用标准的磁盘加密方法。标准包括使用希捷Momentus FDE硬盘驱动器(适用于笔记本电脑和台式电脑用BIOS)。
      1. 使用软件全磁盘加密的选项将根据具体情况逐案予以解决。
      2. 在所有的情况下,学校将保留所有的逻辑钥匙,密码短语的制度性控制,并通过Case Western Reserve大学的信息安全办公室访问加密数据。
    3. 移动数据(USB密钥驱动器)应使用标准大学加密的USB驱动器。
      1. 在储存和使用EPHI的,PGP是需要整盘加密。如果必要的话,PGP可以被用于加密在USB装置的文件夹。
      2. 其中,由机构审查委员会,保证接触 security@case.edu 更多帮助。
    4. 受限制的数据,包括EPHI,通过明文电子邮件的通信被禁止。利用端至端的加密方法的通信应当用于限制数据。
    5. 用户从使用移动系统(例如智能电话,平板电脑),以存储和处理限制数据气馁。如果需要的话,移动通信系统应当采用合适的加密技术来保护从丢失或泄露存储受限数据。
  3. 电子邮件。按照永利棋牌游戏app下载的公共信息控制,电子邮件系统从传送识别病人的数据没有充分执行这些保护措施之一禁止:
      1. 文件加密(例如,使用PGP)在全端至端的加密方法(不对称密钥加密)来实现。
      2. 邮件正文和附件的数字证书的加密(例如S / MIME)。
      3. 位于合作医院永利棋牌游戏app下载的人员将被鼓励使用本地(非永利棋牌游戏app下载)的电子邮件系统用于临床。

物理控制

  1. 研究数据存储库。 用于识别患者数据的研究数据仓库应在两集中管理的Case Western Reserve大学的数据中心之一主办。
      1. 适当的迁移计划的数据中心必须列入限制信息ISSP(安全计划)。
      2. 满足强访问控制基于云的选项可能在逐案基础上允许的。
  2. 设备的访问。 所有的服务器资源,处理,存储和管理限制信息应在设施托管,允许审计能够物理访问控制,将通过保护限制的信息:
      1. 这限制访问最低限度的基本人员的物理访问控制。
      2. 数据中心特定的防火墙的网络过滤。
      3. 入侵防御系统。
      4. 主机漏洞管理。
      5. 适当的环境控制,例如冷却,湿度控制。
      6. 电力需求和应急不间断电源。

责任

CWRU终端用户:保证控制基于CWRU信息类别执行。

永利棋牌游戏app下载[U]高科技信息安全人员:监控安全风险的持续的基础上,并定期更新根据不断变化的安全威胁情况下的程序管制。

永利棋牌游戏app下载注册系统的业主:确保一线控制应用适用。采取合理的步骤,从公共信息系统除去仅供内部使用,限制信息的数据。

主要调查:确保适当的安全控制措施。

定义

主持人:利用网络服务的任何网络能力的设备。主机可以是个人计算机,网络设备,服务器资源,打印机,扫描仪,复印机等。
覆盖实体:健康计划,保健票据交换所,或谁在与由该子章[例如,HIPAA管理简化交易标准]覆盖的交易有关的电子形式的任何健康信息发送健康护理提供者。
EPHI:电子的个人健康信息
FISMA:联邦信息安全管理ACT-安全控制对采用美国联邦政府的机构和承包商信息的框架。
HIPAA:健康保险便携性和可用性的行为
HITECH法案:医疗信息技术对经济和临床健康法案
IRB:机构审查委员会
NIH:国家卫生研究院
PGP:相当不错的保密性和加密产品由赛门铁克公司大学的许可。
系统:一个单一的或一组计算机,笔记本电脑,平板电脑,数据存储介质,或服务器资源,包括硬件,操作系统软件和应用软件,其中包含的研究数据。

标准复审周期

这个过程将每年检讨,直至取消。