外媒 | Health3PT推荐第三方风险管理的修复方法

健康3rd Party Trust Initiative是由HITRUST和CORL等医疗保健和安全组织组成的，他们在新的第三方风险管理蓝图中提供了一些推荐的最佳实践。

该组织表示，这些实践将帮助医疗机构满足国家保健信息隐私和安全规则中的满意保证要求。同时，当第三方数据泄露时，它们还可以帮助被保护实体获得减轻监管罚款的资格。

健康3PT表示，过去一年中有55%的医疗机构经历过第三方数据泄露，其中包括供应商相关的安全事件以及业务伙伴对受保护的健康信息和个人身份信息的违规使用。

健康3PT在2023年4月至6月之间进行的调查中，参与调查的被保护实体和供应商表示，TPRM审核过程存在固有缺陷。调查显示，59个被保护实体和128个业务伙伴的TPRM方法已经过时，导致“风险管理结果不一致且不清晰”。

供应商因为收到大量医疗机构的专有安全问卷而感到疲惫不堪，而被保护实体则因其有限的IT资源而难以跟上收到的回复量。

在TPRM过程的诸多负担和不足之中，不适当地评估合作伙伴会给组织带来巨大的风险。

UPMC的首席信息安全官John Houston表示，调查结果凸显了这个行业所面临的问题。对于那些完全由第三方造成的众多违规行为，“最终结果是提供者经常承担全部责任。”

Houston上周告诉《医疗信息技术新闻》，第三方正在变得“越来越坚定地在合同中限制其责任”，以避免在他们的系统或第四方工具（如Fortra的Go Anywhere）导致患者数据泄露时承担责任。

健康3PT的推荐实践和实施指南旨在为TPRM生态系统创建标准，并通过标准化验证保证机制来增加信任，而不是使用一次性的自我认证问卷。

为了进一步提高双方的效率和有效性，健康3PT还建议通过电子方式共享评估结果，并通过持续监测和纠正来推动不断的安全改进。

健康3PT最佳实践指南中涉及的六个推荐实践是：

- 简明的合同语言将财务条款与供应商的透明度联系起来

- 对业务伙伴进行全面的背景调查

- 根据合作伙伴的风险水平制定合适的风险控制策略

- 建立第三方风险管理计划

- 确保第三方合规并与其签署合同

- 对第三方进行监测和审计，确保其符合安全标准

版权声明 本网站所有注明“来源：普瑞纯证”或“来源：pureFDA”的文字、图片和音视频资料，版权均属于普瑞纯证网站所有。非经授权，任何媒体、网站或个人不得转载，否则将追究法律责任。取得书面授权转载时，须注明“来源：普瑞纯证”。其它来源的文章系转载文章，本网所有转载文章系出于传递更多信息之目的，转载内容不代表本站立场。