远程患者监测平台迎来新的网络安全与隐私指南

针对远程患者监测（RPM）企业，现已发布关于网络安全与隐私合规的新指南。美国国家标准与技术研究院（NIST）下属的国家网络安全卓越中心（NCCoE）发布了 《保障远程医疗远程患者监测生态系统安全》。该实践指南为医疗机构和RPM软件开发商提供了示例架构，用于实施网络安全与隐私控制措施，并解决保障RPM生态系统安全过程中面临的挑战。该指南目前处于草案阶段，NIST将接受公众意见至2020年12月18日。

远程患者监测（RPM）服务因其便捷性、为患者和医疗提供者提供的经济实惠方案，以及医疗保险计划、联邦医疗保险和医疗补助计划对RPM报销范围的持续扩展，其受欢迎程度持续攀升。历史上，大多数RPM解决方案都部署在受控且规避网络风险的环境中，例如医院或医疗机构。 但随着云服务、网络与无线技术以及生物识别设备能力的进步，远程患者监测解决方案为临床团队提供了直接接触居家患者的新途径，有时甚至采用纯虚拟的直接面向患者服务模式。即使远程患者监测公司不受《健康保险流通与责任法案》约束，这些新型健康科技服务模式仍会引发不同的网络安全与隐私风险。负责任的远程患者监测软件开发商和技术驱动的服务提供商在部署相关产品时，必须充分理解并考虑网络安全问题。

网络安全与隐私在RPM服务及软件中的重要性

实施远程患者监测（RPM）解决方案通常涉及多方参与、多地部署及生物识别设备应用，这些因素均会增加医疗服务提供者和患者面临的网络安全与隐私风险。国家临床创新中心（NCCoE）构建了模拟测试环境，再现临床团队为居家患者提供RPM服务的场景。该模拟方案由远程医疗平台供应商提供，整合了云服务及患者与临床团队间的音视频会议功能，并采用商用网络安全技术实现。 患者接收的远程患者监测设备可自动采集生物体征数据，并自动传输患者与远程临床团队之间的通信信息。NCCoE依据《NIST SP 800-37修订版2：信息系统与组织风险管理框架》开展风险评估，该评估构成指南草案制定的基础。

新指南的关键要素

NCCoE指南为RPM企业家和软件开发者提供了实施网络安全与隐私控制措施及政策的规范化方法。该指南梳理了企业应遵循的行业特定标准与最佳实践（如HIPAA安全规则），具体包括：

• 识别并实施有助于提升组织风险意识的控制措施和政策。
• 实施适当的安全保障措施，确保患者与机构之间端到端的数据安全。
• 通过适当的安全控制措施（即安全事件管理工具）检测异常和安全事件，并执行安全持续监控。
• 响应并缓解安全事件与漏洞，以控制网络安全事件的影响。
• 在网络安全事件发生后恢复并重启正常运营。

最终，NCCoE指南为远程医疗公司和提供商提供了网络安全与隐私措施的路线图及最佳实践。与所有技术解决方案一样，应进行端到端风险评估，充分考虑组织或运营的具体特征、环境及差异性。我们将持续关注远程医疗和数字健康行业在网络安全与隐私问题上的任何规则变更或指导方针。

有关远程医疗、远程保健、虚拟护理、远程患者监护、数字健康和其他健康创新的更多信息，包括团队、出版物和代表经验，请访问Foley 的远程医疗和数字健康行业团队。