分享醫療數據(包括患者數據)的機密性和完整性等高保護目標要求信息安全的最高標準,不僅是自GDPR生效以來。雖然經典的防火牆技術在網絡級別提供了良好的保護,但在更高級別的web應用程序必須能夠承受一整套攻擊場景。此外,必須將用戶和製造商整合到一個全麵的安全概念中。
使用OWASP確保IT安全的高標準
類似的標準和方法被應用於醫療保健部門的web應用程序的IT安全,就像它們被應用於金融部門的web應用程序一樣。該行業用於分析和實現的核心工具是開放Web應用程序安全項目(OWASP)的安全指南,它涵蓋了對最常見威脅的評估,並提供了針對這些威脅的有效保護措施。OWASP的web應用程序設計標準提供了一份非常全麵的設計和編碼指南清單,這些指南應該在安全web應用程序的實現中得到一致的應用。
通過滲透測試提高安全性
在滲透測試中,要對IT係統或網絡進行全麵檢查,以評估應用程序的脆弱性。滲透測試采用的技術和方法是真正的攻擊者會使用的。
滲透測試的目的
滲透測試可以識別係統的弱點,發現由於不正確操作造成的潛在錯誤,並在技術和組織層麵提高安全性。作為OWASP設計和編碼指南的補充,滲透測試的目標是揭示應用程序中的安全漏洞。滲透測試理想情況下是由外部信息安全專家公司進行的,該公司對經過驗證的IT安全性進行認證。
信息安全管理體係符合ISO-27001要求
信息安全管理係統確保了數據的機密性、完整性和可用性等保護目標的實現,因此是醫療保健部門IT供應商有效數據保護的核心支柱。
medavis例如,根據國際領先標準ISO-27001:2013,該公司在2020年10月成功審計了信息安全管理體係。該管理係統不僅涵蓋傳統的IT領域,而且涵蓋價值鏈的所有過程,特別是對客戶特別重要的軟件開發、項目實施和支持。在為期五天的ISO-27001審核中,medavis不僅能夠證明該標準在公司流程中的有效實施,而且通過自動化測試套件和滲透測試,證明了medavis軟件產品開發和IT係統運行的高水平的信息安全。Medavis的客戶可以完全依賴經過認證的製造商,以始終如一地執行公認標準的規則,這一事實使他們受益匪淺。ISO-27001認證理想地補充了ISO-9001(質量管理體係)和ISO-13485(醫療器械質量管理體係)標準,medavis已認證多年。
