提升医疗行业供应商安全的创新方法

关键要点

• Health3PT倡导采用“营养标签”模式，确保小型医疗机构能够验证供应商的安全措施。
• 新成立的20家领先医疗系统合作，旨在缩小在医疗健康领域的资源差距。
• 计划推出标准化的供应商风险管理模式，帮助医疗机构应对来自第三方的风险。

在过去一年中，越来越多的人开始关注医疗行业中“拥有者”和“非拥有者”之间的差距，尤其是由于这两者之间不断扩大的鸿沟所引发的关注。20家领先的医疗系统的新合作希望通过他们的经验和市场份额来弥补这一差距，同时应对日益增长的第三方供应商风险。

1月11日，“健康第三方信任联盟”（Health3PT）宣布致力于提供可靠的保障模型，并引入标准和自动化工作流程来解决医疗行业持续存在的供应商管理挑战。

该小组由20家领先医疗提供机构、医疗系统、保险公司以及医疗服务组织的安全和风险高管组成，包括UPMC、CenturaHealth、纪念斯隆凯特林癌症中心（Memorial Sloan Kettering Cancer Center）、高马健康（HighmarkHealth）、塔夫茨医疗（Tufts Medicine）、人寿保险（Humana）和沃尔格林（Walgreens）等众多知名机构。

虽然行业内已有多个项目在解决复杂的特定挑战，但利益相关者们在与SC媒体的交流中表示，任何对这些紧迫的患者安全问题给予的额外关注都将受到热烈欢迎。

为了启动他们的合作，Health3PT计划创建一系列有效管理供应商风险的共同实践，包括方法论和工具，以及立法和监管要求。Health3PT将在不久的将来发布有关第三方风险指标的报告，阐述该领域中供应商面临的挑战。

“如果我们能够持续推动行业发展，改变这些第三方在商业运作及安全实践方面的行为，对所有那些没有足够技术或财务资源的小型提供商来说都是一种福利。”
UPMC的首席信息安全官约翰·休斯顿（John Houston）表示。

正如SC媒体所报道的，供应商导致了去年的多起重大医疗数据泄露事件，涉及近2500万位患者记录，而更大的担忧在于当供应链合作伙伴出现问题时，患者安全风险随之增加。

这些网络事件不仅发生在缺乏安全人员或资源的医疗护理地点，甚至连技术装备良好的医疗系统也在解决供应商风险方面面临挑战。

以UPMC为例，这是一个拥有240亿美元收入、在40家医院和800个门诊临床机构中雇佣92,000名员工的非营利医疗系统。休斯顿向SC媒体确认，UPMC的安全团队大约有120名成员，拥有“非常成熟的安全计划”。

尽管UPMC拥有丰富的人员和资源，所有的安全事件与第三方，尤其是那些有权限访问或管理云端数据和服务的供应商相关。随着云计算在行业中的迅速普及，许多提供的服务也仅在云端可用，这使得风险进一步加大。

“我无法选择说，‘哦，我在运行我的数据中心，我可以在云端运行它，’”休斯顿说道。“不，这些是我们组织用来提供医疗服务的云服务。”

休斯顿强调，这同样的供应商群体正在造成“最大的损失或风险”，这一点也因供应商数量的不断增加而愈加严重，“这不是潜在风险，而是显在风险，我们一直在看到泄露事件发生。”

休斯顿并不是孤军奋战，Highmark Health首席信息安全官奥马尔·卡瓦贾（OmarKhawaja）、塔夫茨医疗的首席信息安全官布莱恩·卡耶尔（BrianCayer）和纪念斯隆凯特林癌症中心的治理、风险与项目管理首席技术项目经理奥马尔·桑古里马（Omar Sangurima）也表达了相似的看法。

休斯顿形象地说明：“在座的我们，每个人……大概都有每一份健康数据的一个副本在云端，甚至多个副本。因此并不是这只是一个有限的问题。”
这种转变导致各组织完全依赖这些远程服务和云端服务来提供患者护理，未来这种依赖性只会加剧