由于 HIPAA 法律日益严格,以及人们普遍需要更好地控制与健康相关的信息,我的组织目前正在努力提高数据和网络安全性。我们是一家非营利性组织,致力于帮助发育障碍人士,因此我们处理大量与医疗相关的信息。
被确定为存在风险的一个领域是我们使用智能手机,特别是目前 T-Mobile 生产的 Windows Mobile 6.1 设备。
我们不使用手机上的 VPN,因此他们无法访问我们的数据库或文件服务器(VPN 的用户名/密码不是域登录名)。但是,特定用户的电子邮件帐户可能会被暴露,因为您可以提取用户名/密码并在设备或我们的网络电子邮件(Exchange 2003)上访问电子邮件,其中可能包含受 HIPAA 保护的有关客户和服务的机密信息,这将是必须报告的事件。
哪些资源或想法可以帮助我们保护这些设备?我并不担心数据拦截(使用 SSL),而是更担心设备被盗或丢失。是否有我尚未找到的包含指南和建议或特定产品的网站可以帮助保护我们?
我也不想将讨论限制在 Windows Mobile 上。我自己正在研究一款 Android 2.0 设备,并且我们最终可能会被迫启用 VPN。
我知道这个问题可能没有任何特别正确的答案,而且我们都应该意识到这一点,因为这些设备大多数时候都不在我们的直接控制范围内。