美国商务部国家标准与技术研究院(NIST)发布最新指南,帮助企业提高移动设备使用的安全性,越来越多的员工开始使用智能手机和平板电脑等移动设备工作。此《审查移动应用安全(Vetting the Security of Mobile Applications)》为评估与包括医疗保健在内的各行各业的移动应用程序相关的安全和隐私风险提供了建议,并且包括内部开发的应用程序或从移动应用程序商店下载的应用程序。NIST计算机科学家TomKarygiannis表示,对于医疗机构而言,该指南可以帮助他们使用移动应用程序安全地访问或收集患者信息:“患者可能想知道个人医疗监控应用程序收集并与第三方共享的个人数据类型。”数据类型。访问和收集患者医疗数据的医生、药剂师、护士、管理人员和保险公司都有责任保护这些数据并仅与授权方共享。”该指南适用于从应用商店下载的应用。应用程序、为内部使用而开发的程序、由医疗保健提供者开发并向公众提供的程序。Karygiannis警告说,该应用程序中的安全漏洞可能会暴露医疗保健提供商的IT资源以及患者的个人身份信息。NIST指出,智能手机和平板电脑用户可以访问他们可以安装的大量程序(所谓的移动应用程序)以让他们的生活更轻松,但下载不安全应用程序的员工可能会无意中危及他或她的业务。的计算机网络面临安全和隐私风险。该指南还帮助开发人员了解在应用软件开发周期中可能出现的漏洞类型。该指南提供有关部署审查过程的指导,以及制定应用程序安全要求的注意事项。它还描述了应用程序漏洞的类型、用于检测它们的测试方法以及确定应用程序是否可以在企业中使用的指南。“指导文件说,每个企业都有不同的使命,可以接受不同程度的风险。例如,应该首先处理危及生命的情况,这可能使安全成为次要问题,但与此同时,他们正在处理需要小心保护的非常敏感的患者信息,”Karygiannis说。“军事人员有类似的考虑,他们可能需要保护战术信息,而不是患者信息。”可以使用一些额外的安全技术来帮助他们减轻任何潜在风险。“这份指导文件的目的是帮助企业决定是否应该使用某个应用程序,”Karygiannis说。“我们还评估了大多数商业自动化移动应用程序测试工具,以确保我们推荐的测试可以自动化和方式进行,因为大多数组织可能不具备评估移动应用程序风险的内部专业知识。”
