美國商務部的美國國家標準與技術研究院(NIST)發布了最新指南，旨在幫助企業提高移動設備使用的安全性，越來越多的員工開始使用智能手機和平板電腦等移動設備來用于工作。

這個《審查移動應用安全(Vetting the Security of Mobile Applications)》為各行各業(包括醫療保健)提供了評估移動應用程序相關的安全和隱私風險的建議，同時包括內部開發或從移動應用商店下載的應用程序。

對于醫療機構，該指南可以幫助他們使用移動應用程序安全地訪問或收集患者信息，NIST計算機科學家Tom Karygiannis表示：“患者可能會想知道個人醫療監控應用程序收集的個人數據類型以及與第三方共享的數據類型。醫生、藥劑師、護士、管理人員和保險公司訪問和收集病人醫療數據時，都有責任保護這些數據，并且只能與授權方共享數據。”

該指南適用于從應用程序商店下載的應用程序、內部使用而開發的程序、醫療保健提供商開發并提供給公眾的程序。

Karygiannis警告說，應用程序中的安全漏洞可能會泄露醫療保健提供商的IT資源以及患者的個人身份信息。

NIST指出，智能手機和平板電腦用戶可以訪問大量可安裝的程序(即所謂的移動應用程序)，以讓他們的生活更便捷，但下載不安全應用程序的員工可能會無意中讓他或她企業的計算機網絡面臨安全和隱私風險。

該指南還可以幫助開發人員來了解在應用程序軟件開發周期內可能出現的漏洞類型。該指南提供了部署審查過程的指導，以及開發應用程序安全要求的注意事項。其中還描述了應用程序漏洞的類型，以及檢測漏洞所使用的測試方法，以及確定應用程序是否可以在企業使用的指導意見。

“該指導文件稱，每個企業都有不同的使命，可以接受不同程度的風險。例如，最應該先處理的是危及生命的情況，這可能讓安全問題變成次要問題，但與此同時，他們在處理需要小心保護的非常敏感的患者信息，”Karygiannis表示，“軍事人員也有類似的考慮，不是病人信息，他們可能需要保護戰術信息。”

辦公室工作人員可能需要訪問敏感信息，但他們也可以使用一些額外的安全技術來幫助他們緩解任何潛在的風險。

“該指導文件的目的是幫助企業決定是否應該或不應該使用應用程序，”Karygiannis表示，“我們還評估了大部分商業自動化移動應用測試工具，以確保我們推薦的測試可以以自動化和可重復的方式執行，因為大多數企業可能沒有內部專業人員來評估移動應用風險。”