인증과 권한 부여의 차이점은 무엇입니까?

인증은 사용자가 누구인지 확인하는 과정이며(예: 비밀번호와 두 번째 요소를 확인하여), 권한 부여는 확인된 사용자가 무엇을 할 수 있는지 결정합니다. 인증이 먼저 이루어지며, 권한 부여는 그 이후의 행동을 관리합니다.

역할 기반 접근 통제가 건강 IT에서 흔히 사용되는 이유는 무엇입니까?

임상 작업은 정의된 역할을 중심으로 조직되므로, 권한을 역할에 할당하고 역할을 사람에게 할당하는 것이 각 사용자의 접근 권한을 개별적으로 관리하는 것보다 확장성이 좋습니다. 또한 최소 권한 원칙을 지원하여 각 역할에 해당 기능에 필요한 접근 권한만 부여합니다.

건강 IT 분야의 인증, 권한 부여 및 접근 통제

인증, 권한 부여 및 접근 통제는 누가 건강 정보에 접근할 수 있고 무엇을 할 수 있는지 결정하는 기술적 보호 장치입니다. 인증은 사용자(또는 시스템)가 주장하는 신원과 일치하는지 확인하며, 권한 부여는 인증된 사용자가 수행할 수 있는 작업을 결정하고, 접근 통제는 데이터 및 기능이 요청될 때 이러한 권한을 강제합니다. 이들은 건강 정보 시스템에서 기밀성과 무결성을 지키는 최전선에 있습니다.

PaperMind(으)로 주제 찾기곧 제공Find papers & topics

Tools & resources

슬라이드 다운로드

Learn & explore

동영상곧 제공

Definition

인증은 주장된 신원을 확인하는 과정이며, 권한 부여는 확인된 신원이 허용되는 행동과 자원을 결정하는 과정입니다. 접근 통제는 보호된 자원에 대한 특정 작업을 허용하거나 거부함으로써 권한 부여 결정을 강제하는 메커니즘입니다.

Scope

이 항목은 인증과 권한 부여의 차이점, 일반적인 인증 요소 및 다단계 인증의 역할, 그리고 전자 건강 기록 및 기타 임상 시스템에 적용되는 접근 통제의 주요 모델, 특히 역할 기반 접근 통제 및 그 확장 개념을 설명합니다. 또한 접근 제한과 임상 워크플로우 지원 사이의 긴장 관계에 대해서도 다룹니다. 이는 개념에 대한 참고 자료이며, 특정 시스템에 대한 구현 가이드나 보안 구성 지침이 아닙니다.

Core questions

시스템은 사용자가 주장하는 신원과 일치하는지 어떻게 확인합니까?
사용자가 과도한 접근 권한 없이 자신의 업무를 수행할 수 있도록 권한은 어떻게 구성됩니까?
접근 결정을 조직화하는 데 어떤 모델이 존재하며, 이들은 어떻게 다릅니까?
접근 통제는 보안과 임상 워크플로우 요구 사항을 모두 어떻게 존중할 수 있습니까?
환자는 자신의 기록에 대한 접근을 통제하는 데 어떤 역할을 합니까?

Key concepts

인증 대 권한 부여
인증 요소 (지식, 소유, 고유 특성)
다단계 인증
역할 기반 접근 통제 (RBAC)
최소 권한 및 직무 분리
속성 기반 및 컨텍스트 인식 접근 통제
비상 시 'break-the-glass' 접근
세부적인, 환자 주도 접근 선호도

Mechanisms

접근 결정은 여러 단계를 거쳐 진행됩니다. 인증은 먼저 하나 이상의 요소를 사용하여 요청을 신원에 연결합니다. 이러한 요소에는 사용자가 아는 것(비밀번호), 소유한 것(토큰 또는 장치), 또는 사용자의 고유한 특성(생체 인식)이 포함될 수 있습니다. 여러 요소를 결합하면 다단계 인증이 되며, 이는 비밀번호 단독 사용보다 자격 증명 도용에 더 효과적으로 저항합니다. 일단 인증되면, 권한 부여는 허용된 작업을 결정합니다. 역할 기반 접근 통제는 권한을 역할에 할당하고 역할을 사용자에게 할당함으로써 이를 조직화합니다. 따라서 임상의는 개별적으로 관리되는 권한을 받는 대신 자신의 기능에 적합한 접근 권한을 상속받게 됩니다. 이는 최소 권한 원칙과 자연스럽게 일치하며 대규모 조직에서 관리를 용이하게 합니다(Sandhu et al., 1996; Ferraiolo et al., 2001). 확장된 개념은 속성 및 컨텍스트(예: 환자와의 관계 또는 접근 시간)를 추가하며, 비상 시 'break-the-glass' 조항은 강화된 로깅과 함께 통제된 재정의를 허용합니다. 환자 스스로는 자신의 기록 중 특정 부분에 누가 접근할 수 있는지에 대해 세부적인 통제를 행사하기를 원할 수 있으며, 이는 접근 정책에 또 다른 차원을 추가합니다(Caine & Hanania, 2013). HIPAA 보안 규칙의 기술적 보호 장치는 전자 보호 건강 정보에 대한 접근 통제 및 관련 통제를 요구합니다(HHS OCR, 2013).

Clinical relevance

잘 설계된 접근 통제는 기밀성을 보호하면서도 진료팀이 필요한 정보에 접근할 수 있도록 합니다. 부실하게 설계된 통제는 데이터를 노출시키거나 임상 작업을 방해하여 안전하지 않은 우회 방법을 유발할 수 있습니다. 환자들이 자신의 기록에 대한 세부적인 통제를 원한다는 증거는 시스템이 보호와 자율성 사이의 균형을 어떻게 맞추는지에 영향을 미칩니다(Caine & Hanania, 2013). 이 항목은 참고 및 교육을 위한 개념을 설명하며, 특정 시스템에 대한 구성 또는 보안 가이드가 아닙니다.

Evidence & guidelines

역할 기반 접근 통제의 개념적 기초는 선구적인 모델 논문(Sandhu et al., 1996)에 제시되어 있으며, 제안된 NIST 표준(Ferraiolo et al., 2001)에 성문화되어 있습니다. HIPAA 보안 규칙의 기술적 보호 장치는 전자 보호 건강 정보에 대한 접근 통제, 감사 통제, 무결성 보호, 개인 또는 개체 인증 및 전송 보안을 요구합니다(HHS OCR, 2013). 특정 통제 요구사항은 조직의 위험 분석 및 현재 공식 표준에 따라 달라집니다.

History

초기 컴퓨터 시스템은 단순한 재량적 및 강제적 접근 통제 모델에 의존했습니다. 역할 기반 접근 통제는 1990년대에 대규모 조직을 위한 보다 관리하기 쉬운 접근 방식으로 등장했으며, Sandhu와 동료들(1996)의 영향력 있는 모델에서 공식화되었고 나중에 NIST 표준으로 제안되었습니다(Ferraiolo et al., 2001). 의료 분야에서의 채택은 임상 역할이 역할 기반 권한에 자연스럽게 매핑되기 때문에 이루어졌으며, 이 접근 방식은 이후 임상 접근의 미묘한 차이를 처리하기 위해 속성 및 컨텍스트 인식 메커니즘으로 확장되었습니다.

Debates

환자의 기록 접근 통제는 얼마나 세부적이어야 하는가?: 설문 조사 결과에 따르면 환자들은 자신의 전자 기록 중 특정 부분에 누가 접근할 수 있는지에 대해 세부적인 통제를 원하는 경우가 많지만, 이러한 세부적인 통제를 구현하는 것은 임상 접근 및 진료 조정을 복잡하게 만들 수 있어 자율성과 유용성 사이의 설계적 긴장을 야기합니다.

Seminal works

sandhu-1996
ferraiolo-2001

Frequently asked questions

인증과 권한 부여의 차이점은 무엇입니까?: 인증은 사용자가 누구인지 확인하는 과정이며(예: 비밀번호와 두 번째 요소를 확인하여), 권한 부여는 확인된 사용자가 무엇을 할 수 있는지 결정합니다. 인증이 먼저 이루어지며, 권한 부여는 그 이후의 행동을 관리합니다.
역할 기반 접근 통제가 건강 IT에서 흔히 사용되는 이유는 무엇입니까?: 임상 작업은 정의된 역할을 중심으로 조직되므로, 권한을 역할에 할당하고 역할을 사람에게 할당하는 것이 각 사용자의 접근 권한을 개별적으로 관리하는 것보다 확장성이 좋습니다. 또한 최소 권한 원칙을 지원하여 각 역할에 해당 기능에 필요한 접근 권한만 부여합니다.