按照《健康保险便利及责任性法案》（HIPAA）的要求，要加强对存储信息的访问管理及保护，并确保数据的可用性，这给医疗组织的IT人员施加了极大压力，但同时也有助于确定未来几年的发展策略。

　　HIPAA可以让IT人员知道对医疗组织极其有利的非常好的实践，人们尤其关注的一个话题就是如何安全地访问存储信息。考虑到HIPAA主要着眼于存储及处理受保护健康信息（PHI），所以，确保你所存储的数据尽可能安全是至关重要的。医疗组织的CIO通常关注三个重要方面: 身份和访问管理、灾难恢复规划和智能卡。

　　问题一: 身份和访问管理
　　身份和访问管理是一个含义广泛的术语，它指这样的系统或者解决方案: 能够识别网络上用户的身份，然后通过把用户的权限、验证、授权和限制与已明确的身份联系起来，从而控制他们对网络资源的访问。
　　此类解决方案通常结合多项技术，如果是多个医疗机构，身份管理的范围可能会扩大到防火墙外面，包括联合身份管理。这项技术的组成部分如下:
　　1．密码重置。这项功能让用户可以更改各自的密码，往往借助基于Web浏览器和电子邮件的功能。独立的密码重置解决方案也可以与求助台软件进行集成，自动生成、开设及撤销密码重置请求。虽然价格有所不同，但每个用户的成本通常在10～20美元。
　　2．密码同步。这项功能让员工只要使用一个密码，即可访问所有应用系统。密码更改后，其他所有系统的密码也都同时更改。用户通常需要逐个登录每个系统，但他们只要记住一个用户名和密码。如果单独购买，这项技术的费用为每个用户10～30美元，具体价格还取决于购买量。
　　3．单次登录（SSO）。不像密码同步，基于SSO的解决方案让用户只要登录一次，就可以访问所有应用和系统，而不是逐个登录。这项技术通常比密码同步技术更昂贵、更复杂，对系统的影响也更大。如果把它从整个身份管理套件中单独拿出来，这种产品的起价约为每个用户80美元。
　　4．密码策略执行。许多系统还提供可以自动执行多个密码策略的模块，包括密码长度、可接受的字符及密码历史，并确保这些策略与其他策略或者应用需求没有冲突。