搜索讓世界變的簡(jiǎn)單

什么是 HIPAA 合規(guī)性？HIPAA 代表 1996 年健康保險(xiǎn)攜帶和責(zé)任法案。它的創(chuàng)建是為了使醫(yī)療信息流現(xiàn)代化，并指定組織應(yīng)如何保護(hù)個(gè)人健康信息（也稱為 PHI）。這些規(guī)則適用于處理敏感患者數(shù)據(jù)的任何人。

2013 年，HIPAA 規(guī)則擴(kuò)大到包括業(yè)務(wù)伙伴，包括那些可能代表醫(yī)療保健實(shí)體處理 PHI 的人員，例如軟件供應(yīng)商和符合 HIPAA 標(biāo)準(zhǔn)的托管公司。

HIPAA 旨在保護(hù)任何形式或媒介的個(gè)人身份信息 (PII)。許多人認(rèn)為這意味著社會(huì)安全號(hào)碼、姓名和駕駛執(zhí)照等數(shù)據(jù)，但它的范圍更廣，包括指紋、照片（面部或任何可以識(shí)別個(gè)人身份的任何東西）和聲紋等識(shí)別信息。

HIPAA 要求的簡(jiǎn)要概述

HIPAA 特別關(guān)注保護(hù)敏感的健康信息。HIPAA 合規(guī)性要求醫(yī)院和醫(yī)療保健組織遵循許多不同的規(guī)則來(lái)保護(hù)機(jī)密的患者信息：

• 隱私——患者有權(quán)對(duì)其受保護(hù)的健康信息 (PHI) 保密。PHI 可能包含有關(guān)診斷、預(yù)約和程序等敏感主題的各種信息。
• 安全性——組織必須保護(hù) PHI 免受未經(jīng)授權(quán)的使用和分發(fā)。一個(gè)常見(jiàn)的例子是病人的保險(xiǎn)信息。
• 執(zhí)法——保護(hù) PHI 的機(jī)構(gòu)應(yīng)始終實(shí)施安全協(xié)議，并在發(fā)生數(shù)據(jù)泄露時(shí)啟動(dòng)調(diào)查。實(shí)現(xiàn)這一目標(biāo)的最佳方法是創(chuàng)建并遵守?cái)?shù)據(jù)保護(hù)協(xié)議，并在發(fā)生攻擊時(shí)進(jìn)行全面審計(jì)。
• 違規(guī)通知——如果發(fā)生違規(guī)，企業(yè)必須通知相應(yīng)的地方和國(guó)家當(dāng)局。數(shù)據(jù)泄露報(bào)告應(yīng)包括誰(shuí)聯(lián)系了誰(shuí)以及共享了哪些信息。
• 綜合——綜合規(guī)則為 HIPAA 添加了網(wǎng)絡(luò)安全要求（得益于 HITECH 法案）。該規(guī)則定義了組織在 HIPAA 方面的法律責(zé)任。

HIPAA 網(wǎng)絡(luò)安全要求

HIPAA 要求的一個(gè)重要部分是一組旨在防止意外或惡意訪問(wèn)受 HIPAA 保護(hù)的健康信息的規(guī)則。例如，醫(yī)療保健提供者和組織必須制定安全策略，定義如何進(jìn)行風(fēng)險(xiǎn)和漏洞評(píng)估以發(fā)現(xiàn)漏洞、制定風(fēng)險(xiǎn)協(xié)調(diào)計(jì)劃和響應(yīng)網(wǎng)絡(luò)事件。

HIPAA技術(shù)要求和信息安全

HIPAA 技術(shù)要求旨在確保受保護(hù)電子健康信息 (ePHI) 的機(jī)密性、完整性和可用性。醫(yī)療保健提供者和組織必須實(shí)施必要的標(biāo)準(zhǔn)，以使用合理和適當(dāng)?shù)尼t(yī)療保健網(wǎng)絡(luò)安全措施來(lái)維護(hù)受 HIPAA 保護(hù)的醫(yī)療保健信息的隱私。確切的實(shí)施將取決于各個(gè)組織及其雇用的網(wǎng)絡(luò)安全人員。

HIPAA 對(duì)訪問(wèn)控制的要求

強(qiáng)大的訪問(wèn)控制是保護(hù)受 HIPAA 保護(hù)的健康信息的關(guān)鍵保障措施之一。訪問(wèn)控制向信息系統(tǒng)、應(yīng)用程序、程序或文件的特定用戶授予權(quán)利或特權(quán)，以執(zhí)行與任務(wù)相關(guān)的功能。訪問(wèn)控制方法必須包括：

• 使用多種因素進(jìn)行獨(dú)特的用戶識(shí)別，包括指紋讀取或眼睛掃描等生物識(shí)別因素。
• 記錄緊急訪問(wèn)程序，包括緊急 ePHI 訪問(wèn)指南和程序。
• 一段時(shí)間不活動(dòng)后自動(dòng)注銷最終用戶會(huì)話。
• 加密數(shù)據(jù)以將其轉(zhuǎn)換為不可讀的格式。

通過(guò)這些措施，不同角色的不同人員對(duì)數(shù)據(jù)具有不同級(jí)別的訪問(wèn)權(quán)限。例如，醫(yī)生可以訪問(wèn)所有內(nèi)容，護(hù)士可以訪問(wèn)大部分信息，而賬單和保險(xiǎn)的訪問(wèn)權(quán)限可能非常有限。

HIPAA 安全規(guī)則

HIPAA 安全規(guī)則規(guī)定醫(yī)療保健提供者（涵蓋的實(shí)體）必須通過(guò)防止不當(dāng)使用此機(jī)密信息的政策和技術(shù)措施來(lái)保護(hù) PHI。這包括使用符合 HIPAA 標(biāo)準(zhǔn)的防火墻，它可以保護(hù)網(wǎng)絡(luò)并防止未經(jīng)授權(quán)訪問(wèn)您的 PHI。

HIPAA 法規(guī)未明確要求進(jìn)行滲透測(cè)試。但是，法規(guī)要求實(shí)體執(zhí)行定期安全風(fēng)險(xiǎn)分析。作為強(qiáng)制性 HIPAA 安全規(guī)則風(fēng)險(xiǎn)分析的一部分，組織必須評(píng)估環(huán)境中的風(fēng)險(xiǎn)和漏洞并實(shí)施安全控制以解決這些風(fēng)險(xiǎn)和漏洞。醫(yī)療機(jī)構(gòu)必須實(shí)施各種控制，包括訪問(wèn)控制、審計(jì)控制、完整性控制、身份驗(yàn)證控制和數(shù)據(jù)傳輸安全控制。

健康網(wǎng)絡(luò)安全的整體方法

HIPAA 規(guī)則不足以打擊網(wǎng)絡(luò)犯罪。法律要求并不總是與網(wǎng)絡(luò)安全最佳實(shí)踐一致。此外，醫(yī)療保健組織不應(yīng)將網(wǎng)絡(luò)安全和HIPAA 合規(guī)性視為單獨(dú)的組成部分，而應(yīng)視為兩個(gè)相互并行的概念。事實(shí)上，強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃支持合規(guī)性。

為確保醫(yī)療保健部門的網(wǎng)絡(luò)安全并防止復(fù)雜的攻擊，醫(yī)療保健組織可以實(shí)施以下做法：

• 查看您當(dāng)前的安全風(fēng)險(xiǎn)分析并確定需要改進(jìn)的領(lǐng)域。通過(guò)記錄風(fēng)險(xiǎn)分析來(lái)支持合規(guī)性。
• 評(píng)估您的風(fēng)險(xiǎn)管理計(jì)劃，以確保您有足夠的對(duì)策來(lái)緩解漏洞。采用醫(yī)療保健中使用的最佳實(shí)踐，例如唯一標(biāo)識(shí)、強(qiáng)密碼、基于角色的權(quán)限、自動(dòng)超時(shí)和屏幕鎖定。
• 比較 HIPAA 和其他網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和程序，包括您組織的其他法律和監(jiān)管義務(wù)，并確保它們已更新為最新的風(fēng)險(xiǎn)分析結(jié)果。
• 制定符合 HIPAA 和其他適用法律要求的安全事件響應(yīng)計(jì)劃，以幫助您的企業(yè)應(yīng)對(duì)潛在的數(shù)據(jù)泄露。為意外情況做好計(jì)劃——從網(wǎng)絡(luò)攻擊到威脅健康記錄和其他重要資產(chǎn)的自然災(zāi)害。
• 進(jìn)行備份并制定恢復(fù)計(jì)劃。確保用于存儲(chǔ)備份數(shù)據(jù)的介質(zhì)是安全的，不會(huì)被勒索軟件等攻擊擦除或加密。

投資于人員、流程和管理。網(wǎng)絡(luò)安全不能僅由 IT 或安全部門完成。它必須與組織實(shí)踐、發(fā)展計(jì)劃和業(yè)務(wù)計(jì)劃相結(jié)合。

我們希望這對(duì)您使網(wǎng)絡(luò)安全策略與 HIPAA 合規(guī)性要求保持一致有所幫助。