什么是 HIPAA 合規(guī)性？HIPAA 代表 1996 年健康保險攜帶和責(zé)任法案。它的創(chuàng)建是為了使醫(yī)療信息流現(xiàn)代化，并指定組織應(yīng)如何保護(hù)個人健康信息（也稱為 PHI）。這些規(guī)則適用于處理敏感患者數(shù)據(jù)的任何人。

2013 年，HIPAA 規(guī)則擴(kuò)大到包括業(yè)務(wù)伙伴，包括那些可能代表醫(yī)療保健實體處理 PHI 的人員，例如軟件供應(yīng)商和符合 HIPAA 標(biāo)準(zhǔn)的托管公司。

HIPAA 旨在保護(hù)任何形式或媒介的個人身份信息 (PII)。許多人認(rèn)為這意味著社會安全號碼、姓名和駕駛執(zhí)照等數(shù)據(jù)，但它的范圍更廣，包括指紋、照片（面部或任何可以識別個人身份的任何東西）和聲紋等識別信息。

HIPAA 要求的簡要概述

HIPAA 特別關(guān)注保護(hù)敏感的健康信息。HIPAA 合規(guī)性要求醫(yī)院和醫(yī)療保健組織遵循許多不同的規(guī)則來保護(hù)機(jī)密的患者信息：

• 隱私——患者有權(quán)對其受保護(hù)的健康信息 (PHI) 保密。PHI 可能包含有關(guān)診斷、預(yù)約和程序等敏感主題的各種信息。
• 安全性——組織必須保護(hù) PHI 免受未經(jīng)授權(quán)的使用和分發(fā)。一個常見的例子是病人的保險信息。
• 執(zhí)法——保護(hù) PHI 的機(jī)構(gòu)應(yīng)始終實施安全協(xié)議，并在發(fā)生數(shù)據(jù)泄露時啟動調(diào)查。實現(xiàn)這一目標(biāo)的最佳方法是創(chuàng)建并遵守數(shù)據(jù)保護(hù)協(xié)議，并在發(fā)生攻擊時進(jìn)行全面審計。
• 違規(guī)通知——如果發(fā)生違規(guī)，企業(yè)必須通知相應(yīng)的地方和國家當(dāng)局。數(shù)據(jù)泄露報告應(yīng)包括誰聯(lián)系了誰以及共享了哪些信息。
• 綜合——綜合規(guī)則為 HIPAA 添加了網(wǎng)絡(luò)安全要求（得益于 HITECH 法案）。該規(guī)則定義了組織在 HIPAA 方面的法律責(zé)任。

HIPAA 網(wǎng)絡(luò)安全要求

HIPAA 要求的一個重要部分是一組旨在防止意外或惡意訪問受 HIPAA 保護(hù)的健康信息的規(guī)則。例如，醫(yī)療保健提供者和組織必須制定安全策略，定義如何進(jìn)行風(fēng)險和漏洞評估以發(fā)現(xiàn)漏洞、制定風(fēng)險協(xié)調(diào)計劃和響應(yīng)網(wǎng)絡(luò)事件。

HIPAA技術(shù)要求和信息安全

HIPAA 技術(shù)要求旨在確保受保護(hù)電子健康信息 (ePHI) 的機(jī)密性、完整性和可用性。醫(yī)療保健提供者和組織必須實施必要的標(biāo)準(zhǔn)，以使用合理和適當(dāng)?shù)尼t(yī)療保健網(wǎng)絡(luò)安全措施來維護(hù)受 HIPAA 保護(hù)的醫(yī)療保健信息的隱私。確切的實施將取決于各個組織及其雇用的網(wǎng)絡(luò)安全人員。

HIPAA 對訪問控制的要求

強(qiáng)大的訪問控制是保護(hù)受 HIPAA 保護(hù)的健康信息的關(guān)鍵保障措施之一。訪問控制向信息系統(tǒng)、應(yīng)用程序、程序或文件的特定用戶授予權(quán)利或特權(quán)，以執(zhí)行與任務(wù)相關(guān)的功能。訪問控制方法必須包括：

• 使用多種因素進(jìn)行獨特的用戶識別，包括指紋讀取或眼睛掃描等生物識別因素。
• 記錄緊急訪問程序，包括緊急 ePHI 訪問指南和程序。
• 一段時間不活動后自動注銷最終用戶會話。
• 加密數(shù)據(jù)以將其轉(zhuǎn)換為不可讀的格式。

通過這些措施，不同角色的不同人員對數(shù)據(jù)具有不同級別的訪問權(quán)限。例如，醫(yī)生可以訪問所有內(nèi)容，護(hù)士可以訪問大部分信息，而賬單和保險的訪問權(quán)限可能非常有限。

HIPAA 安全規(guī)則

HIPAA 安全規(guī)則規(guī)定醫(yī)療保健提供者（涵蓋的實體）必須通過防止不當(dāng)使用此機(jī)密信息的政策和技術(shù)措施來保護(hù) PHI。這包括使用符合 HIPAA 標(biāo)準(zhǔn)的防火墻，它可以保護(hù)網(wǎng)絡(luò)并防止未經(jīng)授權(quán)訪問您的 PHI。

HIPAA 法規(guī)未明確要求進(jìn)行滲透測試。但是，法規(guī)要求實體執(zhí)行定期安全風(fēng)險分析。作為強(qiáng)制性 HIPAA 安全規(guī)則風(fēng)險分析的一部分，組織必須評估環(huán)境中的風(fēng)險和漏洞并實施安全控制以解決這些風(fēng)險和漏洞。醫(yī)療機(jī)構(gòu)必須實施各種控制，包括訪問控制、審計控制、完整性控制、身份驗證控制和數(shù)據(jù)傳輸安全控制。

健康網(wǎng)絡(luò)安全的整體方法

HIPAA 規(guī)則不足以打擊網(wǎng)絡(luò)犯罪。法律要求并不總是與網(wǎng)絡(luò)安全最佳實踐一致。此外，醫(yī)療保健組織不應(yīng)將網(wǎng)絡(luò)安全和HIPAA 合規(guī)性視為單獨的組成部分，而應(yīng)視為兩個相互并行的概念。事實上，強(qiáng)大的網(wǎng)絡(luò)安全計劃支持合規(guī)性。

為確保醫(yī)療保健部門的網(wǎng)絡(luò)安全并防止復(fù)雜的攻擊，醫(yī)療保健組織可以實施以下做法：

• 查看您當(dāng)前的安全風(fēng)險分析并確定需要改進(jìn)的領(lǐng)域。通過記錄風(fēng)險分析來支持合規(guī)性。
• 評估您的風(fēng)險管理計劃，以確保您有足夠的對策來緩解漏洞。采用醫(yī)療保健中使用的最佳實踐，例如唯一標(biāo)識、強(qiáng)密碼、基于角色的權(quán)限、自動超時和屏幕鎖定。
• 比較 HIPAA 和其他網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和程序，包括您組織的其他法律和監(jiān)管義務(wù)，并確保它們已更新為最新的風(fēng)險分析結(jié)果。
• 制定符合 HIPAA 和其他適用法律要求的安全事件響應(yīng)計劃，以幫助您的企業(yè)應(yīng)對潛在的數(shù)據(jù)泄露。為意外情況做好計劃——從網(wǎng)絡(luò)攻擊到威脅健康記錄和其他重要資產(chǎn)的自然災(zāi)害。
• 進(jìn)行備份并制定恢復(fù)計劃。確保用于存儲備份數(shù)據(jù)的介質(zhì)是安全的，不會被勒索軟件等攻擊擦除或加密。

投資于人員、流程和管理。網(wǎng)絡(luò)安全不能僅由 IT 或安全部門完成。它必須與組織實踐、發(fā)展計劃和業(yè)務(wù)計劃相結(jié)合。

我們希望這對您使網(wǎng)絡(luò)安全策略與 HIPAA 合規(guī)性要求保持一致有所幫助。