什么是HIPAA合规性?HIPAA的安全规则

什么是 HIPAA 合规性?HIPAA 代表 1996 年健康保险携带和责任法案。它的创建是为了使医疗信息流现代化,并指定组织应如何保护个人健康信息(也称为 PHI)。这些规则适用于处理敏感患者数据的任何人。

什么是HIPAA合规性?HIPAA的安全规则-南华中天

2013 年,HIPAA 规则扩大到包括业务伙伴,包括那些可能代表医疗保健实体处理 PHI 的人员,例如软件供应商和符合 HIPAA 标准的托管公司。

HIPAA 旨在保护任何形式或媒介的个人身份信息 (PII)。许多人认为这意味着社会安全号码、姓名和驾驶执照等数据,但它的范围更广,包括指纹、照片(面部或任何可以识别个人身份的任何东西)和声纹等识别信息。

HIPAA 要求的简要概述

HIPAA 特别关注保护敏感的健康信息。HIPAA 合规性要求医院和医疗保健组织遵循许多不同的规则来保护机密的患者信息:

  • 隐私——患者有权对其受保护的健康信息 (PHI) 保密。PHI 可能包含有关诊断、预约和程序等敏感主题的各种信息。
  • 安全性——组织必须保护 PHI 免受未经授权的使用和分发。一个常见的例子是病人的保险信息。
  • 执法——保护 PHI 的机构应始终实施安全协议,并在发生数据泄露时启动调查。实现这一目标的最佳方法是创建并遵守数据保护协议,并在发生攻击时进行全面审计。
  • 违规通知——如果发生违规,企业必须通知相应的地方和国家当局。数据泄露报告应包括谁联系了谁以及共享了哪些信息。
  • 综合——综合规则为 HIPAA 添加了网络安全要求(得益于 HITECH 法案)。该规则定义了组织在 HIPAA 方面的法律责任。

HIPAA 网络安全要求

HIPAA 要求的一个重要部分是一组旨在防止意外或恶意访问受 HIPAA 保护的健康信息的规则。例如,医疗保健提供者和组织必须制定安全策略,定义如何进行风险和漏洞评估以发现漏洞、制定风险协调计划和响应网络事件。

HIPAA技术要求和信息安全

HIPAA 技术要求旨在确保受保护电子健康信息 (ePHI) 的机密性、完整性和可用性。医疗保健提供者和组织必须实施必要的标准,以使用合理和适当的医疗保健网络安全措施来维护受 HIPAA 保护的医疗保健信息的隐私。确切的实施将取决于各个组织及其雇用的网络安全人员。

HIPAA 对访问控制的要求

强大的访问控制是保护受 HIPAA 保护的健康信息的关键保障措施之一。访问控制向信息系统、应用程序、程序或文件的特定用户授予权利或特权,以执行与任务相关的功能。访问控制方法必须包括:

  • 使用多种因素进行独特的用户识别,包括指纹读取或眼睛扫描等生物识别因素。
  • 记录紧急访问程序,包括紧急 ePHI 访问指南和程序。
  • 一段时间不活动后自动注销最终用户会话。
  • 加密数据以将其转换为不可读的格式。

通过这些措施,不同角色的不同人员对数据具有不同级别的访问权限。例如,医生可以访问所有内容,护士可以访问大部分信息,而账单和保险的访问权限可能非常有限。

HIPAA 安全规则

HIPAA 安全规则规定医疗保健提供者(涵盖的实体)必须通过防止不当使用此机密信息的政策和技术措施来保护 PHI。这包括使用符合 HIPAA 标准的防火墙,它可以保护网络并防止未经授权访问您的 PHI。

HIPAA 法规未明确要求进行渗透测试。但是,法规要求实体执行定期安全风险分析。作为强制性 HIPAA 安全规则风险分析的一部分,组织必须评估环境中的风险和漏洞并实施安全控制以解决这些风险和漏洞。医疗机构必须实施各种控制,包括访问控制、审计控制、完整性控制、身份验证控制和数据传输安全控制。

健康网络安全的整体方法

HIPAA 规则不足以打击网络犯罪。法律要求并不总是与网络安全最佳实践一致。此外,医疗保健组织不应将网络安全和HIPAA 合规性视为单独的组成部分,而应视为两个相互并行的概念。事实上,强大的网络安全计划支持合规性。

为确保医疗保健部门的网络安全并防止复杂的攻击,医疗保健组织可以实施以下做法:

  • 查看您当前的安全风险分析并确定需要改进的领域。通过记录风险分析来支持合规性。
  • 评估您的风险管理计划,以确保您有足够的对策来缓解漏洞。采用医疗保健中使用的最佳实践,例如唯一标识、强密码、基于角色的权限、自动超时和屏幕锁定。
  • 比较 HIPAA 和其他网络安全标准和程序,包括您组织的其他法律和监管义务,并确保它们已更新为最新的风险分析结果。
  • 制定符合 HIPAA 和其他适用法律要求的安全事件响应计划,以帮助您的企业应对潜在的数据泄露。为意外情况做好计划——从网络攻击到威胁健康记录和其他重要资产的自然灾害。
  • 进行备份并制定恢复计划。确保用于存储备份数据的介质是安全的,不会被勒索软件等攻击擦除或加密。

投资于人员、流程和管理。网络安全不能仅由 IT 或安全部门完成。它必须与组织实践、发展计划和业务计划相结合。

我们希望这对您使网络安全策略与 HIPAA 合规性要求保持一致有所帮助。