什么是 HIPAA 合規性？HIPAA 代表 1996 年健康保險攜帶和責任法案。它的創建是為了使醫療信息流現代化，并指定組織應如何保護個人健康信息（也稱為 PHI）。這些規則適用于處理敏感患者數據的任何人。

2013 年，HIPAA 規則擴大到包括業務伙伴，包括那些可能代表醫療保健實體處理 PHI 的人員，例如軟件供應商和符合 HIPAA 標準的托管公司。

HIPAA 旨在保護任何形式或媒介的個人身份信息 (PII)。許多人認為這意味著社會安全號碼、姓名和駕駛執照等數據，但它的范圍更廣，包括指紋、照片（面部或任何可以識別個人身份的任何東西）和聲紋等識別信息。

HIPAA 要求的簡要概述

HIPAA 特別關注保護敏感的健康信息。HIPAA 合規性要求醫院和醫療保健組織遵循許多不同的規則來保護機密的患者信息：

• 隱私——患者有權對其受保護的健康信息 (PHI) 保密。PHI 可能包含有關診斷、預約和程序等敏感主題的各種信息。
• 安全性——組織必須保護 PHI 免受未經授權的使用和分發。一個常見的例子是病人的保險信息。
• 執法——保護 PHI 的機構應始終實施安全協議，并在發生數據泄露時啟動調查。實現這一目標的最佳方法是創建并遵守數據保護協議，并在發生攻擊時進行全面審計。
• 違規通知——如果發生違規，企業必須通知相應的地方和國家當局。數據泄露報告應包括誰聯系了誰以及共享了哪些信息。
• 綜合——綜合規則為 HIPAA 添加了網絡安全要求（得益于 HITECH 法案）。該規則定義了組織在 HIPAA 方面的法律責任。

HIPAA 網絡安全要求

HIPAA 要求的一個重要部分是一組旨在防止意外或惡意訪問受 HIPAA 保護的健康信息的規則。例如，醫療保健提供者和組織必須制定安全策略，定義如何進行風險和漏洞評估以發現漏洞、制定風險協調計劃和響應網絡事件。

HIPAA技術要求和信息安全

HIPAA 技術要求旨在確保受保護電子健康信息 (ePHI) 的機密性、完整性和可用性。醫療保健提供者和組織必須實施必要的標準，以使用合理和適當的醫療保健網絡安全措施來維護受 HIPAA 保護的醫療保健信息的隱私。確切的實施將取決于各個組織及其雇用的網絡安全人員。

HIPAA 對訪問控制的要求

強大的訪問控制是保護受 HIPAA 保護的健康信息的關鍵保障措施之一。訪問控制向信息系統、應用程序、程序或文件的特定用戶授予權利或特權，以執行與任務相關的功能。訪問控制方法必須包括：

• 使用多種因素進行獨特的用戶識別，包括指紋讀取或眼睛掃描等生物識別因素。
• 記錄緊急訪問程序，包括緊急 ePHI 訪問指南和程序。
• 一段時間不活動后自動注銷最終用戶會話。
• 加密數據以將其轉換為不可讀的格式。

通過這些措施，不同角色的不同人員對數據具有不同級別的訪問權限。例如，醫生可以訪問所有內容，護士可以訪問大部分信息，而賬單和保險的訪問權限可能非常有限。

HIPAA 安全規則

HIPAA 安全規則規定醫療保健提供者（涵蓋的實體）必須通過防止不當使用此機密信息的政策和技術措施來保護 PHI。這包括使用符合 HIPAA 標準的防火墻，它可以保護網絡并防止未經授權訪問您的 PHI。

HIPAA 法規未明確要求進行滲透測試。但是，法規要求實體執行定期安全風險分析。作為強制性 HIPAA 安全規則風險分析的一部分，組織必須評估環境中的風險和漏洞并實施安全控制以解決這些風險和漏洞。醫療機構必須實施各種控制，包括訪問控制、審計控制、完整性控制、身份驗證控制和數據傳輸安全控制。

健康網絡安全的整體方法

HIPAA 規則不足以打擊網絡犯罪。法律要求并不總是與網絡安全最佳實踐一致。此外，醫療保健組織不應將網絡安全和HIPAA 合規性視為單獨的組成部分，而應視為兩個相互并行的概念。事實上，強大的網絡安全計劃支持合規性。

為確保醫療保健部門的網絡安全并防止復雜的攻擊，醫療保健組織可以實施以下做法：

• 查看您當前的安全風險分析并確定需要改進的領域。通過記錄風險分析來支持合規性。
• 評估您的風險管理計劃，以確保您有足夠的對策來緩解漏洞。采用醫療保健中使用的最佳實踐，例如唯一標識、強密碼、基于角色的權限、自動超時和屏幕鎖定。
• 比較 HIPAA 和其他網絡安全標準和程序，包括您組織的其他法律和監管義務，并確保它們已更新為最新的風險分析結果。
• 制定符合 HIPAA 和其他適用法律要求的安全事件響應計劃，以幫助您的企業應對潛在的數據泄露。為意外情況做好計劃——從網絡攻擊到威脅健康記錄和其他重要資產的自然災害。
• 進行備份并制定恢復計劃。確保用于存儲備份數據的介質是安全的，不會被勒索軟件等攻擊擦除或加密。

投資于人員、流程和管理。網絡安全不能僅由 IT 或安全部門完成。它必須與組織實踐、發展計劃和業務計劃相結合。

我們希望這對您使網絡安全策略與 HIPAA 合規性要求保持一致有所幫助。