关注我们,学习更多隐私合规讯息
什么是 HIPAA 合规性?HIPAA 代表 1996 年健康保险携带和责任法案。它的创建是为了使医疗信息流现代化,并指定组织应如何保护个人健康信息(也称为 PHI)。这些规则适用于处理敏感患者数据的任何人。
2013 年,HIPAA 规则扩大到包括业务伙伴,包括那些可能代表医疗保健实体处理 PHI 的人员,例如软件供应商和符合 HIPAA 标准的托管公司。
HIPAA 旨在保护任何形式或媒介的个人身份信息 (PII)。许多人认为这意味着社会安全号码、姓名和驾驶执照等数据,但它的范围更广,包括指纹、照片(面部或任何可以识别个人身份的任何东西)和声纹等识别信息。
HIPAA 要求的简要概述
1
HIPAA 特别关注保护敏感的健康信息。HIPAA 合规性要求医院和医疗保健组织遵循许多不同的规则来保护机密的患者信息:
学习“互联网+医疗健康”安全知识,了解CIPT课程,学习信息技术、信息安全、软件工程、隐私设计等。
隐私
01
患者有权对其受保护的健康信息 (PHI) 保密。PHI 可能包含有关诊断、预约和程序等敏感主题的各种信息。
安全性
02
组织必须保护 PHI 免受未经授权的使用和分发。一个常见的例子是病人的保险信息。
执法
03
保护 PHI 的机构应始终实施安全协议,并在发生数据泄露时启动调查。实现这一目标的最佳方法是创建并遵守数据保护协议,并在发生攻击时进行全面审计。
违规通知
04
如果发生违规,企业必须通知相应的地方和国家当局。数据泄露报告应包括谁联系了谁以及共享了哪些信息。
综合
05
综合规则为 HIPAA 添加了网络安全要求(得益于 HITECH 法案)。该规则定义了组织在 HIPAA 方面的法律责任。
HIPAA 网络安全要求
2
HIPAA 要求的一个重要部分是一组旨在防止意外或恶意访问受 HIPAA 保护的健康信息的规则。
例如,医疗保健提供者和组织必须制定安全策略,定义如何进行风险和漏洞评估以发现漏洞、制定风险协调计划和响应网络事件。
HIPAA技术要求和信息安全
3
HIPAA 技术要求旨在确保受保护电子健康信息 (ePHI) 的机密性、完整性和可用性。
医疗保健提供者和组织必须实施必要的标准,以使用合理和适当的医疗保健网络安全措施来维护受 HIPAA 保护的医疗保健信息的隐私。
确切的实施将取决于各个组织及其雇用的网络安全人员。
HIPAA 对访问控制的要求
4
强大的访问控制是保护受 HIPAA 保护的健康信息的关键保障措施之一。
访问控制向信息系统、应用程序、程序或文件的特定用户授予权利或特权,以执行与任务相关的功能。访问控制方法必须包括:
使用多种因素进行独特的用户识别,包括指纹读取或眼睛扫描等生物识别因素。
记录紧急访问程序,包括紧急 ePHI 访问指南和程序。
一段时间不活动后自动注销最终用户会话。
加密数据以将其转换为不可读的格式。
通过这些措施,不同角色的不同人员对数据具有不同级别的访问权限。例如,医生可以访问所有内容,护士可以访问大部分信息,而账单和保险的访问权限可能非常有限。
HIPAA 安全规则
5
HIPAA 安全规则规定医疗保健提供者(涵盖的实体)必须通过防止不当使用此机密信息的政策和技术措施来保护 PHI。
这包括使用符合 HIPAA 标准的防火墙,它可以保护网络并防止未经授权访问您的 PHI。
HIPAA 法规未明确要求进行渗透测试。但是,法规要求实体执行定期安全风险分析。
作为强制性 HIPAA 安全规则风险分析的一部分,组织必须评估环境中的风险和漏洞并实施安全控制以解决这些风险和漏洞。
医疗机构必须实施各种控制,包括访问控制、审计控制、完整性控制、身份验证控制和数据传输安全控制。
如何学习审计、风控与合规?学习CIPM课程,适用于风险管理、隐私操作、审计、隐私分析、职责划分等相关的从业人员。
健康网络安全的整体方法
6
HIPAA 规则不足以打击网络犯罪。法律要求并不总是与网络安全最佳实践一致。此外,医疗保健组织不应将网络安全和HIPAA 合规性视为单独的组成部分,而应视为两个相互并行的概念。事实上,强大的网络安全计划支持合规性。
为确保医疗保健部门的网络安全并防止复杂的攻击,医疗保健组织可以实施以下做法:
01
查看你当前的安全风险分析并确定需要改进的领域。通过记录风险分析来支持合规性。
02
评估你的风险管理计划,以确保你有足够的对策来缓解漏洞。采用医疗保健中使用的最佳实践,例如唯一标识、强密码、基于角色的权限、自动超时和屏幕锁定。
03
比较 HIPAA 和其他网络安全标准和程序,包括你组织的其他法律和监管义务,并确保它们已更新为最新的风险分析结果。
04
制定符合 HIPAA 和其他适用法律要求的安全事件响应计划,以帮助你的企业应对潜在的数据泄露。为意外情况做好计划——从网络攻击到威胁健康记录和其他重要资产的自然灾害。
05
进行备份并制定恢复计划。确保用于存储备份数据的介质是安全的,不会被勒索软件等攻击擦除或加密。
投资于人员、流程和管理。网络安全不能仅由 IT 或安全部门完成。它必须与组织实践、发展计划和业务计划相结合。
为何要学数据合规?合规发展如何?一分钟,听老师讲述合规的发展前景
我们希望这对你使网络安全策略与 HIPAA 合规性要求保持一致有所帮助。
文章整理于scmsky.com,由隐私合规交流圈 隐小私整理,转发请备注出处
*整理编辑:A隐小私(yinxiaosi00)
好消息好消息
开年IAPP课程大促销!
IAPP双证,买1得2,
赠送新证5折优惠券!
名额有限,速速报名!
PC端报名链接:http://navo.top/Rryuey
长按二维码即刻报名!
详情扫描下方二维码咨询“小助手”
如何学习信息技术数据合规?一起了解注册信息隐私管理师IAPP CIPT!
注册信息隐私技术专家CIPT
基本概念:
CIPT面向IT从业者开展隐私保护认证,可证明专业人员在IT产品和服务的开发、工程、部署与审计方面,对于隐私和数据保护实践的理解程度,以及管理和建立隐私保护要求和控制措施的能力。
学习内容:
Foundational Principles基本原则
The Role of IT in Privacy信息技术在隐私中的作用
Privacy Threats and Violations隐私威胁和侵犯
Technical Measures and Privacy Enhancing Technologies技术措施和隐私增强技术
Privacy Engineering隐私工程
Privacy by Design Methodology隐私设计方法
Technology Challenges for Privacy隐私的技术挑战
适用于以下人群:
主要适用于信息技术、信息安全、软件工程、隐私设计、合规审计等相关的从业人员。
更多课程在线听讲
更多课程疑惑,扫描下方二维码解答 或+yinxiaosi00
-END-
年薪百万的数据合规律师需要考哪些合规证书?一起听听老师的分享