关注我们，学习更多隐私合规讯息

什么是 HIPAA 合规性？HIPAA 代表 1996 年健康保险携带和责任法案。它的创建是为了使医疗信息流现代化，并指定组织应如何保护个人健康信息（也称为 PHI）。这些规则适用于处理敏感患者数据的任何人。

2013 年，HIPAA 规则扩大到包括业务伙伴，包括那些可能代表医疗保健实体处理 PHI 的人员，例如软件供应商和符合 HIPAA 标准的托管公司。

HIPAA 旨在保护任何形式或媒介的个人身份信息 (PII)。许多人认为这意味着社会安全号码、姓名和驾驶执照等数据，但它的范围更广，包括指纹、照片（面部或任何可以识别个人身份的任何东西）和声纹等识别信息。

HIPAA 特别关注保护敏感的健康信息。HIPAA 合规性要求医院和医疗保健组织遵循许多不同的规则来保护机密的患者信息：

HIPAA 要求的一个重要部分是一组旨在防止意外或恶意访问受 HIPAA 保护的健康信息的规则。

例如，医疗保健提供者和组织必须制定安全策略，定义如何进行风险和漏洞评估以发现漏洞、制定风险协调计划和响应网络事件。

HIPAA 技术要求旨在确保受保护电子健康信息 (ePHI) 的机密性、完整性和可用性。

医疗保健提供者和组织必须实施必要的标准，以使用合理和适当的医疗保健网络安全措施来维护受 HIPAA 保护的医疗保健信息的隐私。

确切的实施将取决于各个组织及其雇用的网络安全人员。

强大的访问控制是保护受 HIPAA 保护的健康信息的关键保障措施之一。

访问控制向信息系统、应用程序、程序或文件的特定用户授予权利或特权，以执行与任务相关的功能。访问控制方法必须包括：

• 使用多种因素进行独特的用户识别，包括指纹读取或眼睛扫描等生物识别因素。

• 记录紧急访问程序，包括紧急 ePHI 访问指南和程序。

• 一段时间不活动后自动注销最终用户会话。

• 加密数据以将其转换为不可读的格式。

通过这些措施，不同角色的不同人员对数据具有不同级别的访问权限。例如，医生可以访问所有内容，护士可以访问大部分信息，而账单和保险的访问权限可能非常有限。

HIPAA 安全规则规定医疗保健提供者（涵盖的实体）必须通过防止不当使用此机密信息的政策和技术措施来保护 PHI。

这包括使用符合 HIPAA 标准的防火墙，它可以保护网络并防止未经授权访问您的 PHI。

HIPAA 法规未明确要求进行渗透测试。但是，法规要求实体执行定期安全风险分析。

作为强制性 HIPAA 安全规则风险分析的一部分，组织必须评估环境中的风险和漏洞并实施安全控制以解决这些风险和漏洞。

医疗机构必须实施各种控制，包括访问控制、审计控制、完整性控制、身份验证控制和数据传输安全控制。

HIPAA 规则不足以打击网络犯罪。法律要求并不总是与网络安全最佳实践一致。此外，医疗保健组织不应将网络安全和HIPAA 合规性视为单独的组成部分，而应视为两个相互并行的概念。事实上，强大的网络安全计划支持合规性。

为确保医疗保健部门的网络安全并防止复杂的攻击，医疗保健组织可以实施以下做法：

投资于人员、流程和管理。网络安全不能仅由 IT 或安全部门完成。它必须与组织实践、发展计划和业务计划相结合。

我们希望这对你使网络安全策略与 HIPAA 合规性要求保持一致有所帮助。