HIPAA

HIPAA 技术保障风险评估

HIPAA 中的技术保障要求重点在于存储电子ePHI(也称为受保护的健康信息)。安全规则侧重于安全要求。技术保障要求中心 在技​​术方面。商业伙伴,医疗保健提供者以及 涵盖实体必须完成审核以证明其符合法规。这意味着可以确保新客户的安全性。成为符合HIPAA要求的方法是评估缓解控制措施和安全风险。  

 HIPAA

评估清单:HIPAA技术保障风险

HIPAA 于1990年代后期颁布,旨在协助人们换工作

1996年,HIPAA的成立是为了保护人们在工作之间的健康信息。美国卫生与公共服务部(HHS)另外通过了另一项隐私权规则。这是在2003年完成的。“保护健康”规则和 传递了信息(PHI),以涵盖有关一个人的健康状况,医疗费用和医疗保健的信息。

HIPAA 安全规则于2005年侧重于电子存储的ePHI。更新后的规则要求三项新的合规保护措施。首先是行政保障措施,以确保程序和政策符合要求。第二,物理保障措施包括控制数据存储访问。最后一种类型侧重于技术合规性。技术保护措施必须包括通过开放网络以电子方式传输的PHI通信。

谁被认为是医疗保健提供者?

HIPAA 将医疗保健提供者定义为那些被确定为能够提供医疗保健服务的秘书的提供者。这些专业人员包括骨病医生和医学医生,这些医生由他们从事医学的州决定授权进行外科手术。如果个人或企业从事医学或疾病患者的治疗,则必须遵循HIPAA。

HIPAA 将什么视为涵盖实体?

据HIPAA称,涵盖的实体包括以电子方式传输健康信息的医疗服务提供者,医疗信息交换所和医疗计划。

HIPAA 将业务伙伴视为什么?

“业务伙伴”一词使HIPAA可以遵循其法规来包括更多的个人和企业。该法律将任何业务伙伴定义为在向涵盖实体提供服务的同时披露或使用受保护的健康信息的实体或个人。这也意味着那些代表受保护实体使用或披露信息的人员还必须遵守HIPAA规则和规定。

这几乎是一个广泛的定义,包括从帮助处理医疗保健索赔的第三方管理员到保护健康信息的注册会计师在内的每家公司和个人。如果是个人或公司视图 任何将某人识别为患者,所涵盖实体或医疗保健的信息 供应商必须确保业务伙伴符合HIPAA。

我可以成为符合HIPAA的什么?

风险评估是迈向第一步 符合HIPAA。 风险评估确定技术保障措施,行政保障措施和措施歇斯底里的保障。最脆弱的区域。根据国家卫生信息技术协调员办公室的说法,安全风险评估工具的创建是为了帮助组织确定其系统中哪些领域的风险最高。该工具有156个问题,分为三个类别:行政保障,技术保障和物理保障。

对技术保障了解多少?

根据HIPAA安全规则,要求业务伙伴和涵盖实体必须具有创建安全IT环境的控件来保护ePHI。每当ePHI处于不安全状态时,根据HIPAA法律都会产生法律问题。它还会威胁完整性,可用性和可用性。 患者信息的机密性。

技术保障计划和政策涉及:

  • 共享有关范围用途,角色,管理承诺,责任,合规性和 组织实体与员工之间的协调。
  • 为维护授权访问ePHI的电子信息系统建立所有技术程序和政策。
  • 通知员工有关连接到访问控制的访问控制策略的实施。

风险评估涉及:

  • 在您的环境中创建信息系统。这些信息系统清单必须包括应用程序,软件,应用程序和电子设备。
  • 确定与远程访问p有关的所有风险态度数据。
  • 审查信息风险中涉及的责任和角色。
  • 确定具有数据功能的电子设备和信息系统组件。
  • 审查业务伙伴的角色和对ePHI的风险。
  • 通过聘请特定的业务伙伴及其角色来审查ePHI的所有风险。
  • 测量和评估来自所有接收或信息传输的恶意或有意披露风险。
  • 查看所有重要的审核事件,例如存储,创建和传输ePHI,以安排基于风险的分类的时间。
  • 在准备接收或传输患者数据时,测量和评估任何恶意或无意的信息修改或访问。在平衡ePHI的访问简便性和充分减轻风险的受保护信息系统之间进行平衡时,请查看身份验证要求,以确保可伸缩性,实用性和安全性。
  • 查看所有身份验证要求,以确保实用性,可伸缩性和安全性 平衡保护和访问权限时正确 ePHI和信息系统。这些是风险降低的信息系统和ePHI访问。

用户授权/职责分离涉及:

  • 为了支持职责分离,让每个工作人员分别承担有关ePHI访问授权的服务职责和提供者。
  • 为了在所有信息系统中创建,存储和处理ePHI,请检查与每个活动有关的所有用户活动。
  • 强制RBAC对ePHI使用最小必需事故的最小特权/原则。
  • 根据员工和服务提供商的需求和职责,执行RBAC政策。

授权和识别涉及:

  • 为每个工人创建一个标识,该标识对于每个员工都是唯一的。该授权策略应解决目的,角色,目的,责任,管理承诺,合规性和组织实体协调。
  • 为问责制目的,为组内的每个工作人员创建一个标识。
  • 创建并实施注册过程,其中包括对每个新标识符的监督授权。
  • 分配不同的唯一编号和/或名称,以识别和跟踪用户活动。
  • 停止任何类型的信息系统帐户标识符重用。
  • 在电子设备中包括自动注销功能,并识别信息系统组件。
  • 包含自动限制活动时间和限制活动时间的电子程序。
  • 将会话锁用于用户请求和不活动。
  • 创建规则供用户在不活动后继续会话。要重新建立访问权限,用户必须能够完成正确的身份验证过程,例如密码和生物特征识别。
  • 创建允许用户紧急访问的任何短期紧急帐户。
  • 一旦所有业务运作恢复正常,就可以自动停用或删除任何紧急帐户。

制定应变计划和政策

建立和实施在紧急情况下获取ePHI的程序非常重要。定义可能触发应急计划的情况和紧急情况。这些情况包括环境和自然威胁。另外,确定负责激活任何紧急访问方法的所有个人。建立具有所有必需的必要许可证存储空间的备用存储站点至关重要。该区域应该能够检索确切的ePHI副本。备用存储站点必须具有与现场安全保护措施相当的安全保护措施。

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *

20 − five =