什么是 HIPAA 安全规则？医疗保健安全与隐私合规性需重视

过去的一年催生了医疗保健的新时代，远程医疗访问量有所增加。同时也带来了新的挑战和考虑，在这种情况下，生成了更多的在线医疗数据。这种数据涌入要求我们重新审查 HIPAA 安全规则，以确保医疗机构保护患者信息。

HIPAA 安全规则

HIPAA（Health Insurance Portability and Accountability Act），即《健康保险流通与责任法案》，最早于1996年由当时的美国总统克林顿签署通过，在随后的几年，卫生部依据公众的意见进行修订，HIPAA中的隐私规则（Privacy Rule）和安全规则（Sercurity Rule）最终于2003年8月14号生效。

该项法案旨在保护受保护的健康信息（protectedhealth information，PHI），以加强信息共享，提高医疗保健系统的效率和质量。

目前，随着真实世界研究的崛起，医疗行业对数字化系统的需求不断提升，如计算机化的医师订单输入系统（CPOE）、电子健康记录（EHR）、以及放射学，药学和实验室系统。医务人员可以更灵活和高效（医生可以在任何地方查看病人记录和检测结果），但这些技术的提升增加了潜在的隐私和安全风险。HIPAA是国际公认的，一套比较完善的针对个人健康信息的隐私安全法律保护体系。

法律要求医疗保健提供者、计划和其他实体维护患者的机密性、隐私和安全，并要求三种类型的保护措施：行政、物理和技术。

1、 行政保障

涵盖的实体需要实施行政保护措施：描述组织打算如何保护 ePHI 并确保遵守安全规则的政策和程序。

这些流程包括（但不限于）实施以下主要标准：

安全管理：这包括进行 HIPAA 风险评估。这种风险评估最容易由合规解决方案提供商完成。完整的公司扫描可以发现差距，并且比手动评估更有效、更彻底。这种预防措施是强制性的。

安全人员：任命一名负责执行政策和程序的隐私官。

信息访问管理：限制对 ePHI 的不必要访问。这与物理和技术保护措施相交。信息访问管理限制谁可以监视和查看某些文件及其副本，而不管它驻留在何处（在服务器、云等上）

工作场所培训和安全意识：要求员工完成年度 HIPAA 培训，并就其组织的特定安全程序进行自我教育。您可能会问为什么这如此重要。虽然大多数人认为我们的组织中不存在黑客，但错误和人为错误（例如陷入网络钓鱼攻击）越来越普遍。让员工掌握以安全方式处理数据、识别异常电子邮件或消除不安全习惯的知识，对于保持强大的防御能力至关重要。

应急计划：确保为与 ePHI 相关的未知情况制定流程。

2、物理保护：

政策和程序包括监测和补救：

访问控制：限制对包含计算机和服务器的设施的访问。这可能包括实施程序，以物理方式保护设备和设施免受未经授权的人员的侵害。这也意味着组织应该制定一项政策来记录和跟踪可能影响场所物理安全的维护记录和报告。

工作站使用和安全：保护工作站，包括任何计算机，以及其中的信息，包括屏幕保护锁和隐私屏幕保护等控件，以防止“窃听”。

设备和媒体控制：实施有关如何在必要时从设施中移除包含 ePHI 的设备的政策。该规则还要求制定程序来处理持有 ePHI 的硬件的处置。

技术保障：

该组件包括确定技术如何保护 ePHI 以及谁控制对该数据的访问的政策和程序。通常，由于理解该法规所需的技术素养水平，实体最难理解。

技术保障包括以下内容：

访问控制：实施技术政策和程序，只允许授权人员访问 ePHI。该标准还要求个人使用唯一的用户标识来查看 ePHI，具有允许紧急访问的模式，并具有技术控制以在给定的不活动量后强制自动注销。

审计控制：引入硬件、软件或程序机制来记录和检查包含或使用 ePHI 的信息系统中的访问。

完整性控制：执行政策和程序以确保 ePHI 没有也不会被不当更改或销毁。

传输安全：采取技术安全措施，防止对通过电子网络传输的 ePHI 进行未经授权的访问，这包括要求加密。

目前，美国卫生与公共服务部记录了数百个实体未保护健康信息并经历数据泄露的案例，突出了一次事故可能影响数百至数万名患者的严重性。医疗保健信息高度敏感，需要最大程度的保护。HIPAA 安全规则的三个组成部分可能看起来难以实施和执行，但如果有合适的合作伙伴和程序，它是可行的。

合规性从来都不是一蹴而就的事情。企业必须采取立场来持续解决合规性问题，因为不这样做的风险太大了。除了巨额罚款和处罚之外，数据泄露还会破坏患者、客户和客户的信任——这是一个代价更高的后果，因此我们必须把安全防护措施的建立放在首要位置。超级科技作为信息安全解决方案专家，阿里云战略合作伙伴，一直以“安全守卫梦想”为使命，致力于打造有竞争力的，高品质的网络安全云产品和服务，成为国内云计算安全领域的领军企业。