過(guò)去的一年催生了醫(yī)療保健的新時(shí)代，遠(yuǎn)程醫(yī)療訪問(wèn)量有所增加。同時(shí)也帶來(lái)了新的挑戰(zhàn)和考慮，在這種情況下，生成了更多的在線醫(yī)療數(shù)據(jù)。這種數(shù)據(jù)涌入要求我們重新審查 HIPAA 安全規(guī)則，以確保醫(yī)療機(jī)構(gòu)保護(hù)患者信息。

HIPAA 安全規(guī)則

HIPAA（Health Insurance Portability and Accountability Act），即《健康保險(xiǎn)流通與責(zé)任法案》，最早于1996年由當(dāng)時(shí)的美國(guó)總統(tǒng)克林頓簽署通過(guò)，在隨后的幾年，衛(wèi)生部依據(jù)公眾的意見(jiàn)進(jìn)行修訂，HIPAA中的隱私規(guī)則（Privacy Rule）和安全規(guī)則（Sercurity Rule）最終于2003年8月14號(hào)生效。

該項(xiàng)法案旨在保護(hù)受保護(hù)的健康信息（protectedhealth information，PHI），以加強(qiáng)信息共享，提高醫(yī)療保健系統(tǒng)的效率和質(zhì)量。

目前，隨著真實(shí)世界研究的崛起，醫(yī)療行業(yè)對(duì)數(shù)字化系統(tǒng)的需求不斷提升，如計(jì)算機(jī)化的醫(yī)師訂單輸入系統(tǒng)（CPOE）、電子健康記錄（EHR）、以及放射學(xué)，藥學(xué)和實(shí)驗(yàn)室系統(tǒng)。醫(yī)務(wù)人員可以更靈活和高效（醫(yī)生可以在任何地方查看病人記錄和檢測(cè)結(jié)果），但這些技術(shù)的提升增加了潛在的隱私和安全風(fēng)險(xiǎn)。HIPAA是國(guó)際公認(rèn)的，一套比較完善的針對(duì)個(gè)人健康信息的隱私安全法律保護(hù)體系。

法律要求醫(yī)療保健提供者、計(jì)劃和其他實(shí)體維護(hù)患者的機(jī)密性、隱私和安全，并要求三種類(lèi)型的保護(hù)措施：行政、物理和技術(shù)。

1、?行政保障

涵蓋的實(shí)體需要實(shí)施行政保護(hù)措施：描述組織打算如何保護(hù) ePHI?并確保遵守安全規(guī)則的政策和程序。

這些流程包括（但不限于）實(shí)施以下主要標(biāo)準(zhǔn)：

安全管理：這包括進(jìn)行 HIPAA 風(fēng)險(xiǎn)評(píng)估。這種風(fēng)險(xiǎn)評(píng)估最容易由合規(guī)解決方案提供商完成。完整的公司掃描可以發(fā)現(xiàn)差距，并且比手動(dòng)評(píng)估更有效、更徹底。這種預(yù)防措施是強(qiáng)制性的。

安全人員：任命一名負(fù)責(zé)執(zhí)行政策和程序的隱私官。

信息訪問(wèn)管理：限制對(duì) ePHI 的不必要訪問(wèn)。這與物理和技術(shù)保護(hù)措施相交。信息訪問(wèn)管理限制誰(shuí)可以監(jiān)視和查看某些文件及其副本，而不管它駐留在何處（在服務(wù)器、云等上）

工作場(chǎng)所培訓(xùn)和安全意識(shí)：要求員工完成年度 HIPAA 培訓(xùn)，并就其組織的特定安全程序進(jìn)行自我教育。您可能會(huì)問(wèn)為什么這如此重要。雖然大多數(shù)人認(rèn)為我們的組織中不存在黑客，但錯(cuò)誤和人為錯(cuò)誤（例如陷入網(wǎng)絡(luò)釣魚(yú)攻擊）越來(lái)越普遍。讓員工掌握以安全方式處理數(shù)據(jù)、識(shí)別異常電子郵件或消除不安全習(xí)慣的知識(shí)，對(duì)于保持強(qiáng)大的防御能力至關(guān)重要。

應(yīng)急計(jì)劃：確保為與 ePHI 相關(guān)的未知情況制定流程。

2、物理保護(hù)：

政策和程序包括監(jiān)測(cè)和補(bǔ)救：

訪問(wèn)控制：限制對(duì)包含計(jì)算機(jī)和服務(wù)器的設(shè)施的訪問(wèn)。這可能包括實(shí)施程序，以物理方式保護(hù)設(shè)備和設(shè)施免受未經(jīng)授權(quán)的人員的侵害。這也意味著組織應(yīng)該制定一項(xiàng)政策來(lái)記錄和跟蹤可能影響場(chǎng)所物理安全的維護(hù)記錄和報(bào)告。

工作站使用和安全：保護(hù)工作站，包括任何計(jì)算機(jī)，以及其中的信息，包括屏幕保護(hù)鎖和隱私屏幕保護(hù)等控件，以防止“竊聽(tīng)”。

設(shè)備和媒體控制：實(shí)施有關(guān)如何在必要時(shí)從設(shè)施中移除包含 ePHI 的設(shè)備的政策。該規(guī)則還要求制定程序來(lái)處理持有 ePHI 的硬件的處置。

技術(shù)保障：

該組件包括確定技術(shù)如何保護(hù) ePHI 以及誰(shuí)控制對(duì)該數(shù)據(jù)的訪問(wèn)的政策和程序。通常，由于理解該法規(guī)所需的技術(shù)素養(yǎng)水平，實(shí)體最難理解。

技術(shù)保障包括以下內(nèi)容：

訪問(wèn)控制：實(shí)施技術(shù)政策和程序，只允許授權(quán)人員訪問(wèn) ePHI。該標(biāo)準(zhǔn)還要求個(gè)人使用唯一的用戶(hù)標(biāo)識(shí)來(lái)查看 ePHI，具有允許緊急訪問(wèn)的模式，并具有技術(shù)控制以在給定的不活動(dòng)量后強(qiáng)制自動(dòng)注銷(xiāo)。

審計(jì)控制：引入硬件、軟件或程序機(jī)制來(lái)記錄和檢查包含或使用 ePHI 的信息系統(tǒng)中的訪問(wèn)。

完整性控制：執(zhí)行政策和程序以確保 ePHI 沒(méi)有也不會(huì)被不當(dāng)更改或銷(xiāo)毀。

傳輸安全：采取技術(shù)安全措施，防止對(duì)通過(guò)電子網(wǎng)絡(luò)傳輸?shù)?ePHI 進(jìn)行未經(jīng)授權(quán)的訪問(wèn)，這包括要求加密。

目前，美國(guó)衛(wèi)生與公共服務(wù)部記錄了數(shù)百個(gè)實(shí)體未保護(hù)健康信息并經(jīng)歷數(shù)據(jù)泄露的案例，突出了一次事故可能影響數(shù)百至數(shù)萬(wàn)名患者的嚴(yán)重性。醫(yī)療保健信息高度敏感，需要最大程度的保護(hù)。HIPAA 安全規(guī)則的三個(gè)組成部分可能看起來(lái)難以實(shí)施和執(zhí)行，但如果有合適的合作伙伴和程序，它是可行的。

合規(guī)性從來(lái)都不是一蹴而就的事情。企業(yè)必須采取立場(chǎng)來(lái)持續(xù)解決合規(guī)性問(wèn)題，因?yàn)椴贿@樣做的風(fēng)險(xiǎn)太大了。除了巨額罰款和處罰之外，數(shù)據(jù)泄露還會(huì)破壞患者、客戶(hù)和客戶(hù)的信任——這是一個(gè)代價(jià)更高的后果，因此我們必須把安全防護(hù)措施的建立放在首要位置。超級(jí)科技作為信息安全解決方案專(zhuān)家，阿里云戰(zhàn)略合作伙伴，一直以“安全守衛(wèi)夢(mèng)想”為使命，致力于打造有競(jìng)爭(zhēng)力的，高品質(zhì)的網(wǎng)絡(luò)安全云產(chǎn)品和服務(wù)，成為國(guó)內(nèi)云計(jì)算安全領(lǐng)域的領(lǐng)軍企業(yè)。