[US] 医疗服务 (HIPAA) 合规报告
US] 医疗服务 (HIPAA) 合规报告帮助您评估您的网络应用程序对美国健康保险可携性和责任法案 (HIPAA) 安全规则的安全性。
关于 HIPAA 安全和隐私法规
健康保险可携性和责任法案 (HIPAA) 是一项于 1996 年颁布的美国联邦法律。它旨在保护个人健康信息的隐私和安全,并提高医疗系统的效率。
HIPAA 有几个关键目的:
- 隐私:通过控制个人健康信息 (PHI) 的使用和披露来保护患者的权利。
- 安全:设定标准以保护电子受保护健康信息 (ePHI) 免受未经授权的访问、更改或丢失。
- 可携性:确保在个人更换或失去工作时维持健康保险覆盖。
- 行政简化:标准化电子医疗交易和编码以提高效率并降低成本。
HIPAA 包括几个主要规则:
- 隐私规则 (2003):定义受保护健康信息 (PHI),限制其使用和披露,并授予患者对其记录的权利。
- 安全规则 (2005):要求采取行政、物理和技术保障措施以保护电子 PHI (ePHI)。这包括风险评估和访问控制。
- 数据泄露通知规则(2009):在数据泄露事件中,要求通知受影响的个人、卫生与公众服务部(HHS),有时还需通知媒体。
- 执行规则:概述了调查流程和不合规的处罚,可能包括巨额罚款和可能的刑事指控。
HIPAA 于1996年8月21日颁布。关键合规截止日期包括:
- 隐私条款:2003年4月14日
- 安全条款:2005年4月21日
- 数据泄露通知规则:2009年9月23日
受保护实体
以下组织通常需要遵守HIPAA:
- 健康计划、医疗服务提供者和医疗清算所。
- 处理PHI的业务伙伴,如供应商和承包商(例如,云服务提供商或计费服务)。
AppScan Enterprise HIPAA 合规报告
AppScan Enterprise 的 HIPAA 合规报告会自动识别可能影响您整体合规性的网络环境中的潜在问题。该报告还参考了NIST资源指南中关于实施HIPAA安全规则的相关活动。
报告术语
- 可解决问题
- 在本报告中,这意味着受保护实体必须:
- 评估每个实施规范在其环境中是否是合理和适当的保护措施,并参考其对保护实体的电子受保护健康信息的可能贡献进行分析;以及
- 如适用于该实体:
- 实施实施规范(如果合理且适当);或者
- 如果实施实施规范不合理且不适当:
- 记录为什么实施实施规范不合理且不适当;并且
- 如果合理且适当,实施一个等效的替代措施。
- 可能的问题
- 如本报告中所示,这意味着检测到的结果可能暗示未满足所需的实施规范。
HIPAA 合规性报告漏洞
下表列出了评估的特定 HIPAA 安全规则要求。您应用程序中发现的漏洞已映射到这些部分。
| ID | 名称 |
|---|---|
| S.Rule - 第 164 部分,子部分 C,164.308(a)(3)(i) | 可解决的问题 - 实施政策和程序,以确保其所有员工根据[信息访问管理标准]拥有适当的电子受保护健康信息访问权限,并防止那些根据[信息访问管理标准]没有访问权限的员工获取电子受保护健康信息。 |
| S.Rule - 第 164 部分,子部分 C,164.308(a)(3)(ii)(A) | 可解决的问题 - 实施程序以授权和/或监督处理电子受保护健康信息或在可能访问该信息的地点工作的员工。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(i) | 可能问题 - 实施授权访问电子受保护健康信息的政策和程序,这些政策和程序应符合本部分E分部的适用要求,即隐私规则。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(ii)(B) | 可能问题 - 实施授予访问电子受保护健康信息的政策和程序,例如,通过访问工作站、事务、程序、过程或其他机制。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(5)(ii)(D) | 可选问题 - 实施创建、更改和保护密码的程序 |
| S.Rule - Part 164, Subpart C, 164.312(a)(1) | 可能问题 - 实施电子信息系统的技术政策和程序,这些系统维护电子受保护健康信息,以便仅允许那些已被授予访问权限的人员或软件程序访问,如第164.308(a)(4)节中所规定。 |
| S.Rule - Part 164, Subpart C, 164.312(a)(2)(iv) | 可选问题 - 实施加密和解密电子受保护健康信息的机制。 |
| NIST Resource Guide - Section 4.14, Activity 8 | 可选问题 - 实施电子程序,在预定的不活动时间后终止电子会话。 |
| S.Rule - Part 164, Subpart C, 164.312(c)(1) | 可能问题 - 实施政策和程序以保护私人健康信息免受不当更改或破坏 |
| S.Rule - 第164部分,子部分C,164.312(d) | 可能问题 - 实施程序以验证寻求访问私人健康信息的个人或实体是否为所声称的对象 |
| S.Rule - 第164部分,子部分C,164.312(e)(1) | 可能问题 - 实施技术安全措施以防止未经授权访问通过电子通信网络传输的电子受保护健康信息。 |
| S.Rule - 第164部分,子部分C,164.312(e)(2)(ii) | 可选问题 - 实施一种机制以在适当时加密电子私人健康信息 |