[US] 醫療服務 (HIPAA) 合規報告
US] 醫療服務 (HIPAA) 合規報告幫助您評估您的網絡應用程序對美國健康保險可攜性和責任法案 (HIPAA) 安全規則的安全性。
關於 HIPAA 安全和隱私法規
健康保險可攜性和責任法案 (HIPAA) 是一項於 1996 年頒布的美國聯邦法律。其目的是保護個人健康信息的隱私和安全,並提高醫療系統的效率。
HIPAA 有幾個主要目的:
- 隱私:通過控制個人健康信息 (PHI) 的使用和披露來保護患者的權利。
- 安全:制定標準以保護電子受保護健康信息 (ePHI) 免受未經授權的訪問、更改或丟失。
- 可攜性:確保當個人更換或失去工作時,健康保險覆蓋得以維持。
- 行政簡化:標準化電子醫療交易和編碼以提高效率並降低成本。
HIPAA 包括幾個主要規則:
- 隱私規則 (2003):定義受保護健康信息 (PHI),限制其使用和披露,並賦予患者對其記錄的權利。
- 安全規則 (2005):要求行政、物理和技術保障措施來保護電子 PHI (ePHI)。這包括風險評估和訪問控制。
- <uicontrol>Breach Notification Rule</uicontrol> (2009):在資料洩露事件中,要求通知受影響的個人、<uicontrol>Health and Human Services</uicontrol> (HHS),有時還包括媒體。
- <uicontrol>Enforcement Rule</uicontrol>:概述調查過程和不合規的處罰,可能包括重大罰款和可能的刑事指控。
<uicontrol>HIPAA</uicontrol> 於1996年8月21日頒布。主要合規截止日期包括:
- 隱私條款:2003年4月14日
- 安全條款:2005年4月21日
- <uicontrol>Breach Notification Rule</uicontrol>:2009年9月23日
受保實體
以下組織通常需要遵守<uicontrol>HIPAA</uicontrol>:
- 健康計劃、醫療保健提供者和醫療保健清算所。
- 業務夥伴,如處理<uicontrol>PHI</uicontrol>的供應商和承包商(例如,雲端供應商或計費服務)。
<uicontrol>AppScan Enterprise HIPAA compliance report</uicontrol>
<uicontrol>AppScan Enterprise</uicontrol>的<uicontrol>HIPAA compliance report</uicontrol>自動識別可能影響您整體遵守<uicontrol>HIPAA Security Rule</uicontrol>的網絡環境中的潛在問題。該報告還引用了<uicontrol>NIST Resource Guide for Implementing the HIPAA Security Rule</uicontrol>中概述的相關活動。
報告術語
- 可解決問題
- 在此報告中,這意味著受保實體必須:
- 評估每個實施規範在其環境中是否為合理和適當的保障措施,並參考其對保護實體的電子受保護健康信息的可能貢獻進行分析;以及
- 適用於該實體:
- 如果合理且適當,實施實施規範;或者
- 如果實施該實施規範不合理且不適當:
- 記錄為何實施該實施規範不合理且不適當;並且
- 如果合理且適當,實施等效的替代措施。
- 可能的問題
- 如本報告中所示,這意味著檢測到的結果可能暗示未滿足所需的實施規範。
HIPAA 合規報告漏洞
下表列出了評估的特定 HIPAA 安全規則要求。在您的應用程序中發現的漏洞已映射到這些部分。
| ID | 名稱 |
|---|---|
| S.Rule - 第 164 部分,子部分 C,164.308(a)(3)(i) | 可解決問題 - 實施政策和程序,以確保其所有工作人員成員根據[信息訪問管理標準]擁有適當的電子受保護健康信息訪問權限,並防止那些根據[信息訪問管理標準]無訪問權限的工作人員成員獲得電子受保護健康信息的訪問權限。 |
| S.Rule - 第 164 部分,子部分 C,164.308(a)(3)(ii)(A) | 可解決問題 - 實施程序以授權和/或監督處理電子受保護健康信息或在可能訪問該信息的地點工作的工作人員成員。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(i) | 可能問題 - 實施授權訪問電子受保護健康信息的政策和程序,這些政策和程序應符合本部分E分部的適用要求,即隱私規則。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(4)(ii)(B) | 可能問題 - 實施授予訪問電子受保護健康信息的政策和程序,例如,通過訪問工作站、交易、程序、過程或其他機制。 |
| S.Rule - Part 164, Subpart C, 164.308(a)(5)(ii)(D) | 可處理問題 - 實施創建、更改和保護密碼的程序 |
| S.Rule - Part 164, Subpart C, 164.312(a)(1) | 可能問題 - 實施電子信息系統的技術政策和程序,這些系統維護電子受保護健康信息,以便僅允許那些已被授予訪問權限的人或軟件程序訪問,如第164.308(a)(4)節中所規定。 |
| S.Rule - Part 164, Subpart C, 164.312(a)(2)(iv) | 可處理問題 - 實施加密和解密電子受保護健康信息的機制。 |
| NIST Resource Guide - Section 4.14, Activity 8 | 可處理問題 - 實施電子程序,在預定的不活動時間後終止電子會話。 |
| S.Rule - Part 164, Subpart C, 164.312(c)(1) | 可能問題 - 實施政策和程序以保護私人健康信息免受不當更改或破壞 |
| S.規則 - 第164部分,子部分C,164.312(d) | 可能問題 - 實施程序以驗證尋求訪問私人健康信息的人或實體是否為聲稱的對象 |
| S.規則 - 第164部分,子部分C,164.312(e)(1) | 可能問題 - 實施技術安全措施以防止未經授權訪問正在通過電子通信網絡傳輸的電子受保護健康信息。 |
| S.規則 - 第164部分,子部分C,164.312(e)(2)(ii) | 可選問題 - 實施機制以在適當時加密電子私人健康信息 |