HIPAA安全规则概述

电子健康信息保护安全标准 或《博天堂官方》，建立一套国家保密安全标准， 所持有或传输的某些运行状况信息的完整性和可用性 以电子形式. 这些记录被称为“电子保护健康” 信息”或e-PHI.

《博天堂官方网站》的一个主要目标是保护个人健康隐私 信息的同时允许实体采用新技术来提高质量 病人护理的效率. 卫生与公众服务部办公室 负责管理和执行这些标准 可以进行投诉调查和合规审查.

这是对《博天堂官方》关键要素的总结，并不完整或全面 合规指南. 去 信息安全办公室 获取更多信息和资源.

• 谁是安全规则的适用对象?

  《博天堂官方》适用于:

  •  健康计划
  •  医疗保健信息交换所
  • 以电子形式传送有关健康信息的任何保健提供者 卫生与公众服务部部长采用了HIPAA规定的标准
  • 商业伙伴 承保实体
  • 混合的实体
• 哪些资料受保护?
  • 受电子保护的健康信息 - HIPAA隐私规则保护个人可识别的健康隐私 信息，称为PHI. 安全规则保护所涵盖的信息子集 隐私规则涵盖了所有个人可识别的健康信息 实体以电子形式创建、接收、维护或传输. 安全 Rule将这些信息称为“电子保护健康信息”或e-PHI. 的 安全规则不适用于口头或书面传播的PHI. 这个信息 受私隐规则的保护.
• 一般规则
  • 《博天堂官方》要求混合实体保持合理和适当的 保护e-PHI的管理、技术和物理保障措施. 具体地说, 混合实体必须:

  1. 确保他们创建、接收的所有e-PHI的保密性、完整性和可用性。 保持或传送
  2. 识别并防范对安全或完整性的合理预期威胁 博天堂官方网站信息
  3. 防止合理预期的、不允许的使用或披露
  4. 确保员工遵守规定
• 《博天堂官方网站》如何定义“保密”??

  安全规则对机密性的定义是指e-PHI不可获得或不可披露 未经授权人士. 根据安全规则，“完整性”意味着e-PHI是 未经授权的未被改变或毁坏的. “可用性”指的是e-PHI 是否可被授权人员访问和使用.

•  风险分析与管理

   安全规则要求实体将风险分析作为其安全管理的一部分 流程. 风险分析过程包括但不限于以下内容 活动:

  • 评估e-PHI潜在风险的可能性和影响
  • 实施适当的安全措施，以解决风险中识别的风险 分析
  • 记录所选择的安全措施，并在需要时记录采用这些措施的理由 措施
  • 保持持续、合理和适当的安全保护

  风险分析应该是一个持续的过程，在混合实体定期审查 其记录跟踪访问e-PHI和检测安全事件，定期评估 安全措施的有效性落实到位，并定期重新评估潜力 风险.

• 管理保障措施
  • 安全管理流程 -承保实体必须识别和分析潜在风险，并必须实施 将风险和漏洞降低到合理和适当的安全措施 水平
  • 安全人员-承保实体必须指定一名负责的安全官员 制定和实施其安全政策和程序
  • 信息访问管理——安全规则需要一个被覆盖的实体来实现 仅在适当情况下授权访问e-PHI的政策和程序 基于用户或收件人的角色(基于角色的访问)
  • 劳动力培训和管理-混合实体必须提供适当的授权 并监督使用e-PHI的员工. 受保实体必须接受培训 所有员工都必须遵守其安全政策和程序 并对违反公司政策的员工实施制裁
  • 评估-承保实体必须对其安全性进行定期评估 政策和程序符合《博天堂官方》的要求
• 物理安全措施
  •  设施访问和控制——受保护实体必须限制对其设施的物理访问 设施，同时确保授权访问是允许的
  • 工作站和设备安全-实体必须实施策略和程序 规定正确使用和存取工作站和电子媒体. 一个覆盖 实体还必须制定有关转移、移除、处置、 和重复使用电子媒体，以确保适当保护e-PHI
• 技术保障措施
  •  访问控制——受保护的实体必须实现技术策略和程序 只允许授权人员访问e-PHI
  • 审计控制——一个实体必须实现硬件、软件和/或程序机制 记录和检查信息系统中包含的访问和其他活动 或者使用e-PHI
  • 完整性控制-受保实体必须确保e-PHI没有被不当更改 或销毁. 电子措施必须到位，以确认e-PHI没有 被不恰当地改变或毁坏的
  • 传输安全——实体必须实现以下技术安全措施 防止未经授权访问通过电子设备传输的e-PHI 网络