本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
《健康保险流通与责任法案》(HIPAA) 2013 最终综合安全规则
AWS Audit Manager 提供了支持 HIPAA 规则的预先构建框架,可帮助您做好审计准备。
注意
有关 2003 HIPAA 安全规则和支持该标准的AWS Audit Manager 框架的信息,请参阅健康保险流通与责任法案 (HIPAA) 2003 年安全规则。
什么是 HIPAA 和 HIPAA 最终综合安全规则?
《1996 年健康保险流通与责任法案》(HIPAA) 是一项立法,旨在帮助美国工人在跳槽或失业时保留健康保险。该立法还寻求鼓励电子健康记录,通过改善信息共享来提高美国医疗保健系统的效率和质量。
除了越来越多地使用电子病历外,HIPAA 还包括保护受保护健康信息 (PHI) 安全和隐私的规定。PHI 包括大量可识别个人身份的健康与健康相关数据。包括保险和账单信息、诊断数据、临床护理数据以及实验室结果,例如图像和测试结果。
HIPAA 最终综合安全规则于 2013 年生效,对先前通过的所有规则提出了多项更新。对“安全、隐私、违规通知”和“执法规则”的修改,旨在增强数据共享的保密性和安全性。
HIPAA 规则适用于受保实体。其中包括医院、医疗服务提供商、雇主赞助的健康计划、研究机构,以及直接接触患者和患者数据的保险公司。根据综合更新,适用于受保实体的许多 HIPAA 规则现在也适用于商业伙伴。
有关 HIPAA 和 HITECH 如何保护健康信息的更多信息,请参阅美国卫生与公众服务部的健康信息隐私
越来越多的医疗保健提供商、付款人和 IT 专业人员正在使用AWS公用事业云服务处理、存储和传输受保护的医疗信息 (PHI)。AWS使受 HIPAA 约束的相关实体及其业务伙伴能够使用安全 AWS 环境处理、维护和存储受保护的健康信息。有关如何使用AWS处理和存储运行状况信息的说明,请参阅Amazon Web Services 上的 HIPAA 安全性和合规性架构
使用此框架支持您的审计准备
您可以使用 2013 HIPAA 最终综合安全规则 框架帮助您为审计做准备。框架包括预先构建的控件集合,其中包含描述和测试程序。这些控件根据 HIPAA 要求分组为控件集。您还可以根据具体要求,自定义此框架及其控件,以支持内部审计。
以该框架作为起点,您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评测后,Audit Manager 会开始评测您的 AWS 资源。它基于 HIPAA 框架中定义的控件执行此操作。当需要进行审计时,您或您选择的委托人可以查看 Audit Manager 收集的证据。或者,您可浏览评测的证据文件夹,然后选择要将哪些证据纳入评测报告。或者,如果启用了证据查找器,则可以搜索特定证据并将其以 CSV 格式导出,或根据搜索结果创建评测报告。无论采用哪种方式,此评测报告可帮助您证明您的控件是否按预期运行。
2013 HIPAA 最终综合安全规则框架的详细信息如下:
| AWS Audit Manager中的框架名称 | 自动控件数量 | 手动控件数量 | 控件集数量 | 范围内 AWS 服务 |
|---|---|---|---|---|
| 2013 HIPAA 最终综合安全规则 | 39 | 46 | 5 |
|
提示
要查看此标准框架中的数据来源映射AWS Config规则,请下载 AuditManager_ConfigDataSourceMappings_HIPAA-Final-Omnibus-Security-Rule-2013.zip 文件。
此AWS Audit Manager框架中的控件并不旨在验证您的系统是否符合 HIPAA 标准。此外,他们无法保证你会通过 HIPAA 审计。 AWS Audit Manager不会自动检查需要手动收集证据的程序控件。
您可以在 Audit Manager 中框架库的 标准框架选项卡下找到此框架。
有关如何使用此框架创建评测的说明,请参阅 创建评测。
当您使用 Audit Manager 控制台从标准框架创建评测时,范围内的AWS 服务列表默认为预先选择且无法编辑。这是因为 Audit Manager 会自动为您映射和选择数据来源和服务。此选择基于 HIPAA 框架要求。如果您需要编辑此框架范围内的服务列表,则可以使用 CreateAssessment 或 UpdateAssessment API 操作执行。或者,您可以自定义标准框架,然后通过自定义框架创建评测。
有关如何自定义此框架以支持您特定要求的说明,请参阅自定义现有框架和自定义现有控件。
更多 HIPAA 资源
-
美国卫生与公众服务部的健康信息隐私
-
美国卫生与公共服务部的综合 HIPAA 规则制定
