什麼是 HIPAA 和 HIPAA Final Omnibus 安全規則？使用此架構更多 HIPAA 資源

美國健康保險流通與責任法案 (HIPAA) Final Omnibus 安全規則 2013

AWS Audit Manager提供支援 HIPAA 規則的預先建置架構，協助您進行稽核準備。

注意

如需有關 HIPAA 安全規則 2003 以及支援此標準的 AWS Audit Manager 架構的資訊，請參閱美國健康保險流通與責任法案 (HIPAA) 安全規則 2003。

主題

什麼是 HIPAA 和 HIPAA Final Omnibus 安全規則？
使用此架構
更多 HIPAA 資源

什麼是 HIPAA 和 HIPAA Final Omnibus 安全規則？

1996 年美國健康保險流通與責任法案 (HIPAA) 是協助美國員工在轉換或失去工作時，得以保留健康保險的法案。該法案亦旨在推廣電子健康紀錄，透過改善資料互通，改善美國醫療系統的效率和品質。

隨著電子醫療紀錄的使用日益增加，HIPAA 還納入受保護醫療資訊 (PHI) 之安全性和隱私權保障的條款。PHI 包括一系列非常廣泛的個人身份健康和健康相關資料。這包括保險和帳單資訊、診斷資料、臨床照護資料，以及實驗室結果，例如影像和測試結果。

HIPAA Final Omnibus 安全規則於 2013 年生效，其對所有先前通過的規則追加了不少更新。安全性、隱私權、違規通知和強制執行規則的修改，旨在增強資料分享的機密性和安全性。

HIPAA 規則適用於涵蓋的實體。這些包括醫院、醫療服務提供者、雇主贊助的健康計劃、研究設施以及直接處理患者和患者資料的保險公司。作為綜合更新的一部分，許多適用於涵蓋實體的 HIPAA 規則，現在也適用於商業夥伴。

有關 HIPAA 和 HITECH 如何保護健康資訊的更多相關內容，請參閱美國衛生和公共服務部的健康資訊隱私網頁。

越來越多的健康照護提供者、付款人和 IT 專業人員正在使用AWS公用程式的雲端服務處理、儲存和傳輸受保護的健康資訊 (PHI)。AWS 讓受 HIPAA 約束的涵蓋實體及其業務夥伴能夠使用安全的 AWS 環境來處理、維護和儲存受保護的健康資訊。如需如何運用 AWS 於處理和儲存健康資訊的說明，請參閱 Amazon Web Services 的 HIPAA 安全與合規架構白皮書。

使用此架構幫助您進行稽核準備

您可以使用 HIPAA Final Omnibus 安全規則 2013 架構來協助您準備稽核。此架構包含預先打造的控制集合，其中包含說明和測試程序。這些控制項會根據 HIPAA 要求分組成控制集。您也可以根據特定需求自訂架構和控制項，以支援內部稽核。

使用架構作為起點，您可以建立 Audit Manager 評估，並開始收集與您的稽核相關的證據。您建立評估之後，Audit Manager 會開始評估您的 AWS 資源。其根據 HIPAA 架構中定義的控制項來執行此動作。需要進行稽核時，您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾，並選擇要包含在評估報告中的證據。或者，如果您啟用了證據搜尋工具，您就可以搜尋特定證據並以 CSV 格式匯出，或者從搜尋結果建立評估報告。不論何種方式，您都可以使用此評估報告來顯示您的控制項正在按預期運作。

HIPAA Final Omnibus 安全規則 2013 架構詳細資訊如下：

AWS Audit Manager 內的架構名稱	自動化控制項數量	手動控制項數量	控制集數	AWS 服務在範圍內
HIPAA Final Omnibus 安全規則 2013	39	46	5	Amazon Elastic Compute Cloud AWS CloudTrail AWS Config AWS Identity and Access Management AWS Security Hub

提示

如果檢閱在此標準架構中，當成資料來源對應的 AWS Config 規則，請下載 AuditManager_ConfigDataSourceMappings_HIPAA-Final-Omnibus-Security-Rule-2013.zip 檔案。

此 AWS Audit Manager 架構中的控制項，並非為了驗證您的系統是否符合 HIPAA 標準所設計。此外，他們無法保證您會透過 HIPAA 之稽核。AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制項。

您可以在 Audit Manager 架構程式庫的標準架構索引標籤下，找到這個架構。

如需使用此架構建立評估方式的說明，請參閱建立評估。

當您使用 Audit Manager 主控台從此標準架構建立評估時，範圍AWS 服務內的清單會被預設為選擇狀態且不可編輯。這是因為 Audit Manager 會自動為您映射並選擇資料來源和服務。此選擇是根據 HIPAA 標準架構的要求所進行。如果您需要編輯此架構範圍內的服務清單，可以使用建立評估或更新評估 API操作來進行編輯。或者，您可以自訂標準架構，然後從自訂架構中建立評估。

如需自訂此架構以支援您特定需求的指引，請參閱自訂現有架構和自訂現有控制項。