本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
HIPAA 安全性規則:2003 年 2 月
AWS Audit Manager 提供預先建立的標準架構,以支援《Health 保險流通與責任法案》(HIPAA) 安全規則:2003 年 2 月。
注意
如需有關 HIPAA Final Omnibus 安全規則 2013 以及支援此標準的 Audit Manager 架構的資訊,請參閱 HIPAA 全方位最終規則。
什麼是 HIPAA 和 HIPAA 安全規則 2003?
HIPAA 是一項協助美國員工在轉換或失去工作時保留醫療保險的立法。該法案亦旨在推廣電子健康紀錄,透過改善資料互通,改善美國醫療系統的效率和品質。
隨著電子醫療紀錄的使用日益增加,HIPAA 還納入受保護醫療資訊 (PHI) 之安全性和隱私權保障的條款。PHI 包括一系列非常廣泛的個人身份健康和健康相關資料。這包括保險和帳單資訊、診斷資料、臨床照護資料,以及實驗室結果,例如影像和測試結果。
美國健康與公共服務部於 2003 年 2 月發布了最終版的安全規則
HIPAA 規則適用於涵蓋的實體。這些包括醫院、醫療服務提供者、雇主贊助的健康計劃、研究設施以及直接處理患者和患者資料的保險公司。保護 PHI 的 HIPAA 要求也延伸到商業夥伴。
有關 HIPAA 和 HITECH 如何保護健康資訊的更多相關內容,請參閱美國衛生和公共服務部的健康資訊隱私
越來越多的醫療保健提供者、付款人和 IT 專業人員正在使用以 AWS 公用事業為基礎的雲端服務來處理、儲存和傳輸受保護的醫療資訊 (PHI)。 AWS 使受 HIPAA 約束的涵蓋實體及其業務夥伴能夠使用安全 AWS 環境來處理、維護和儲存受保護的健康資訊。
如需有關如何使用 AWS 處理和儲存健康狀態資訊的指示,請參閱在 Amazon Web Services 上架構 HIPAA 安全性與合規
使用此架構
您可以使用 HIPAA 安全規則 2003 來協助您準備稽核。此架構包含預先打造的控制集合,其中包含說明和測試程序。這些控制項會根據 HIPAA 要求分組成控制集。您也可以根據特定需求自訂架構和控制項,以支援內部稽核。
使用架構作為起點,您可以建立 Audit Manager 評估,並開始收集與您的稽核相關的證據。建立評估之後,Audit Manager 會開始評估您的 AWS 資源。其根據 HIPAA 架構中定義的控制項來執行此動作。需要進行稽核時,您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾,並選擇要包含在評估報告中的證據。或者,如果您啟用了證據搜尋工具,您就可以搜尋特定證據並以 CSV 格式匯出,或者從搜尋結果建立評估報告。不論何種方式,您都可以使用此評估報告來顯示您的控制項正在按預期運作。
架構的詳細資訊如下:
| 框架名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 |
|---|---|---|---|
|
《Health 保險流通與責任法案》(HIPAA) 安全規則:2003 年 2 月 |
45 | 40 | 5 |
提示
若要檢閱在此標準架構中用作資料來源對應的 AWS Config 規則,請下載 AuditManager_ ConfigDataSourceMappings _HIPAA-Security-Rule-Feb-2003.zip 檔案。
此 AWS Audit Manager 架構中的控制項並非用來驗證您的系統是否符合 HIPAA 標準。此外,他們不能保證您會通過 HIPAA 審核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控件。
您可以在 Audit Manager 中架構程式庫的 [標準架構] 索引標籤下找到此架構。
後續步驟
如需使用此架構建立評估方式的說明,請參閱 在中建立評估 AWS Audit Manager。
如需如何自訂此架構以支援您的特定需求的指示,請參閱在中製作現有框架的可編輯副本 AWS Audit Manager。
其他資源
