خرید vpn خوب

انطباق HIPAA چیست؟ راهنمای 2020 + لیست شما

جریمه HIPAA برای ده شرکت 28.7 میلیون دلار در سال 2018 هزینه کرد ، که رکورد قبلی سال 2016 برای جریمه های HIPAA را با 22٪ شکست! این تنها 10 مورد HIPAA از بین 25912 شکایت و 2531 بررسی تخلف داده ها حل شده است . شما نمی خواهید در مورد شکایت HIPAA علیه شرکت خود نگران باشید و نمی خواهید یکی از کسانی باشید که جریمه می شوند. این راهنما آنچه را که شما باید در مورد انطباق HIPAA بدانید و به شما کمک می کند از داده های محافظت شده HIPAA خود محافظت کنید ، می گوید.

انطباق HIPAA چیست؟

انطباق HIPAA فرایندی است که همکاران تجاری و نهادهای تحت پوشش برای محافظت و محافظت از آن دنبال می کنند. امن اطلاعات حفاظت شده بهداشت (PHI) مطابق قانون قانون قابلیت انتقال و پاسخگویی بیمه سلامت. معنای این اصطلاحات قانونی این است که "اطلاعات بهداشتی و درمانی افراد را خصوصی نگه دارید."

بیایید به تعاریف فنی این اصطلاحات بپردازیم.

اطلاعات بهداشتی محافظت شده (PHI) چیست؟

اطلاعات بهداشتی محافظت شده (PHI) داده های بهداشتی شما / من / همه است. PHI محتوائی است که HIPAA سعی در محافظت و حفظ خصوصی دارد. قانون Safe Harbor Rule مشخص می کند که چه نوع داده ای را باید برای طبقه بندی PHI حذف کنید.

یک نهاد تحت پوشش چیست؟

یک نهاد تحت پوشش فردی است که در یک زمینه بهداشتی استفاده می کند و دارد. دسترسی به PHI. آنها پزشک ، پرستار و شرکت های بیمه هستند.

شرکای تجاری چیست؟

همکاران تجاری افرادی هستند که با یک نهاد تحت پوشش تحت پوشش خدمات غیر بهداشتی کار می کنند و به همان اندازه نهادهای تحت پوشش وظیفه حفظ انطباق HIPAA را دارند.

همکاران تجاری وکلا ، حسابداران ، سرپرستان ، و پرسنل IT هستند که در صنعت مراقبت های بهداشتی کار می کنند و به PHI دسترسی دارند.

قانون حفظ حریم خصوصی HIPAA چیست؟

عنوان: HIPAA قانون حفظ حریم خصوصی کپی: توضیح می دهد که چگونه برای استفاده ، مدیریت و محافظت از اطلاعات مربوط به سلامتی شخصی (PHI یا ePHI)

The Rule Privacy Policy HIPAA ، به همراه قانون امنیت HIPAA (زیر) ، پایه و اساس HIPAA را تشکیل دهید آئین نامه. قانون حفظ حریم خصوصی توضیح می دهد که چگونه و چه موقع متخصصان ، وکلا ، و یا هرکسی که به PHI شما دسترسی پیدا کند ، می تواند یا نمی تواند از آن داده ها استفاده کند.

به عنوان مثال: اگر می خواهم اجازه دهم PHI من در دسترس شخص دیگری باشد ، قانون نیاز به امضا دارد. فرم انتشار HIPAA PHI به منظور اینکه مطب دکتر بتواند اطلاعات من را با آنها به اشتراک بگذارد. اینها سناریوهایی است که در قانون حفظ حریم خصوصی درج شده است.

چه اطلاعاتی از حریم خصوصی محافظت می کند؟

تصویر: پرونده های آبی با padlock.Title: اطلاعاتی که توسط HIPAA محافظت می شود شامل کپی: تاریخ تولد ، فوت یا تاریخ درمان اطلاعات تماس شماره های تأمین اجتماعی شماره پرونده های پزشکی عکسها اثر انگشت و چاپ صوتی هر شناسه منحصر به فرد دیگر

قانون حفظ حریم خصوصی HIPAA PHI را به عنوان "اطلاعات بهداشتی قابل شناسایی" تعریف می کند که توسط یک نهاد تحت پوشش یا همکاران تجاری آنها ، به هر شکل یا رسانه ای ذخیره شده یا منتقل می شود. (الکترونیکی ، کاغذی یا شفاهی)

قانون همچنین "اطلاعات بهداشتی را به صورت جداگانه قابل شناسایی" به عنوان شرایط گذشته ، حال و آینده فرد ، جزئیات مراقبت های بهداشتی ارائه شده به یک فرد ، و اطلاعات پرداختی را تعیین می کند. مشخص می کند یا مبنای معقولی وجود دارد که می توان برای شناسایی فرد از آن استفاده کرد. "

به زبان ساده: همه و همه اطلاعات مربوط به مراجعه به پزشكان ، همیشه ، از جمله (اما محدود به آن نیست):

  • نام ها
  • تاریخ تولد ، مرگ یا معالجه ، و هر تاریخ دیگری كه مربوط به بیماری یا مراقبت از بیمار باشد
  • شماره های تلفن ، آدرس ها و موارد دیگر
  • شماره های تأمین اجتماعی
  • شماره سوابق پزشکی
  • عکسها
  • چاپ انگشت و صوت
  • هر شماره یا شماره شناسایی منحصر به فرد دیگر

چه کسی قانون حفظ حریم خصوصی HIPAA را تعیین می کند. درخواست کنید؟

قانون حفظ حریم خصوصی HIPAA با استفاده از قوانین مربوط به اشخاص تحت پوشش ، از PHI فردی محافظت می کند.

اشخاص تحت پوشش افراد و سازمان هایی هستند که داده های PHI را برای مشتریان خود در اختیار دارند و پردازش می کنند – آنهایی که مورد نیاز برای گزارش تخلفات HIPAA هستند و چه کسی مسئولیت پرداخت جریمه های تعیین شده توسط دفتر حقوق مدنی در صورت وقوع نقض HIPAA است.

HIPAA این افراد و سازمان ها را به عنوان نهادهای تحت پوشش تعریف می کند:

  • ارائه دهندگان مراقبت های بهداشتی [19659046] پزشکان
  • کلینیک ها
  • روانشناسان
  • دندانپزشکان
  • کایروپراکتورها
  • خانه های سالمندان
  • داروخانه ها
  • برنامه های درمانی
  • شرکت های بیمه درمانی
    • HMO
    • 19659034] دولت برنامه های مراقبت های بهداشتی ارائه داد
  • پاکسازی مراقبت های بهداشتی
    • این نهادها داده های مراقبت های بهداشتی را از یک نهاد دیگر به یک فرم استاندارد پردازش می کنند.

قانون HIPAA Omnibus چیست؟

قاعده HipAA Omnibus مهمترین است به آیین نامه HIPAA تغییر دهید و چندین تعریف قبلی را روشن و به روز کنید. این تعریف از مشاغل تجاری را شامل می شود که شامل پیمانکاران فرعی ، مشاوران و شرکتهای ذخیره سازی می شویم که HIPAA را به طور مؤثر گسترش می دهد تا سازمان ها و افراد بیشتری را تحت پوشش خود قرار دهد. تغییرات در آیین نامه افزایش یافته و مجازاتهای مدنی را برای نقض HIPAA افزایش داده ، قوانین اخطار نقض را به روز کرده و استفاده از اطلاعات ژنتیکی را برای اهداف بیمه نامه تحت تحریم منع می کند. سرانجام ، شرکت ها نمی توانند از PHI برای اهداف بازاریابی استفاده کنند.

قانون امنیتی HIPAA چیست؟

عنوان: HIPAA Security Rule Subtitle: 3 Zone Security Keys کپی های اداری (تصویر سازی یک مقاله) فیزیکی (تصویربرداری از مخروط ترافیکی) فنی (تصویر یک لپ تاپ)

قانون قانون HIPAA حداقل استانداردهای لازم برای اشخاص تحت پوشش برای مدیریت PHI الکترونیکی (ePHI) را تعیین می کند. قانون امنیتی HIPAA می گوید – "این قانون امنیتی برای تضمین محرمانه بودن ، صداقت و امنیت اطلاعات بهداشتی الکترونیکی محافظت شده ، به تدابیر اداری ، جسمی و فنی مناسب نیاز دارد."

چگونه می توان حکم امنیتی HIPAA از داده های شما محافظت می کند؟

عنوان: الزامات امنیتی HIPAA کپی: فرآیند مدیریت امنیت مقام رسمی امنیتی تعیین نیازهای دسترسی به نیروی کار محدود کردن دسترسی به اطلاعات آگاهی امنیتی و آموزش رویه های حادثه امنیتی برنامه های احتمالی طرح برنامه اضطراری ارزیابی ها و پیشرفت قراردادهای شخص ثالث کنترل های دسترسی به امکانات فیزیکی کنترل دسترسی به ایستگاه کاری سخت استفاده از ایستگاه کاری فنی امنیتی کمکی و کنترل رسانه لیست های کنترل دسترسی حسابرسی نقض مسیر حسابرسی و گزارش عملکرد قابلیت بازیابی و بازیابی احراز هویت شخص یا نهاد امنیت انتقال

قوانین HIPAA به نهادهای تحت پوشش نیاز دارد تا برای اطمینان از تأیید و تأیید مطابقت خود با HI ، از اشخاص تحت پوشش رعایت كنند. قانون امنیت PAA:

فرآیند مدیریت امنیت: CEs باید سیاست ها و روش هایی را برای جلوگیری ، کشف ، مهار و تصحیح تخلفات امنیتی ایجاد کنند. بخشی از این فرایند پیروی از رویه های موجود در چارچوب مدیریت ریسک برای ارزیابی ریسک کلی در فرآیندهای فعلی شما یا هنگام اجرای سیاست های جدید است.

مسئولیت امنیتی اختصاص داده شده: یک مقام امنیتی تعیین شده باید مسئول توسعه باشد و اجرای قانون امنیت HIPAA.

امنیت نیروی کار: CE ها باید تشخیص دهند كه كاركنان به دسترسی به ePHI نیاز دارند و تلاش می كنند تا بر آن دسترسی كنترل كنند. برای دستیابی به این هدف ، حداقل یک امتیاز ممتاز را پیاده سازی کنید و به طور خودکار مجوزها را اجرا و مدیریت کنید.

مدیریت دسترسی به اطلاعات: دسترسی به ePHI را از طریق مجوزها محدود کنید ، پس از مشخص کردن افرادی که باید در مرحله فوق دسترسی داشته باشند.

Security آگاهی و آموزش: به منظور اجرای این قوانین و سیاست های امنیتی ، سازمان ها باید به کاربران خود آموزش دهند که این قوانین چیست و چگونه باید از آنها پیروی کنند.

رویه های حادثه امنیتی: این استاندارد سازمان را راهنمایی می کند. چگونگی ایجاد یک خط مشی برای رفع نقض داده ها: این عمل صحیح است بدون در نظر گرفتن – تخلفات و نقض های امنیتی را گزارش دهید و هشدارها و تحلیل های امنیتی را تنظیم کنید تا در وهله اول بتوانید از تخلفات جلوگیری کنید.

برنامه احتمالی: استاندارد "چه اتفاقی می افتد" یک برنامه تهیه نسخه پشتیبان از داده ها ، یک برنامه بازیابی فاجعه ایجاد کرده و پیروی کنید و یک برنامه عملیاتی حالت اضطراری در محل خود داشته باشید ، فقط در مواردی که موارد به صورت جانبی برود و نقض شود در این استاندارد همچنین راهنمایی هایی برای آزمایش و تجدید نظر در این برنامه ها ، و همچنین مدیریت برنامه های مهم و حیاتی که ePHI را ذخیره ، نگهداری یا انتقال می کنند ، وجود دارد.

ارزیابی: فرایندی را برای بررسی و حفظ سیاست ها و رویه ها ایجاد کنید تا بماند. با قوانین و مقررات امنیتی HIPAA.

قراردادهای همکار تجاری و سایر ترتیبات: اگرچه استفاده از مشاغل دیگر برای اجرای استراتژی کلی امنیت HIPAA خود ، مانند هر پیمانکار شخص ثالث ، خوب است. که آنها HIPAA را درک می کنند و ePHI شما را به بیرون درز نمی کنند.

این بخش از قانون امنیت HIPAA استانداردهای امنیتی جسمی را تعیین می کند: "درهای خود را قفل کنید" و "نوار کردن دریچه ها" نوع راهنمایی – همراه با چه چیزی در صورت بروز بلایای طبیعی ، به طور طبیعی انجام دهید.

کنترل دسترسی به امکانات: دسترسی فیزیکی به رایانه هایی که ePHI را ذخیره و پردازش می کنند ، محدودیت و ممیزی کنید. نوک حرفه ای – قفل را روی درب اتاق سرور بگذارید.

ایستگاه کاری استفاده: رایانه ها (دسک تاپ ، لپ تاپ و رایانه های لوحی) را که برای دسترسی به ePHI استفاده می شوند ، مدیریت و امن کنید. هر رایانه ای که به یک ePHI CEs دسترسی داشته باشد باید این قانون را رعایت کند ، از جمله سیستم هایی که خارج از سایت (و آفلاین) هستند.

Securitystation Security: برای کلیه رایانه هایی که به ePHI دسترسی دارند ، حفاظت های فیزیکی را اعمال کنید: دسترسی به رایانه هایی که به ePHI دسترسی دارند محدود کنید. ، محافظ های پاک کننده از راه دور را روی لپ تاپ هایی که پا رشد می کنند ، نصب کنید.

کنترل دستگاه و رسانه: پس از اینکه رایانه ها پوشانده شدند ، شما هنوز هم در بقیه موارد به محافظت نیاز دارید: دستگاه ها و رسانه هایی مانند درایوهای USB ، پشتیبان نوار یا ذخیره سازی قابل جابجایی. سیاستی برای موجودی ، ایجاد امکان استفاده ، استفاده مجدد یا از بین بردن این وسایل در صورت نیاز ایجاد کنید.

حفاظت فنی تکنیکی و رویه هایی است که اشخاص را برای محافظت از ePHI استفاده می کنند. قانون امنیت HIPAA تعریف نمی کند که از چه فناوری استفاده می شود – بلکه درخواست می کند که CE ها از استاندارد استفاده کنند و ePHI را به اندازه کافی از نقض داده محافظت کنند.

Control Access: کاربران را در صورت لزوم برای دسترسی به ePHI ، تأسیس و نگهداری حداقل تأیید کنید. یک مدل امتیاز ، و رویه های مناسب را برای نظارت بر لیست های کنترل دسترسی (ACL) در یک برنامه منظم در نظر بگیرید.

کنترلهای حسابرسی: حساب ePHI خود را برای ثبت و تجزیه و تحلیل فعالیت در صورت نقض داده ها حسابرسی کنید. نیاز CE برای ارائه یک ردیاب حسابرسی کامل از نقض داده ها و اینکه چه PHI می تواند OCR را دقیقاً نشان دهد که چگونه یک نقض داده با یک حسابرسی کامل و گزارش گیری رخ داده است.

یکپارچگی: برای سازگار با HIPAA ، CEs نیاز دارد برای اینکه بتوانند ثابت کنند که ePHI که آنها مدیریت می کنند از تهدیدات داخل و خارج ، عمدی یا غیر محافظت می شود. این که آیا کارآموز جدید به طور تصادفی رکورد را حذف می کند ، یا یک هکر ناخوشایند آن را عمداً حذف می کند ، باید بتوانید آن رکورد را بازیابی و بازیابی کنید.

تأیید هویت شخص یا اشخاص: CEs باید تضمین کنند که شخص دسترسی به ePHI دارد ، در واقع ، آنها که می گویند هستند. این تضمین ها می توانند یک گذرواژه ، تأیید هویت دو عاملی یا اسکن شبکیه باشند – هرچه کار کند تا زمانی که چیزی را اجرا کرده باشید.

Security Security: هنگام ارسال داده به شرکای تجاری دیگر ، باید بتوانید اثبات کنید فقط افراد مجاز به EPHI دسترسی داشتند. شما می توانید از یک ایمیل رمزگذاری شده با یک کلید خصوصی ، انتقال پرونده HTTPS یا VPN استفاده کنید – تا زمانی که فقط افرادی که مجاز به استفاده از ePHI هستند ، HIPPA به نحوه تنظیم آن اهمیتی نمی دهد.

قانون اجرای HIPAA؟

قانون اجرای HIPAA توضیح می دهد که چگونه شرکت ها باید رسیدگی به تخلفات HIPAA را انجام دهند – و روند فقط یک سیلی روی مچ نیست.

افراد یا شرکت ها تخلفات HIPAA را به دفتر حقوق شهروندی (OCR) گزارش می دهند. ) ، و OCR مسئول بررسی و بررسی این تخلفات است. اگر OCR متخلفان را ناشایست ببیند ، متخلفان باید در وهله اول آنچه را که باعث نقض این تخلف شده است برطرف کنند و با اطلاعات فرد مبتلا به رضایت OCR برخورد کنند. اگر OCR پاسخ آنها را رضایت بخش نبیند یا اگر نقض داده را ناخوشایند ببیند ، OCR متخلفین را بر اساس تعداد سوابق درگیر جریمه می کند.

اخطار نقض HIPAA چیست؟

عنوان: اطلاع رسانی نقض HIPAA کپی: اگر بیش از 500 پرونده PHI تحت تأثیر قرار گرفته است ، باید HHS و OCR را آگاه سازید اگر در یک رویداد از 500 رکورد پیشی نگیرید ، همه تخلفات کوچکتر را یک بار در سال به HHS گزارش دهید. زیرنویس: برای گزارش تخلف HIPAA ، ارائه دهید: کپی: لیست PHI موجود توضیحی در مورد چگونگی رخ داده چه کسی داده های غیرمجاز را اثبات کرده است که PHI مشاهده شده است ، یا اگر در دسترس بود اما مراحل کاهش تاکنون مشاهده نشده است.

قاعده اطلاع رسانی نقض HIPAA به اشخاص تحت پوشش نیاز دارد. طی 60 روز به فردی از دسترسی نادرست به PHI خود اطلاع دهید. یادآوری این نکته حائز اهمیت است که حتی اگر ransomware رمزگذاری ePHI را انجام دهد ، یک تخلف محسوب می شود – و به همین دلیل تحت قانون اعلان نقض HIPAA قرار می گیرد.

اگر بیش از 500 پرونده PHI در آن تأثیر داشته باشد ، باید به وزارت بهداشت و خدمات انسانی اطلاع دهید ( که به نوبه خود OCR را درگیر می کند) – و شما را ملزم به صدور بیانیه مطبوعاتی در مورد این تخلف می کنید.

اگر در وضعیت ناگوار گزارش تخلف HIPAA قرار دارید ، اطلاعاتی است که در ابتدا باید OCR ارائه دهید: [19659033] لیستی از PHI در دسترس قرار گرفت ، و توضیح در مورد چگونگی وقوع این تخلف.

  • چه کسی شخصی غیرمجاز بود که به داده ها دسترسی داشت یا دسترسی داشت؟
  • اشخاص / افراد غیرمجاز که به PHI مراجعه یا دسترسی داشتند چه کسی بود.
  • تأیید مبنی بر اینکه اشخاص غیر مجاز PHI را مشاهده می کنند ، یا اگر PHI در دسترس است اما بدون دسترسی.
  • هرگونه اقدامات تخفیفی را که برداشته اید

    • خبر خوب است: اگر 50000 لیمی ضبط نکنید. در یک رویداد واحد ، شما می توانید تمام موارد نقض کوچکتر خود را در هر دسته یک بار در هر سال طبق قوانین آگاهی از نقض تخلفات به HHS گزارش دهید.

    نقض HIPAA چیست؟

    راه های زیادی برای نقض الزامات HIPAA وجود دارد. در بیشتر موارد ، تخلفات به دلیل سهل انگاری یا رعایت ناقص قوانین و مقررات ایمنی و امنیتی HIPAA منجر به نقض داده های PHI یا انتشار یا دسترسی غیرمجاز توسط کارمندان غیر مجاز به PHI می شود. آیا یک لپ تاپ به سرقت رفته حاوی PHI نقض HIPAA است؟ لازم نیست! یک لپ تاپ به سرقت رفته با رمزگذاری شده PHI یک نقض HIPAA نیست.

    OCR هر ساله ده ها هزار مورد HIPAA را بررسی می کند. در سال 2018 تنها 10 مورد منجر به نقض HIPAA و مجازات مدنی شد.

    نقض معمول HIPAA

    عنوان: نقض های معمول HIPAA کپی: دزدی تجهیزات که فروشگاه های اینترنتی ضد ویروس سایبری را نقض می کند اشتباهاً ارسال PHI در حال ارسال PHI در حال ارسال PHI در پست عمومی ارسال PHI در soci

    در اینجا برخی از شایع ترین علل آن است. نقض اطلاعاتی که می تواند به نقض HIPAA منجر شود:

    • سرقت تجهیزات که PHI را ذخیره می کند
    • هک / بدافزار / باج افزار
    • شکستن دفتر
    • ارسال PHI به شخص یا شریک تجاری [19659034] بحث در مورد PHI در ملاء عام
    • ارسال PHI به رسانه های اجتماعی

    سطوح خوب برای نقض انطباق HIPAA

    قانون اجرای دستورالعمل جریمه نقض HIPAA است. چهار سطح جریمه وجود دارد.

    سطح اول "آیا نمی دانستم" است و جریمه های آن بین 100 تا 50،000 دلار برای هر حادثه با حداکثر سالانه 150000000 دلار در نظر گرفته می شود. سطح بعدی "دلیل معقول" است ، و این جریمه ها از 1000 تا 50،000 دلار در هر حادثه با همان حداکثر سالانه است. دو سطح بعدی برای تخلفات سنگین تر است ، جایی که شرکت ها سهل انگاری می کنند. اگر شرکت برای اصلاح رفتارهای ناعادلانه خود قدم بردارد ، جریمه 10،000 دلار – 50،000 دلار برای هر حادثه است. اگر حسابرس انطباق تصمیم بگیرد كه شركت اقدامی اصلاحی انجام ندهد ، در ازای هر حادثه 50،000 دلار جریمه خواهد شد.

    چندین نمونه قطعنامه HIPAA در وب سایت OCR وجود دارد. وقتی جریمه هایی می بینید که بالغ بر 1.5 میلیون دلار است – حداکثر سالانه در اجرای قانون – این بدان معناست که چندین مورد نقض یا نقض داده های مختلف رخ داده است که طی چندین سال اتفاق افتاده است.

    عناصر یک برنامه انطباق مؤثر؟

    دفتر بازرس کل (OIG) برای وزارت بهداشت و خدمات انسانی (HHS) راهنمای آموزش انطباق را منتشر کرد و "هفت اساسی" عناصر یک برنامه سازگاری مؤثر. " اینها هفت اصل راهنمایی است که شما باید برای هدایت تلاشهای مربوط به انطباق HIPAA از آنها استفاده کنید ، و یک حسابرس در طول تحقیقات از این معیارها استفاده می کند:

    1. اجرای سیاست های کتبی ، رویه ها و استانداردهای رفتاری.
    3. انجام آموزش و آموزش مؤثر.
    4. توسعه خطوط مؤثر ارتباطات.
    5. انجام نظارت و ممیزی داخلی.
    6. اجرای استانداردها از طریق رهنمودهای نظم و انضباطی که به خوبی تبلیغ شده است.
    7. بی درنگ پاسخ به فوریت های تشخیص داده شده و تصحیح اقدام.

    عناصر ارزیابی خطر انطباق HIPAA

    عنوان: کپی ارزیابی ریسک پذیری HIPAA رونوشت: دامنه و عمق ارزیابی ریسک را کشف کنید و تمام PHI و ePHI ذخیره شده را پیدا کنید و طبقه بندی کنید ، تهدیدات و آسیب پذیری های احتمالی را ارزیابی کنید. اقدامات امنیتی فعلی را ارزیابی کنید محل احتمال وقوع یک حادثه نقض را تعیین کنید در صورت P سطح خطر را اندازه گیری کنید HI همیشه به سرقت رفته است ارزیابی خود را برای ممیزی احتمالی بررسی کنید و ارزیابی را به صورت دوره ای به روز کنید </span><span style= OCR راهنمایی در مورد چگونگی انجام ارزیابی خطر انطباق HIPAA را ارائه می دهد. شما باید به نشریات NIST پیرامون امنیت سایبری مراجعه کنید تا به بهترین نحو درک کنند که دولت فدرال چگونه خطر را در زیرساخت های متصل مدرن تعریف می کند. در اینجا نکات کلیدی راهنمایی OCR در مورد ارزیابی ریسک ذکر شده است.

    • دامنه تجزیه و تحلیل: تمام PHI شما در کجا زندگی می کند؟ آیا شما کنترل تمام آن مکان های ذخیره سازی را دارید؟ چه تعداد فروشگاه داده نیاز به بازبینی دارید؟
    • مجموعه داده ها: تمام PHI را که در شبکه خود ذخیره می کنید یا در پرونده های کاغذی پیدا کنید و طبقه بندی کنید. همه چیز را مستند سازید.
    • تهدیدات و آسیب پذیری های احتمالی را شناسایی و مستند سازی کنید: مانند یک مهاجم فکر کنید ، چگونه کسی می خواهد به PHI شما دسترسی پیدا کند؟
    • اقدامات امنیتی فعلی را ارزیابی کنید: اکنون اقدامات امنیتی چیست؟
    • تعیین احتمال وقوع تهدید: بله ، به شما حمله خواهد شد.
    • سطح خطر را تعیین کنید: هنگام حمله ، احتمال حمله مهاجمان PHI به احتمال زیاد وجود دارد؟
    • مستندات نهایی: همه این موارد را بنویسید ، بنابراین حسابرس سابقه ای را که شما امتحان کرده اید دارد.
    • بررسی دوره ای و به روزرسانی های ارزیابی ریسک: هر چند ماه مشخصات ریسک خود را به روز کنید. قانون امنیتی "در صورت لزوم" را مشخص می کند. در حالت ایده آل ، شما باید روزانه موقعیت خطر خود را به روز کنید.

    معاملات استاندارد HIPAA

    HIPAA استاندارد هایی را برای انواع مختلف مبادلات الکترونیکی PHI اتخاذ کرد. هر نهاد تحت پوشش که مبادله اطلاعات با یک نهاد تحت پوشش یا شریک تجاری دیگر را انجام می دهد ، باید از یک استاندارد پروتکل ارتباطات یا از X12 یا NCPDP استفاده کند.

    در اینجا نمونه هایی از معاملات استاندارد استفاده شده است. [19659033] مطالبات و اطلاعات موجود HIPAA Compliant

    عنوان: 6 Step HIPAA Checklist Checklist کپی کردن: داده های خود را نقشه برداری کنید و شناسایی کنید که پرونده های محافظت شده HIPAA شما (از جمله ذخیره سازی ابری) در چه مواردی قرار دارند (از جمله ذخیره سازی ابری) تعیین کنید چه کسی به داده های HIPAA دسترسی دارد ، چه کسی باید و حداقل یک امتیاز امتیاز را اجرا کند. به داده های اطلاعات مربوط به سلامتی شخصی شما ، این شامل PHI و ePHI برای هر داده HIPAA که به آن دسترسی دارید هشدار دهید و داده های جدید در یک مخزن غیر سازگار قرار داده شود و از داده های محافظت شده محافظت کنید یک با اقدامات فیزیکی و فنی (قفل ، تأیید هویت ، امنیت سایبر قوی) فعالیت را بر روی محیط نظارت کنید و مدل های تهدید را به تجزیه و تحلیل امنیت داده های خود اضافه کنید

    سازگار شدن با HIPAA ، آنقدر متفاوت از سایر موارد دیگر نیست برنامه های اساسی امنیت قرن بیست و یکم . در حقیقت ، تنظیم یک برنامه امنیتی داده محکم به حفظ انطباق HIPAA کمک خواهد کرد.

    در اینجا یک لیست چک لیست سازگاری HIPAA برای شروع کار وجود دارد:

    1. نقشه داده های خود را و کشف کنید جایی که HIPAA شما پرونده های محافظت شده روی شبکه شما بصورت مستقیم (از جمله فضای ذخیره سازی ابری) زندگی می کنند
    2. تعیین کنید چه کسی به داده های HIPAA دسترسی دارد ، چه کسی باید به داده های HIPAA دسترسی داشته باشد ، و یک مدل امتیاز کمترین امتیاز را پیاده سازی کنید.
    3. نظارت بر همه دسترسی پرونده
    4. هشدارهایی تنظیم کنید تا اگر کسی به داده های HIPAA دسترسی پیدا کند ، یا اگر کسی داده های جدید HIPAA را در یک مخزن غیر سازگار ایجاد می کند ، هشدار دهید. برای تمایز بین رفتارهای عادی و تخلفات احتمالی HIPAA از تجزیه و تحلیل داده های امنیتی استفاده کنید.
    5. از محیط اطراف با فایروال ها ، امنیت نقطه پایانی ، قفل در اتاق های سرور ، احراز هویت دو عاملی ، رمزهای عبور قوی و زمانهای جلسه محافظت کنید. [19659034] فعالیت را بر روی محیط نظارت کنید و مدل های تهدید را به تجزیه و تحلیل امنیت داده های خود بیفزایید.

    رعایت HIPAA فقط قانون نیست – از داده های مشتری شما محافظت می کند و اطمینان حاصل می کند که

    Varonis از قبل از قانون HITECH در سال 2009 با مشتریان ما در زمینه انطباق HIPAA همکاری می کند. پلتفرم امنیت داده های Varonis پایه و اساس یک استراتژی امنیت داده ها مطابق HIPAA را فراهم می کند.

    این [وبگاه] وبینار را ببینید که یک مشتری Varonis در مورد سفر مطابقت با HIPAA صحبت می کند.