HIPAA

出自KMU Wiki

HIPAA(Health Insurance Portability and Accountability Act)醫療保險可攜性與責任法案

目錄 1 四大類內容 1.1 管理程序(Administrative procedure) 1.2 實體防護(Physical safeguards) 1.3 技術安全服務(Technical security services) 1.4 技術安全機制(Technical security mechanisms) 2 相關網站

[編輯] 四大類內容

[編輯] 管理程序(Administrative procedure)

1.認證(Certification).：資訊系統及網路設計必須符合預定安全目標，並經內部稽核或公認機構認證。

2.與合作組織間的協議(Chain of Trust Partner Agreement).：若與其他組織間有資料交換(例如本院之轉診/檢報告查詢系統).，必須與之簽署安全保密合約。

3.應變計畫(Contingency Plan).：為臨時發生重大事變(例如停電、火災等).時得以持續醫療照護並於事後復原，必須事先擬定系統損壞程度評估程序、資料備份計畫、災難復原計畫、緊急模式操作計畫及定期演練與計畫修訂程式。

4.處理記錄的正式機制(Formal Mechanism for Processing Records).：關於處理例行與非例行醫療資訊之資料搜集、操作、儲存、散播、傳送與控制之政策與程序，並記載於正式文件。

5.使用者權限(User-based Access).：關於不同使用者的權限等級(包括授權、建立使用權限及使用權維護).之政策及程序文件記錄。

6.內部稽核(Internal Audit).：關於系統活動(包括資料查詢、登錄、更改與刪除等).記錄之內部稽核機制與程序。

7.人員安全(Personnel Security).：確保由充分授權的、具備安全管理知識的人員負責主管其他員工之授權程序，並應：

(1).保留完整授權記錄。

(2).確保授予使用者適當的權限。

(3).建立員工離職後之移除授權程序。

(4).建立並維護員工安全策略及程序。

(5).確保系統使用者接受與安全常識有關之訓練。

8.安全結構管理(Security Configuration Management).：包括 (1).完整的文件說明與記錄。

(2).安裝軟硬體設備時應測試系統安全功能。

(3).安全庫存。

(4).測試安全機制。

(5).偵測電腦病毒。

9.安全事件處理程序(Security Incident Procedures).：事先規劃發生安全侵害時的報告及反應程序，並記載於正式文件。

10. 安全管理程序(Security Management Process).：建立、管理並監督與預防機制及發生安全侵害時之封鎖、修正與損壞分析有關之政策。

11. 結束程序(Termination Procedures).：員工離職時的正式文件指引，包括

(1).更換門鎖及門禁密碼。

(2).移除該員工之系統使用權限。

(3).移除該員工之使用者帳號。

12. 訓練(Training).：

(1).必須對包括管理階層人員在內的所有員工進行安全訓練。

(2).定期宣導安全管理。

(3).訓練使用者，加強其防毒與個人密碼管理知識。

(4).訓練使用者保護其帳號與密碼，避免遭人偷窺竊用。

[編輯] 實體防護(Physical safeguards)

1. 指定安全責任(Assigned Security Responsibility).：
建立管理階層之資料保護、管理與監督職責。
2. 媒體控管(Media Controls).：
關於軟硬體的安裝/移除之使用控制、責任、資料備份、資料儲存及處置等操作程序之政策與程序，並記載於正式文件。
3. 實體使用控制(Physical Access Controls).：
關於實體設施(例如電腦機房、儀器等).使用控制之政策與程序，並記載於正式文件。包括
(1).災難復原。
(2).緊急處理模式。
(3).設備控制。
(4).設施安全計畫。
(5).授權確認機制。
(6).設備維修記錄。
(7).個人使用程序需知。
(8).來客登記與陪同。
(9).測試與修正。
4. 工作站管理政策(Policy/Guideline on Workstation Use).：
依功能性質安裝適當的工作站，防止他人利用該工作站進行未授權之使用其他功能。

[編輯] 技術安全服務(Technical security services)

1. 使用權限控制(Access Control).：
使用權限可依個別使用者而分或依職務區分(例如醫師使用權限、護士使用權限…等).，必要時可對帳號資料進行加密(Encryption).。
2. 稽核控制(Audit Controls).：
可供記錄及解釋系統活動(包括資料查詢、登錄、更改與刪除等).之機制。
3. 授權控制(Authorization Controls).：
包括實體確認、自動登出帳號及使用者唯一識別碼。
4. 資料確認(Data Authentication).：
為避免資料遭受未授權之更動或刪除，可建立資料確認機制。
5. 實體確認(Entity Authentication).：
為避免冒名頂替情況發生，有建立實體確認機制之必要，以防授予不恰當的使用權限。

[編輯] 技術安全機制(Technical security mechanisms)

1. 一致性控制。
2. 訊息確認。
3. 使用權控制或加密。

[編輯] 相關網站

HIPAA