HIPAA
出自KMU Wiki
HIPAA(Health Insurance Portability and Accountability Act)醫療保險可攜性與責任法案
目錄 |
[編輯] 四大類內容
[編輯] 管理程序(Administrative procedure)
1.認證(Certification).:資訊系統及網路設計必須符合預定安全目標,並經內部稽核或公認機構認證。
2.與合作組織間的協議(Chain of Trust Partner Agreement).:若與其他組織間有資料交換(例如本院之轉診/檢報告查詢系統).,必須與之簽署安全保密合約。
3.應變計畫(Contingency Plan).:為臨時發生重大事變(例如停電、火災等).時得以持續醫療照護並於事後復原,必須事先擬定系統損壞程度評估程序、資料備份計畫、災難復原計畫、緊急模式操作計畫及定期演練與計畫修訂程式。
4.處理記錄的正式機制(Formal Mechanism for Processing Records).:關於處理例行與非例行醫療資訊之資料搜集、操作、儲存、散播、傳送與控制之政策與程序,並記載於正式文件。
5.使用者權限(User-based Access).:關於不同使用者的權限等級(包括授權、建立使用權限及使用權維護).之政策及程序文件記錄。
6.內部稽核(Internal Audit).:關於系統活動(包括資料查詢、登錄、更改與刪除等).記錄之內部稽核機制與程序。
7.人員安全(Personnel Security).:確保由充分授權的、具備安全管理知識的人員負責主管其他員工之授權程序,並應:
(1).保留完整授權記錄。
(2).確保授予使用者適當的權限。
(3).建立員工離職後之移除授權程序。
(4).建立並維護員工安全策略及程序。
(5).確保系統使用者接受與安全常識有關之訓練。
8.安全結構管理(Security Configuration Management).:包括 (1).完整的文件說明與記錄。
(2).安裝軟硬體設備時應測試系統安全功能。
(3).安全庫存。
(4).測試安全機制。
(5).偵測電腦病毒。
9.安全事件處理程序(Security Incident Procedures).:事先規劃發生安全侵害時的報告及反應程序,並記載於正式文件。
10. 安全管理程序(Security Management Process).:建立、管理並監督與預防機制及發生安全侵害時之封鎖、修正與損壞分析有關之政策。
11. 結束程序(Termination Procedures).:員工離職時的正式文件指引,包括
(1).更換門鎖及門禁密碼。
(2).移除該員工之系統使用權限。
(3).移除該員工之使用者帳號。
12. 訓練(Training).:
(1).必須對包括管理階層人員在內的所有員工進行安全訓練。
(2).定期宣導安全管理。
(3).訓練使用者,加強其防毒與個人密碼管理知識。
(4).訓練使用者保護其帳號與密碼,避免遭人偷窺竊用。
[編輯] 實體防護(Physical safeguards)
1. 指定安全責任(Assigned Security Responsibility).:
建立管理階層之資料保護、管理與監督職責。
2. 媒體控管(Media Controls).:
關於軟硬體的安裝/移除之使用控制、責任、資料備份、資料儲存及處置等操作程序之政策與程序,並記載於正式文件。
3. 實體使用控制(Physical Access Controls).:
關於實體設施(例如電腦機房、儀器等).使用控制之政策與程序,並記載於正式文件。包括
(1).災難復原。
(2).緊急處理模式。
(3).設備控制。
(4).設施安全計畫。
(5).授權確認機制。
(6).設備維修記錄。
(7).個人使用程序需知。
(8).來客登記與陪同。
(9).測試與修正。
4. 工作站管理政策(Policy/Guideline on Workstation Use).:
依功能性質安裝適當的工作站,防止他人利用該工作站進行未授權之使用其他功能。
[編輯] 技術安全服務(Technical security services)
1. 使用權限控制(Access Control).:
使用權限可依個別使用者而分或依職務區分(例如醫師使用權限、護士使用權限…等).,必要時可對帳號資料進行加密(Encryption).。
2. 稽核控制(Audit Controls).:
可供記錄及解釋系統活動(包括資料查詢、登錄、更改與刪除等).之機制。
3. 授權控制(Authorization Controls).:
包括實體確認、自動登出帳號及使用者唯一識別碼。
4. 資料確認(Data Authentication).:
為避免資料遭受未授權之更動或刪除,可建立資料確認機制。
5. 實體確認(Entity Authentication).:
為避免冒名頂替情況發生,有建立實體確認機制之必要,以防授予不恰當的使用權限。
[編輯] 技術安全機制(Technical security mechanisms)
1. 一致性控制。
2. 訊息確認。
3. 使用權控制或加密。