http://owiki.kmu.edu.tw/index.php?action=history&feed=atom&title=HIPAA
HIPAA - 修訂歷史
2026-05-07T00:11:10Z
本站上此頁的修訂歷史
MediaWiki 1.10.1
http://owiki.kmu.edu.tw/index.php?title=HIPAA&diff=568&oldid=prev
Itchen: 新頁面: HIPAA(Health Insurance Portability and Accountability Act)醫療保險可攜性與責任法案 == 四大類內容 == === 管理程序(Administrative procedure) === 1.認證(Certificati...
2007-12-15T04:22:29Z
<p>新頁面: HIPAA(Health Insurance Portability and Accountability Act)醫療保險可攜性與責任法案 == 四大類內容 == === 管理程序(Administrative procedure) === 1.認證(Certificati...</p>
<p><b>新頁面</b></p><div>HIPAA(Health Insurance Portability and Accountability Act)醫療保險可攜性與責任法案<br />
<br />
== 四大類內容 ==<br />
<br />
=== 管理程序(Administrative procedure) ===<br />
<br />
1.認證(Certification).:資訊系統及網路設計必須符合預定安全目標,並經內部稽核或公認機構認證。<br />
<br />
2.與合作組織間的協議(Chain of Trust Partner Agreement).:若與其他組織間有資料交換(例如本院之轉診/檢報告查詢系統).,必須與之簽署安全保密合約。<br />
<br />
3.應變計畫(Contingency Plan).:為臨時發生重大事變(例如停電、火災等).時得以持續醫療照護並於事後復原,必須事先擬定系統損壞程度評估程序、資料備份計畫、災難復原計畫、緊急模式操作計畫及定期演練與計畫修訂程式。<br />
<br />
4.處理記錄的正式機制(Formal Mechanism for Processing Records).:關於處理例行與非例行醫療資訊之資料搜集、操作、儲存、散播、傳送與控制之政策與程序,並記載於正式文件。<br />
<br />
5.使用者權限(User-based Access).:關於不同使用者的權限等級(包括授權、建立使用權限及使用權維護).之政策及程序文件記錄。<br />
<br />
6.內部稽核(Internal Audit).:關於系統活動(包括資料查詢、登錄、更改與刪除等).記錄之內部稽核機制與程序。<br />
<br />
7.人員安全(Personnel Security).:確保由充分授權的、具備安全管理知識的人員負責主管其他員工之授權程序,並應:<br />
<br />
(1).保留完整授權記錄。<br />
<br />
(2).確保授予使用者適當的權限。<br />
<br />
(3).建立員工離職後之移除授權程序。<br />
<br />
(4).建立並維護員工安全策略及程序。<br />
<br />
(5).確保系統使用者接受與安全常識有關之訓練。<br />
<br />
8.安全結構管理(Security Configuration Management).:包括 (1).完整的文件說明與記錄。<br />
<br />
(2).安裝軟硬體設備時應測試系統安全功能。<br />
<br />
(3).安全庫存。<br />
<br />
(4).測試安全機制。<br />
<br />
(5).偵測電腦病毒。<br />
<br />
9.安全事件處理程序(Security Incident Procedures).:事先規劃發生安全侵害時的報告及反應程序,並記載於正式文件。<br />
<br />
10. 安全管理程序(Security Management Process).:建立、管理並監督與預防機制及發生安全侵害時之封鎖、修正與損壞分析有關之政策。<br />
<br />
11. 結束程序(Termination Procedures).:員工離職時的正式文件指引,包括<br />
<br />
(1).更換門鎖及門禁密碼。<br />
<br />
(2).移除該員工之系統使用權限。<br />
<br />
(3).移除該員工之使用者帳號。<br />
<br />
12. 訓練(Training).:<br />
<br />
(1).必須對包括管理階層人員在內的所有員工進行安全訓練。<br />
<br />
(2).定期宣導安全管理。<br />
<br />
(3).訓練使用者,加強其防毒與個人密碼管理知識。<br />
<br />
(4).訓練使用者保護其帳號與密碼,避免遭人偷窺竊用。<br />
<br />
<br><br />
<br />
=== 實體防護(Physical safeguards) ===<br />
<br />
1. 指定安全責任(Assigned Security Responsibility).:<br>建立管理階層之資料保護、管理與監督職責。<br>2. 媒體控管(Media Controls).:<br>關於軟硬體的安裝/移除之使用控制、責任、資料備份、資料儲存及處置等操作程序之政策與程序,並記載於正式文件。<br>3. 實體使用控制(Physical Access Controls).:<br>關於實體設施(例如電腦機房、儀器等).使用控制之政策與程序,並記載於正式文件。包括<br>(1).災難復原。<br>(2).緊急處理模式。<br>(3).設備控制。<br>(4).設施安全計畫。<br>(5).授權確認機制。<br>(6).設備維修記錄。<br>(7).個人使用程序需知。<br>(8).來客登記與陪同。<br>(9).測試與修正。<br>4. 工作站管理政策(Policy/Guideline on Workstation Use).:<br>依功能性質安裝適當的工作站,防止他人利用該工作站進行未授權之使用其他功能。<br><br />
<br />
<br><br />
<br />
=== 技術安全服務(Technical security services) ===<br />
<br />
1. 使用權限控制(Access Control).:<br>使用權限可依個別使用者而分或依職務區分(例如醫師使用權限、護士使用權限…等).,必要時可對帳號資料進行加密(Encryption).。<br>2. 稽核控制(Audit Controls).:<br>可供記錄及解釋系統活動(包括資料查詢、登錄、更改與刪除等).之機制。<br>3. 授權控制(Authorization Controls).:<br>包括實體確認、自動登出帳號及使用者唯一識別碼。<br>4. 資料確認(Data Authentication).:<br>為避免資料遭受未授權之更動或刪除,可建立資料確認機制。<br>5. 實體確認(Entity Authentication).:<br>為避免冒名頂替情況發生,有建立實體確認機制之必要,以防授予不恰當的使用權限。<br><br />
<br />
<br><br />
<br />
=== 技術安全機制(Technical security mechanisms) ===<br />
<br />
1. 一致性控制。 <br>2. 訊息確認。 <br>3. 使用權控制或加密。<br><br />
<br />
== 相關網站 ==<br />
<br />
[http://www.hipaa.org HIPAA]</div>
Itchen