Summary of HIPAA Security Rule

电子健康信息保护安全标准 或《博天堂官方网站》，建立一套国家保密安全标准， 所持有或传输的某些运行状况信息的完整性和可用性 in electronic form. 这些记录被称为“电子保护健康” information" or e-PHI.

《博天堂官方》的一个主要目标是保护个人健康隐私 信息的同时允许实体采用新技术来提高质量 and efficiency of patient care. The Department of Health and Human Services, Office 负责管理和执行这些标准 可以进行投诉调查和合规审查.

这是对《博天堂官方网站》关键要素的总结，并不完整或全面 guide to compliance. Go to Office of Information Security for additional information and resources.

• Who is Covered by the Security Rule?

  The Security Rule applies to:

  •  Health plans
  •  Health care clearinghouses
  • 以电子形式传送有关健康信息的任何保健提供者 卫生与公众服务部部长采用了HIPAA规定的标准
  • Business Associates of Covered Entities
  • Hybrid Entities
• What information is Protected?
  • Electronic Protected Health Information - HIPAA隐私规则保护个人可识别的健康隐私 information, called PHI. the Security Rule protects a subset of information covered 隐私规则涵盖了所有个人可识别的健康信息 实体以电子形式创建、接收、维护或传输. The Security Rule将这些信息称为“电子保护健康信息”或e-PHI. The 安全规则不适用于口头或书面传播的PHI. This information is covered by the Privacy Rule.
• General Rules
  • 《博天堂官方网站》要求混合实体保持合理和适当的 保护e-PHI的管理、技术和物理保障措施. Specifically, Hybrid Entities must:

  1. 确保他们创建、接收的所有e-PHI的保密性、完整性和可用性。 maintain or transmit
  2. 识别并防范对安全或完整性的合理预期威胁 of the information
  3. 防止合理预期的、不允许的使用或披露
  4. Ensure compliance by their workforce
• How does the Security Rule define "Confidentiality"?

  安全规则对机密性的定义是指e-PHI不可获得或不可披露 to unauthorized persons. Under the Security Rule, "integrity" means that e-PHI is not altered or destroyed in an unauthorized manner. "Availabilty" means that e-PHI is accessible and usable on demand by an authorized person.

•  Risk Analysis and Management

   安全规则要求实体将风险分析作为其安全管理的一部分 processes. 风险分析过程包括但不限于以下内容 activities:

  • 评估e-PHI潜在风险的可能性和影响
  • 实施适当的安全措施，以解决风险中识别的风险 analysis
  • 记录所选择的安全措施，并在需要时记录采用这些措施的理由 measures
  • 保持持续、合理和适当的安全保护

  风险分析应该是一个持续的过程，在混合实体定期审查 其记录跟踪访问e-PHI和检测安全事件，定期评估 安全措施的有效性落实到位，并定期重新评估潜力 risks.

• Administrative Safeguards
  • Security Management Process -承保实体必须识别和分析潜在风险，并必须实施 将风险和漏洞降低到合理和适当的安全措施 level
  • 安全人员-承保实体必须指定一名负责的安全官员 制定和实施其安全政策和程序
  • 信息访问管理——安全规则需要一个被覆盖的实体来实现 仅在适当情况下授权访问e-PHI的政策和程序 based on the user or recipient's role (role-based access)
  • 劳动力培训和管理-混合实体必须提供适当的授权 and supervision of workforce members who work with e-PHI. A Covered entity must train 所有员工都必须遵守其安全政策和程序 并对违反公司政策的员工实施制裁
  • 评估-承保实体必须对其安全性进行定期评估 政策和程序符合《博天堂官方网站》的要求
• Physical Safeguards
  •  设施访问和控制——受保护实体必须限制对其设施的物理访问 设施，同时确保授权访问是允许的
  • 工作站和设备安全-实体必须实施策略和程序 规定正确使用和存取工作站和电子媒体. A covered 实体还必须制定有关转移、移除、处置、 和重复使用电子媒体，以确保适当保护e-PHI
• Technical Safeguards
  •  访问控制——受保护的实体必须实现技术策略和程序 that allow ONLY authorized persons to access e-PHI
  • 审计控制——一个实体必须实现硬件、软件和/或程序机制 记录和检查信息系统中包含的访问和其他活动 or use e-PHI
  • 完整性控制-受保实体必须确保e-PHI没有被不当更改 or destroyed. 电子措施必须到位，以确认e-PHI没有 been improperly altered or destroyed
  • 传输安全——实体必须实现以下技术安全措施 防止未经授权访问通过电子设备传输的e-PHI network