如何进行 HIPAA 数据泄露分析

安全资讯 小布 167浏览 0评论

1996 年的健康保险流通与责任法案(HIPAA) 是美国最著名且范围广泛的法规之一。它影响卫生部门内的所有涵盖实体,并扩展到与他们合作的许多商业伙伴确保HIPAA 合规性的一项关键做法是进行 HIPAA 风险评估。

合规性和网络安全的HIPAA 风险评估

与其他一些法规遵从性计划不同,HIPAA 不需要认证过程。取而代之的是,公司需要保持符合三个规定的 HIPAA 规则的控制。公司应该运行三种主要的 HIPAA 风险评估:

  • 符合安全规则所需的 HIPAA 安全评估
  • HIPAA 隐私评估,确保持续遵守隐私规则
  • HIPAA 违规评估,寻找适当的违规通知规则协议

 

HIPAA 安全评估 101:保护所有 ePHI

首先,公司需要针对 HIPAA 安全规则进行 HIPAA 风险评估。虽然安全规则不是框架中的第一个规则,但它对于风险分析目的来说是最重要的,因为它明确要求它们,并由卫生与公众服务部(HHS)提供规范性指导。

然而,最有影响力的安全评估应该超越 HHS 在其指南中规定的分析。

HIPAA 安全评估需要考虑规则中详述的所有要求,例如电子受保护健康信息 (ePHI) 的各种保护措施。

 

HIPAA 风险评估的安全规则要求

HHS 的风险分析指南提供了具体的要求和责任,这些要求和责任应该为涵盖实体的安全评估提供信息。特别是,它要求企业评估内部漏洞、外部威胁以及它们之间的关系。总的来说,这些包括风险因素。符合 HIPAA 的安全风险分析的范围必须包括:

  • PHI 数据的范围——首先,公司需要确定直接包含或以其他方式连接到任何形式的 PHI 的所有系统和位置。
  • 识别威胁和漏洞——接下来,公司需要评估:
      1. 安全威胁可以利用的系统中的漏洞或缺陷。
      2. 威胁,包括所有潜在的自然、人类或环境危害媒介
  • 评估适用的安全控制——然后,公司必须确定旨在减轻所有漏洞和可能利用它们的威胁的现有安全实施。
  • 确定威胁的可能性——对于所有已识别的威胁,公司需要计算有意或无意触发漏洞的相对可能性。
  • 确定威胁的可能影响——对于所有可能的威胁,公司还需要计算如果触发漏洞可能发生的潜在影响。
  • 确定风险级别(可能性影响) ——使用之前的计算,公司必须生成风险级别,通知协议优先考虑和解决风险。
  • 风险因素的最终正式文件——公司需要根据安全规则义务记录所有计算,但不需要特定格式。
  • 审查和定期更新风险评估——公司必须定期重新评估他们的评估作为一个持续的过程。

公司没有必须使用特定的工具或解决方案来实现这些目标。此外,只要满足这些要求,评估可能会超过这些最低限度并涵盖更可靠的分析方法。例如,公司可能决定考虑不是 PHI 或 ePHI 但具有相似风险级别的数据。或者,他们可能会在计算风险水平时考虑几个额外的因素。

HHS 的民权办公室 (OCR) 通过HIPAA 安全风险评估 (SRA) 工具提供有关所需分析的进一步指导。HHS 还与美国国家标准与技术研究院(NIST) 就NIST HIPAA 安全工具包应用程序进行了合作

用于评估 HIPAA 安全性的特定控制的细分

风险分析远非安全规则的唯一要求,也不应该是以安全为重点的 HIPAA 风险评估的唯一部分。公司应扫描满足规则所有要求的控制,包括其四个主要子规则。这些定义为:

  1. 确保所有拥有或运营的 ePHI 的机密性、完整性和可用性。
  2. 识别和防范所有合理预期的 ePHI 威胁。
  3. 根据隐私规则,防止任何不允许的使用或披露。
  4. 确保全体员工遵守安全和隐私保护措施。

安全规则还分解了涵盖实体需要实施的三组控制措施:

  • 管理保障——管理所有安全系统的管理级控制:
      • 用于识别和解决 ePHI 风险的安全管理流程
      • 指定负责保护 ePHI 的安全人员
      • 与隐私规则有关的信息访问管理(见下文)
      • 劳动力培训管理和强大的网络安全意识培训
      • 定期评估所有安全系统、控制和行为
  • 物理保护——应用于物理空间的个人屏障和保护:
      • 设施访问控制,仅限制授权方的所有访问
      • 工作站和设备安全,保护个人计算机和设备(即端点)
  • 技术保障——管理 IT 资产的软件和程序控制:
    • 访问控制,例如身份管理,以验证所有用户并管理他们的授权
    • 审计控制,包括系统范围的自动或手动安全审计
    • 完整性控制以检测 ePHI 的任何不当更改或删除
    • 跨所有电子网络基础设施的传输安全控制

评估与安全规则相关的合规风险需要对所有安全架构进行详细分析,以确保控制达到或超过规定的保护措施。然后,公司可以与网络安全计划顾问,根据需要建立额外的控制措施。

 

HIPAA 隐私评估101:控制对 PHI 的访问

安全规则是唯一明确要求进行风险分析的 HIPAA 规范性规则。但安全规则保障措施的总体目标是确保 ePHI 免受隐私规则中定义的未授权使用和披露类别的影响。因此,需要保持 HIPAA 合规性的公司也应该评估各种隐私风险。

以隐私为重点的评估的最关键目标应该是分析所有 ePHI 和非电子 PHI 的访问控制限制。隐私规则要求所有 PHI 都不能被不当使用,但它也要求 PHI 的主体可以使用它。HIPAA 隐私风险评估还应考虑所有第三方活动,根据适用的 HIPAA 对涵盖实体和业务伙伴之间合同责任的定义。

 

用于评估 HIPAA 隐私的特定控制的细分

隐私规则最关键的元素是其对允许的 PHI 使用和披露的定义。特别是,涵盖实体必须根据要求向数据主体或其代表提供 PHI。如果作为合规审计或其他法律或执法相关活动的一部分被要求,他们还需要向 HHS 披露任何 PHI。

除了必要的情况外,PHI 的允许使用和披露包括以下内容:

  • 任何披露或使用PHI的问题,或其代表的主题,是否请求正式(书面)或非正式的(口头或通过明确的含义)
  • 大多数使用和披露是作为维护医疗保健组织所需的治疗、付款或操作的一部分进行的,例如质量评估
  • 主体已被允许有合理机会同意或反对的大多数使用和披露,并且如果确定给定的使用或披露符合他们的最佳利益
  • 与其他授权实例相关的个别使用或披露实例,例如请求的一小部分信息,请求的信息
  • 大多数出于公共利益或公共利益目的而进行的使用或披露,例如履行法律或执法相关活动或协助虐待受害者
  • 出于学术或医学研究的目的,特别是关于公共卫生结果的受限数据集(例如非个性化文件)的有限用使或披露

所有不要求的允许使用或披露必须限制在必要的最低限度内。包含的实体还必须通知其客户有关隐私和访问政策的信息。

评估跨这些要求的不合规风险涉及对所有文件的最大可见性。例如,文件完整性监控(FIM) 工具或安全信息和事件管理(SIEM) 解决方案可以帮助在检测到不正常使用或披露时通知内部利益相关者,从而促进缓解。对此效果的另一种解决方案是托管检测和响应(MDR)。

 

HIPAA 适用性和覆盖范围的隐私规则定义

HIPAA 隐私评估的最后一个考虑因素是包含需要遵守的所有各方的所有领域,无论您的公司是拥有合格供应商的覆盖实体,还是与医疗保健机构战略合作的较小公司。特别是,根据隐私规则的定义,必须遵守三类主要的包含实体:

  • 医疗保健提供者,包括私人诊所、大型机构、药房等。
  • 健康保险计划以及参与管理或监督它们的所有实体。
  • 与 ePHI 交互、传输、存储或以其他方式处理的健康信息交换所。

如果您的公司不符合这些类别中的任何一个,并且它是任何符合 HIPAA 的公司的业务伙伴,则它可能仍需要遵守 HIPAA 。业务伙伴合同有助于确保所涵盖的实体和业务伙伴在整个关系中都保持合规,因为两者都可能因不合规而承担责任。

关于 HIPAA 风险评估,对业务伙伴有用的考虑因素是第三方风险管理(TPRM),它扫描您的战略合作伙伴网络中的风险。

 

HIPAA 违规评估101:响应事件

最后,公司还应评估与持续遵守 HIPAA 违规通知规则相关的风险。这条规则是独一无二的,因为它规定的不是防止攻击或事件的控制,而是报告发生的任何事件。此外,规则中违规的定义是独一无二的,并且可以说是违反直觉的:任何不满足任何隐私或安全要求的情况都可能构成违规,需要通知。

由于对隐私或安全保护的任何轻微侵犯都可能构成违规,因此上述评估构成 HIPAA 违规评估的一种形式。但是,公司还可以通过更深入的 HIPAA 违规分析来评估他们报告违规的准备情况,考虑可见性和必要的沟通渠道,以便根据需要通知各方。

安全:重新思考 HIPAA 合规性评估

保持 HIPAA 合规性就是尽最大努力保护 PHI 和 ePHI,确保不会发生未经授权的使用或披露,并迅速报告确实发生的任何违规行为。

为确保所有必需的安全控制措施到位,您需要根据上述三个规定性规则定期运行有针对性的 HIPAA 风险评估。

转载请注明:布尔云安的博客 » 如何进行 HIPAA 数据泄露分析

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址