HIPAA Security Rule: Feb 2003
AWS Audit Manager 提供了支持 Health Insurance Portability and Accountability Act (HIPAA) Security Rule: Feb 2003 的预先构建标准框架。
注意
有关 2013 HIPAA 最终综合安全规则和支持该标准的 Audit Manager 框架的信息,请参阅HIPAA Omnibus Final Rule。
什么是 HIPAA 和 2003 HIPAA 安全规则?
HIPAA 是一项立法,旨在协助美国工人在跳槽或失业时保留健康保险。该立法还寻求鼓励电子健康记录,通过改善信息共享来提高美国医疗保健系统的效率和质量。
除了越来越多地使用电子病历外,HIPAA 还包括保护受保护健康信息 (PHI) 安全和隐私的规定。PHI 包括大量可识别个人身份的健康与健康相关数据。包括保险和账单信息、诊断数据、临床护理数据以及实验室结果,例如图像和测试结果。
美国卫生与公共服务部于 2003 年 2 月发布了最终 安全规则
HIPAA 规则适用于受保实体。其中包括医院、医疗服务提供商、雇主赞助的健康计划、研究机构,以及直接接触患者和患者数据的保险公司。HIPAA 保护 PHI 的要求也延伸至商业伙伴。
有关 HIPAA 和 HITECH 如何保护健康信息的更多信息,请参阅美国卫生与公众服务部的健康信息隐私
越来越多的医疗保健提供商、付款人和 IT 专业人员正在使用AWS公用事业云服务处理、存储和传输受保护的医疗信息 (PHI)。AWS使受 HIPAA 约束的相关实体及其业务伙伴能够使用安全 AWS 环境处理、维护和存储受保护的健康信息。
有关如何使用AWS处理和存储运行状况信息的说明,请参阅Amazon Web Services 上的 HIPAA 安全性和合规性架构
使用此框架
您可以使用 2003 HIPAA 安全规则 框架帮助您为审计做准备。此框架包括预先构建的控件集合,其中包含描述和测试程序。这些控件根据 HIPAA 要求分组为控件集。您还可以根据具体要求,自定义此框架及其控件,以支持内部审计。
以该框架作为起点,您可以创建 Audit Manager 评测并开始收集与您的审计相关的证据。创建评测后,Audit Manager 会开始评测您的 AWS 资源。它基于 HIPAA 框架中定义的控件执行此操作。当需要进行审计时,您或您选择的委托人可以查看 Audit Manager 收集的证据。或者,您可浏览评测的证据文件夹,然后选择要将哪些证据纳入评测报告。或者,如果启用了证据查找器,则可以搜索特定证据并将其以 CSV 格式导出,或根据搜索结果创建评测报告。无论采用哪种方式,此评测报告可帮助您证明您的控件是否按预期运行。
框架详细信息如下:
| AWS Audit Manager中的框架名称 | 自动控件数量 | 手动控件数量 | 控件集数量 |
|---|---|---|---|
| Health Insurance Portability and Accountability Act (HIPAA) Security Rule: Feb 2003 | 28 | 57 | 5 |
重要
要确保此框架从 AWS Security Hub 中收集预期的证据,请确保在 Security Hub 中启用所有标准。
要确保此框架从 AWS Config 中收集预期的证据,请确保启用必要的 AWS Config 规则。要查看此标准框架中用作数据来源映射的 AWS Config 规则,请下载 AuditManager_ConfigDataSourceMappings_HIPAA-Security-Rule-Feb-2003.zip 文件。
此AWS Audit Manager框架中的控件并不旨在验证您的系统是否符合 HIPAA 标准。此外,他们无法保证您会通过 HIPAA 审计。 AWS Audit Manager不会自动检查需要手动收集证据的程序控件。
后续步骤
有关如何查看关于此框架的详细信息(包括其包含的标准控件列表)的说明,请参阅在 AWS Audit Manager 中查看框架。
有关如何使用此框架创建评测的说明,请参阅 在 AWS Audit Manager 中创建评测。
有关如何自定义此框架来支持您的特定要求的说明,请参阅在 AWS Audit Manager 中创建现有框架的可编辑副本。
其他资源
