本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

HIPAA 全方位最終規則

AWS Audit Manager 提供預先建立的標準架構，支援《Health 保險可攜性與責任法案》(HIPAA) 綜合性最終規則。

什麼是 HIPAA 和 HIPAA Final Omnibus 安全規則？

HIPPA 是幫助美國工人在改變或失去工作時保留醫療保險的立法。該法案亦旨在推廣電子健康紀錄，透過改善資料互通，改善美國醫療系統的效率和品質。

隨著電子醫療紀錄的使用日益增加，HIPAA 還納入受保護醫療資訊 (PHI) 之安全性和隱私權保障的條款。PHI 包括一系列非常廣泛的個人身份健康和健康相關資料。這包括保險和帳單資訊、診斷資料、臨床照護資料，以及實驗室結果，例如影像和測試結果。

HIPAA Final Omnibus 安全規則於 2013 年生效，其對所有先前通過的規則追加了不少更新。安全性、隱私權、違規通知和強制執行規則的修改，旨在增強資料分享的機密性和安全性。

HIPAA 規則適用於涵蓋的實體。這些包括醫院、醫療服務提供者、雇主贊助的健康計劃、研究設施以及直接處理患者和患者資料的保險公司。作為綜合更新的一部分，許多適用於涵蓋實體的 HIPAA 規則，現在也適用於商業夥伴。

有關 HIPAA 和 HITECH 如何保護健康資訊的更多相關內容，請參閱美國衛生和公共服務部的健康資訊隱私網頁。

越來越多的醫療保健提供者、付款人和 IT 專業人員正在使用以 AWS 公用事業為基礎的雲端服務來處理、儲存和傳輸受保護的醫療資訊 (PHI)。 AWS 使受 HIPAA 約束的涵蓋實體及其業務夥伴能夠使用安全 AWS 環境來處理、維護和儲存受保護的健康資訊。如需有關如何使用 AWS 處理和儲存健康狀態資訊的指示，請參閱在 Amazon Web Services 上架構 HIPAA 安全性與合規性白皮書。

使用此架構

您可以使用 HIPAA 綜合性最終規則框架來幫助您為稽核做好準備。此架構包含預先打造的控制集合，其中包含說明和測試程序。這些控制項會根據 HIPAA 要求分組成控制集。您也可以根據特定需求自訂架構和控制項，以支援內部稽核。

使用架構作為起點，您可以建立 Audit Manager 評估，並開始收集與您的稽核相關的證據。建立評估之後，Audit Manager 會開始評估您的 AWS 資源。其根據 HIPAA 架構中定義的控制項來執行此動作。需要進行稽核時，您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾，並選擇要包含在評估報告中的證據。或者，如果您啟用了證據搜尋工具，您就可以搜尋特定證據並以 CSV 格式匯出，或者從搜尋結果建立評估報告。不論何種方式，您都可以使用此評估報告來顯示您的控制項正在按預期運作。

架構的詳細資訊如下：

此 AWS Audit Manager 架構中的控制項並非用來驗證您的系統是否符合 HIPAA 標準。此外，他們不能保證您會通過 HIPAA 審核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控件。

您可以在 Audit Manager 中架構程式庫的 [標準架構] 索引標籤下找到此架構。

後續步驟

如需使用此架構建立評估方式的說明，請參閱 在中建立評估 AWS Audit Manager。

如需如何自訂此架構以支援您的特定需求的指示，請參閱在中製作現有框架的可編輯副本 AWS Audit Manager。

其他資源