HIPAA 合規檢查表和使用工具

如果您從事健康行業或以某種方式參與該行業的 IT，您很有可能聽說過 HIPAA。健康保險可移植性責任法案已經存在了幾十年，以幫助保護患者的個人數據。今天，我們將深入了解 HIPAA 並回顧一些可能有助於您獲得或維護 HIPAA 認證的工具。

我們將首先簡要解釋 HIPAA 是什麼，然後深入研究該標準的一些最重要方面並討論其一些主要規則。接下來，我們將介紹我們的 HIPAA 合規性檢查清單。實現和保持 HIPAA 合規性需要採取的三個步驟的列表。最後，我們將審查您可以用來協助您的 HIPAA 合規工作的一些工具。

HIPAA 解釋

健康保險流通與責任法案（HIPAA）於 1996 年推出，以規範醫療數據的處理。基本原則是保護有關衛生系統用戶的個人數據。更準確地說，它涉及受保護的健康信息 (PHI) 和受電子保護的健康信息 (ePHI)。頒布後，行業範圍內的數據處理、網絡安全和電子計費標準已經到位。

它的主要目標是——現在仍然是——確保個人醫療數據保密，並且只能由需要訪問它的人訪問。具體而言，這意味著必須保護衛生組織保存的所有患者記錄不被未經授權的個人或團體訪問。雖然不是與 HIPAA 相關的唯一規則，但這是迄今為止最重要的規則，其背後的想法是保護醫療數據免遭惡意或欺詐性使用。

在我們這個分佈式系統和雲計算時代，醫療數據的潛在訪問點很多，因此保護它成為一個複雜的問題。簡而言之，必須徹底保護所有物理和虛擬資源和系統免受潛在攻擊，以充分保護患者數據。該標準規定了必須實施的做法，但更重要的是，它需要建設防水網絡基礎設施。

此外，任何未能保證受保護數據安全的組織都將面臨嚴重的財務後果。對於不良做法，每天可處以最高 50,000 美元的罰款，年度上限為 150 萬美元。這足以在任何組織的預算中留下一個巨大的漏洞。更複雜的是，遵守法規不僅僅是填寫一些表格的問題。必須採取具體步驟來有效地保護數據。例如，必須證明對漏洞的主動管理。

在以下部分中，我們將更詳細地介紹 HIPAA 合規性的主要要素，以幫助您盡可能地理解這一複雜問題。

隱私規則

在信息技術的背景下，HIPAA 最重要的部分是隱私規則。它指定瞭如何訪問和處理 ePHI。例如，它要求涵蓋實體的所有醫療保健組織、健康計劃提供者和業務夥伴（稍後將詳細介紹）都制定程序來積極保護患者數據的隱私。這意味著從原始提供商到保存數據的數據中心以及處理數據的雲服務提供商的每個實體都必須保護數據。但它並不止於此，業務夥伴還可以指為上述組織提供服務的任何承包商也必須符合 HIPAA。

雖然很明顯 HIPAA 的基本要求是保護患者數據，但它還有另一個方面。組織還必須支持患者對這些數據的權利。具體而言，HIPAA 下必須保留三項特定權利。第一個是授權（或不授權）披露其 sPHI 的權利。第二個是隨時要求（和獲得）他們的健康記錄副本的權利。最後，患者有權要求更正他們的記錄。

為了進一步分解，HIPAA 隱私規則規定，披露 ePHI 數據需要患者同意。如果患者請求訪問他們的數據，組織有 30 天的時間做出回應。未能及時響應可能會使企業面臨法律責任和潛在的罰款。

安全規則

HIPAA 安全規則是上一條規則的一個小節。它概述了應如何從安全角度管理 ePHI。基本上，該規則規定企業應“實施必要的保障措施”來保護患者數據。使這條規則成為管理和遵守最複雜的規則之一是源於術語“必要的保障措施”的含糊不清。為了使其更易於管理和遵守，該 HIPAA 規則進一步分為三個主要部分：行政保障、技術保障和物理保障。讓我們看看每一個都意味著什麼。

行政保障

根據 HIPAA 安全規則，行政保障被定義為“管理安全措施的選擇、開發、實施和維護以保護電子健康信息的行政行為、政策和程序”。此外，該規則規定管理員工的行為也是這項責任的一部分。它使組織對其員工的行為負責。

管理保障表明，組織必須實施管理流程來控制對患者數據的訪問，並提供任何培訓，使員工能夠安全地與信息交互。應任命一名員工來管理 HIPAA 政策和程序，以管理員工行為。

物理保護

雖然行政保障與程序和流程有關，但物理保障要求是不同的。這完全是為了保護處理或存儲患者數據的設施以及訪問所述數據的資源。訪問控制是 HIPAA 規範這一部分最重要的方面。

簡而言之，您需要採取措施來控制對處理和存儲患者數據的位置的訪問。您還需要保護那些處理和存儲數據的設備免遭未經授權的訪問——例如，使用雙因素身份驗證等方法——並且您需要控制和/或設備進出設施的移動。

技術保障

本節介紹與保護患者數據相關的技術政策和程序。有多種方法可以保護這些數據，包括但不限於身份驗證、審計控制、審計報告、記錄保存、訪問控制和自動註銷，僅舉幾例。此外，必須採取措施確保數據始終保持安全，無論數據是存儲在設備上還是在系統之間或位置之間移動。

為了識別 ePHI 數據安全的風險因素和威脅，應完成風險評估工作。不僅如此，還必須採取具體措施來應對已識別的任何風險和/或威脅。HIPAA 的技術保障方面可能是最複雜的，在這一領域，合格的 HIPAA 合規顧問可以幫助任何組織確保不遺餘力。

違規通知規則

HIPAA 規範的下一個重要規則是違規通知規則。其目的是指定組織應如何應對數據洩露或其他安全事件。除其他事項外，它指出，如果發生數據洩露，組織必須通知個人、媒體或衛生與公共服務部長。

該角色還定義了構成違規的內容。它被描述為“隱私規則下不允許的使用或披露，損害了受保護健康信息的安全性或隱私”。該規則還規定，組織有最多 60 天的時間通知必要的各方。它更進一步，要求所述通知說明暴露了哪些個人標識符、使用暴露數據的個人以及數據是否只是被查看或獲取的。此外，通知還必須說明風險或損害是否已經減輕以及如何減輕。

違規通知規則的另一個組成部分涉及報告。小規模違規（影響少於 500 人的違規行為）必須每年通過健康與公共服務網站進行報告。更大的違規行為——影響超過 500 名患者的違規行為——也必須向媒體報告。有了這些要求，很明顯，您的 HIPAA 合規工作取得成功的關鍵是密切監控違規行為。

我們的 HIPAA 合規檢查表

行。既然我們已經涵蓋了 HIPAA 是什麼及其主要要求的基礎，我們已經編制了一個組織需要採取的各種步驟的清單，以實現或保持其合規狀態。正如我們之前所指出的，強烈建議尋求經驗豐富的 HIPAA 合規專家的幫助。這不僅會使流程變得更容易和壓力更小，而且他們應該能夠徹底審核您的安全實踐和流程，並確定可以從改進中受益的領域。

1. 完成風險評估

此簡短清單上的第一項，任何人在為 HIPAA 合規做準備時都應該做的第一件事是對您當前的風險和準備狀態進行全面評估。您應該首先這樣做的原因是您當前的狀態將決定需要採取哪些進一步的步驟來實現合規性。確定如何處理 PHI 和 ePHI 數據的全球風險評估將使您能夠發現安全政策和程序中的任何漏洞。

這是外部顧問創造奇蹟的第一個地方。首先，他通常會在 HIPAA 合規準備方面擁有豐富的專業知識，但也許更重要的是，他會從不同的角度看待事情。此外，該顧問將對 HIPAA 的各種要求以及它們如何適用於您的具體情況有透徹的了解。

風險評估階段完成後，您將獲得一份建議列表，以幫助實現合規性。您可以將該列表視為後續步驟的待辦事項列表。這一步的重要性再怎麼強調也不為過。最重要的是，它是決定成功的最重要因素。

2. 修復合規風險並優化流程

第二步比第一步簡單得多。您接下來需要做的是採納第一步中的所有建議並解決它們。這是您需要更改流程和程序的步驟。這可能是您遇到用戶最大阻力的地方。當然，阻力的程度會根據您最初的接近程度、必須進行的更改以及這些更改的確切性質而有所不同。

首先解決較小的合規性問題是個好主意。例如，實施諸如對員工進行基本網絡安全實踐培訓或教他們如何使用雙因素身份驗證等基本措施應該很容易，並且可以讓您快速、順利地開始。

完成簡單的任務後，接下來需要設置補救目標，因為它們將幫助您確定剩餘任務的優先級。例如，如果第一步的結果表明您需要製定某種形式的合規報告，那麼您就可以開始購買具有自動合規報告功能的工具。這是另一個領域，外部顧問可以通過提供一些有價值的見解來了解您需要實施哪些更改以實現合規性，從而為您省去很多麻煩。

3. 持續的風險管理

您可能會認為實現 HIPAA 合規性是一次性交易，一旦獲得，您就擁有了。不幸的是，這與事實相去甚遠。雖然實現合規性是一次性的努力，但保持合規性是一項日常工作。您將需要持續管理風險並確保患者數據安全且未被任何未經授權的方式訪問或篡改。

具體來說，您需要定期運行漏洞掃描。您還需要密切關注系統日誌，以便在為時已晚之前檢測任何可疑活動的跡象。這是自動化系統最有用的地方。在前兩個階段，外部顧問是您最好的資產，而現在您需要的是軟件工具。談到軟件工具，我們有一些我們想推薦的。

一些有助於 HIPAA 合規的工具

各種類型的工具可以幫助您進行 HIPAA 合規工作。其中有兩個特別有幫助。首先，配置管理和審計工具可以確保您的系統配置滿足 HIPAA 或任何其他監管框架的要求。但他們也可以時刻關注您的設備配置，並確保不會對未經授權的更改進行任何授權更改，但不會破壞合規性。我們的列表中有幾個這樣的工具。

在 HIPAA 合規性方面，另一種有用的工具是檢測數據洩露。為此，安全信息和事件管理 (SIEM) 系統將提供您應得的安心，並確保在發生任何可疑事件時您會迅速收到通知。我們的列表還包括一些 SIEM 工具。

1. SolarWinds Server Configuration Monitor（免費試用）

在監控和審核服務器配置方面，您需要的是SolarWinds Server Configuration Monitor或SCM。這是一款功能強大且易於使用的產品，旨在跟踪網絡中的服務器和應用程序更改。作為故障排除工具，它可以為您提供有關配置更改及其與性能下降的相關性的必要信息。這可以幫助您找到一些由配置更改引起的性能問題的根本原因。

• 免費試用：SolarWinds 服務器配置監視器
• 官方下載鏈接：https://www.solarwinds.com/server-configuration-monitor/registration

該SolarWinds的服務器配置監視器是基於代理的工具，與部署在每台服務器的代理監控。這種架構的優點是即使服務器與網絡斷開連接，代理也可以繼續收集數據。一旦服務器重新聯機，數據就會發送到該工具。

在功能方面，該產品沒有任何不足之處。除了已經提到的內容之外，該工具還會自動檢測符合監控條件的服務器。它帶有適用於最常見服務器的開箱即用的配置文件。該工具還可以讓您查看硬件和軟件庫存並報告它們。借助 SolarWinds 的 Orion 平台，您可以輕鬆地將SCM集成到您的系統監控解決方案中。這是一款出色的工具，可用於監控本地物理和虛擬服務器以及基於雲的環境。

SolarWinds Server Configuration Monitor 的價格尚未公佈。您需要向 SolarWinds 請求正式報價。但是，可以下載30 天評估版。

2. SolarWinds 安全事件管理器（免費試用）

在安全信息和事件管理方面，SolarWinds 安全事件管理器（以前稱為SolarWinds 日誌和事件管理器）正是您所需要的。該工具最好被描述為入門級 SIEM 工具。然而，它是市場上最好的入門級系統之一。該工具幾乎擁有您可以從 SIEM 系統中獲得的一切。這包括出色的日誌管理和關聯功能以及令人印象深刻的報告引擎。

• 免費試用：SolarWinds 安全事件管理器
• 官方下載鏈接：https://www.solarwinds.com/security-event-manager/registration

該工具還擁有出色的事件響應功能，沒有任何不足之處。例如，詳細的實時響應系統將對每個威脅做出積極的反應。由於它基於行為而不是簽名，因此您可以免受未知或未來威脅和零日攻擊。

除了令人印象深刻的功能集之外，SolarWinds 安全事件管理器的儀表板可能是其最佳資產。憑藉其簡單的設計，您可以輕鬆找到使用該工具的方法并快速識別異常。該工具的起價約為 4,500 美元，非常實惠。如果您想試用它並了解它在您的環境中是如何工作的，可以下載一個免費的全功能 30 天試用版。

3. Windows Server 的 Netwrix 審計器

我們列表中的下一個是適用於 Windows Server的Netwrix Auditor，這是一個免費的 Windows Server 報告工具，可讓您隨時了解對 Windows Server 配置所做的所有更改。它可以跟踪軟件和硬件的安裝、服務的更改、網絡設置和計劃任務等更改。此通行費將發送每日活動摘要，詳細說明過去 24 小時內的每次更改，包括每次修改之前和之後的值。

Netwrix聲稱Netwrix Auditor for Windows Server是“您一直在尋找的免費 Windows Server 監控解決方案”。該產品補充了本地網絡監控和 Windows 性能分析解決方案。與 Windows Server 中可用的內置審核工具相比，它具有多項優勢。特別是，它提高了安全性，並提供了更方便的審計數據檢索、整合和表示。您還將體會到如何輕鬆地以更少的時間和精力啟用持續的 IT 審計並更有效地控制變更。

與適用於 Windows Server的Netwrix Auditor一樣好，它是一個免費工具，但功能集有限。如果您想要更多功能，您可能想嘗試 Netwrix Auditor 標準版。它不是免費工具，但具有廣泛擴展的功能集。好消息是，當您下載適用於 Windows Server 的免費 Netwrix Auditor 時，它將在前 30 天內包含其老大哥的所有功能，讓您體驗它。

4. Splunk 企業安全

Splunk Enterprise Security（通常稱為 Splunk ES）可能是最流行的 SIEM 工具之一。它以其分析能力而聞名，在檢測數據洩露方面，這才是最重要的。Splunk ES 實時監控您系統的數據，尋找漏洞以及異常和/或惡意活動的跡象。

除了出色的監控之外，安全響應是 Splunk ES 的另一個最佳功能。該系統使用稱為自適應響應框架 (ARF) 的概念，該框架與來自 55 多家安全供應商的設備集成。ARF 執行自動響應，加快手動任務。這會讓你迅速佔上風。再加上一個簡單而整潔的用戶界面，您就有了一個成功的解決方案。其他有趣的功能包括顯示用戶可自定義警報的 Notables 功能和用於標記惡意活動和防止進一步問題的資產調查器。

由於 Splunk ES 是真正的企業級產品，您可以期待它具有企業級的價格標籤。遺憾的是，Splunk 的網站無法提供定價信息，因此您需要聯繫該公司的銷售部門以獲取報價。如果您想試用該產品，聯繫 Splunk 還可以讓您利用免費試用。

5. 任務變更審核員

Quest Software 是著名的網絡管理和安全工具製造商。它的服務器配置監控和審計工具被恰當地稱為 Quest Change Auditor，它為您的 Microsoft Windows 環境提供實時安全和 IT 審計。此工具為您提供的是針對 Microsoft Active Directory、Azure AD、Exchange、Office 365、Exchange Online、文件服務器和更多的。Quest Change Auditor 還跟踪詳細的用戶活動以進行登錄、身份驗證和跨組織的其他關鍵服務，從而增強威脅檢測和安全監控。它具有一個中央控制台，消除了對多個 IT 審計解決方案的需求和復雜性。

該工具的一大特色是 Quest Change Auditor 威脅檢測，這是一種主動威脅檢測技術。它可以通過分析異常活動來對組織中風險最高的用戶進行排名，識別潛在威脅並減少誤報警報的干擾，從而簡化用戶威脅檢測。該工具還將防止 AD、Exchange 和 Windows 文件服務器中的關鍵數據發生更改，包括特權組、組策略對象和敏感郵箱。它可以為安全最佳實踐和法規遵從性要求生成綜合報告，包括 GDPR、SOX、PCI-DSS、HIPAA、FISMA、GLBA 等。它還可以將來自眾多系統和設備的不同數據關聯到交互式搜索引擎中，以實現快速的安全事件響應和取證分析。

Quest Change Auditor 的定價結構相當複雜，因為每個受監控的平台都必須單獨購買。從好的方面來說，每個受支持的平台都可以免費試用該產品。

綜上所述

雖然實現 HIPAA 合規性是一項嚴峻的挑戰，但絕不是不可能的。事實上，這只是遵循一些簡單而復雜的步驟，並讓合適的人員和合適的技術圍繞在您身邊，以使其盡可能簡單。請記住，HIPAA 的某些要求可能看起來很模糊。這就是為什麼我們只能建議您以專家顧問和專用軟件工具的形式獲得一些幫助。這應該有助於使過渡盡可能順利。