下载
有效日期:2017年4月10日
策略
信息管理,隐私和安全

针对BU健康计划的HIPAA政策:政策8,安全政策

负责办公室 澳门威尼斯人注册网站研究合规

本政策8是HIPAA政策的一部分,用于BU健康计划手册- BU健康计划的受保护健康信息的隐私和安全。

本安全政策管辖BU健康计划的PHI。

无论在哪里或以何种形式(纸质、电子或其他形式)存储大学数据,它仍然是大学的财产,大学的HIPAA BU健康计划负责确保适当的保护。

BU健康计划必须通过指定、创建和维护管理、物理和技术控制,确保电子受保护健康信息(ePHI)的机密性、完整性和可用性。此HIPAA安全计划包括必要的策略和步骤,以帮助BU健康计划定义、记录和维护安全控制。通过实施本政策、BU健康计划程序和控制,BU健康计划将有助于确保其创建、维护、接收和传输的ePHI得到保护。

角色和职责BU健康计划的管理层负责确保其操作符合HIPAA,包括本安全策略。合规工作将由每个BU健康计划内指定的HIPAA联系人领导。在合规性功能和控制可以集中运行的情况下,这些功能和控制由HIPAA安全官员负责,但有些控制需要本地知识并参与日常操作。

HIPAA安全官员将积极指导合规性工作,IT支持单位将执行合规性所需的部分工作。

HIPAA隐私政策第2节:个人责任中阐述了员工在HIPAA下的责任。员工无需关注本安全政策的细节,除非他们使用个人设备使用或存储ePHI。

波士顿大学使用美国国家标准与技术澳门威尼斯人注册网站研究所(NIST)网络安全框架(CSF)来定义HIPAA安全计划。CSF将关键的、正在进行的步骤确定为:识别、保护、检测、响应和恢复。我们的项目将HIPAA安全规则的要求整合到CSF中,这需要通过各个阶段不断更新对网络安全风险的理解。本节是根据这五个阶段来组织的。

Security Program Structure 5 Phases

遵守规定的方法必须根据波士顿健康计划的风险进行调整。应实施控制措施,以应对安全风险,但不能过于繁琐或复杂,以致无法及时提供保健服务,也不能过于昂贵,以致妨碍澳门威尼斯人注册行动。本HIPAA安全政策是BU健康计划合规的基础。波士顿大学健康计划将在波士顿大学HIPAA安全官员的指导和协助下制定实施该计划的程序。在许多领域,BU有全校范围的政策,包括但不限于信息安全政策和数据保护标准。在本文档中引用和链接了这些内容,以促进制定与这些政策一致的波士顿大学健康计划程序。如果需要,波士顿大学健康计划可以扩展此计划,前提是扩展与本文件和所有其他大学政策一致。

8.1第一阶段:识别

我们的安全程序的第一步是确定要保护的资产以及需要保护资产免受的威胁和漏洞。这一阶段的基本步骤包括:

  1. 建立系统和应用程序清单(第8.1.1节)
  2. 进行8.2节安全风险评估(第8.1.2节)
  3. 定期进行技术及非技术评估(第8.1.3条)
  4. 解决业务伙伴的安全要求(第8.1.4节)

8.1.1系统和应用程序清单

HIPAA联系人负责确保所有包含ePHI的资产清单的存在和维护,包括:

  • 资产的名称,可能是应用程序、笔记本电脑或服务器主机名的名称;
  • 每个资产的描述或标识符,如序列号、硬件规格或应用程序名称;
  • 分类,包括所有权信息。当使用可重复设计时,分类可包括设备类型,并可分组(例如“工作站”)。如果采用分组,则应记录分类内的系统数量;
  • 实物资产或资产类别(如适用)的正常位置;
  • 设备最后一次清除使用HIPAA数据的日期和由谁清除的;和
  • 资产的系统或应用程序管理员是谁。

该清单不仅仅是与ePHI相关的系统和应用程序列表。它还评估了资产对保健业务的相对重要性。一份完整的清单还记录了:

  • 关键应用程序对其运行的内部或外部系统的依赖性;
  • 关键系统依赖于支持技术,包括大学服务,如网络、防火墙、虚拟服务器环境或类似服务;
  • 失去与提供护理有关的应用程序或系统的影响
  • 从影响陈述中得出的优先级分数;和
  • 如果应用程序或系统不可用,可以采用的替代解决方案。

清单描述了物理位置、数据中心、系统、网络或应用程序不可用对业务的影响,可能采取的补偿措施,以及在多个资产损失的情况下,恢复正常服务的优先级应该放在哪里。


keys_infosecHIPAA联系人负责确保在设备、软件、依赖项或BU健康计划的IT优先级发生变化时更新清单。

8.1.2安全风险评估

HIPAA安全官应与HIPAA联系人、信息安全和内部审计与咨询服务部门合作,定期进行全面的安全风险评估,记录并优先处理所有合理预期的、涉及ePHI机密性、完整性和可用性的高级管理、物理和技术风险。波士顿大学健康计划及其澳门威尼斯人注册负责协助进行这些全面的风险评估。


keys_infosec安全风险评估识别威胁、漏洞、风险和控制。它不评估BU健康计划与本政策的合规性。

安全风险评估包括:

  • 已定义的范围,包括所有产生、接收、维护或传输ePHI的系统。这通常作为系统和应用程序清单的一部分完成。
  • 这些系统面临的威胁和漏洞的列表。这应该是一个高层次的风险分类,如“由于组件丢失或故障导致电子医疗记录(EMR)系统不可用”或“系统泄露导致ePHI泄露”,而不是具体的技术漏洞。它应该足够窄,以定义安全控制以降低风险,但又不能太窄,以至于需要一个广泛的列表。
  • 对减轻这些威胁和脆弱性的现有对策的评估
  • 对漏洞被威胁利用的可能性的评估。
  • 评估此类利用对ePHI的机密性、完整性和可用性的潜在影响。

应该评估这四个因素(即威胁、漏洞、可能性和对ePHI的影响),为每个风险创建一个总体评级,并确定缺乏安全控制的领域。完成评估后,HIPAA安全官和HIPAA联系人会面,审查调查结果,并确定哪些安全控制措施适合解决其特定风险。

风险很少被完美地处理,因为这样做要么会耗尽资源(人员、时间、金钱,或者三者都有),要么会导致资产无法使用。每个风险的缓解程度需要BU健康计划管理层和HIPAA安全官员的输入,以确定可接受的风险程度。

安全风险评估必须每年由HIPAA安全官员和BU健康计划进行审查。

8.1.3定期技术和非技术安全审查

HIPAA安全官员应定期对BU健康计划遵守本政策要求的情况进行技术和非技术审查。这些应该至少每年进行一次。


keys_infosec安全审查是对BU健康计划遵守本政策的评估,而不是对风险的审查,尽管在此过程中可能会发现新的风险。

这些审查可以包括评估物理、技术和管理控制是否符合本政策的要求,检查系统配置,进行漏洞扫描或渗透测试,审计文件,或在设施周围走动并检查门,查看设备的物理安全情况,验证警报和视频系统的功能,以及审计物理控制的其他方面。这些审查也可以包括业务伙伴(BA)的实践,特别是与业务伙伴交换ePHI。

发现应形成文件,并可能要求管理层作出回应。该等审核的摘要应提供给信息安全和业务连续性治理委员会以及其他被认为适合于特定审核的人员。

此外,BU健康计划必须启动审查,以应对环境、操作程序的变化或epphi风险的重大变化。这些审查可能具有较小的范围,例如计划的新软件包的获取或物理迁移

8.1.4对业务伙伴的安全要求

HIPAA安全规则也适用于业务伙伴:向BU健康计划提供需要访问、使用、创建或披露PHI的服务的非BU人员或实体。商业伙伴在签署商业伙伴协议(BAA)之前不允许访问PHI。通过签署BAA,业务伙伴同意遵守HIPAA安全规则的要求。仅使用HIPAA隐私官批准的BAA。参见HIPAA隐私政策第3.9节:向业务伙伴披露PHI。

BU健康计划仍然负责确定业务伙伴的适当访问权限,并将任何PHI安全地传输给业务伙伴,并在不再需要时终止访问。此外,大学可能有其他义务,如维护访问控制和审计访问。

8.2阶段2:保护

一旦确定了一组风险,下一步就是部署控制措施以减轻这些风险。此阶段的组成部分包括:指定个人责任(第8.2.1节)评估风险并指定所需的安全控制(第8.2.2节)部署管理控制(第8.2.3节)部署技术控制(第8.2.4节)部署物理控制(第8.2.5节)

8.2.1个人责任

任何安全计划的一个关键方面是个人责任。有效的安全依赖于每个人都尽自己的一份力量来帮助维护我们记录的安全,本文档的一节重点是个人责任。执行与这些职责相关的任务所需的教育将来自稍后讨论的安全意识培训。

8.2.2通过安全控制进行风险管理

BU运行状况计划必须实现足以减少风险和漏洞的安全控制。HIPAA联系人应与HIPAA安全官员协同工作,以便:

  • 优先处理安全风险评估中确定的风险,以及技术和非技术安全审查中发现的漏洞。
  • 通过应用安全控制创建补救计划。
  • 指定、实现、验证和审核安全控制的功能。


keys_infosec为了满足合规性要求,大学级别的控制必须辅以针对BU健康计划的特定控制。

控件被认为具有以下三种形式之一:管理、技术或物理,尽管有些控件很难单独归入一个类别。

8.2.3管理控制

管理控制包括执行安全需求的非技术操作和策略,例如培训。


8.2.3.1安全培训和提醒

培训BU HIPAA安全官员应为BU健康计划提供安全培训计划。参见HIPAA隐私政策第1.8节:HIPAA培训。

提醒HIPAA安全官员将发布澳门威尼斯人注册关键安全问题的提醒和更新。BU健康计划必须确保这些提醒通知到BU健康计划澳门威尼斯人注册的所有成员。

此外,还鼓励BU健康计划通过使用公告板、通讯、电子邮件、员工会议或自定义屏幕保护程序提供有关安全主题的额外提醒。HIPAA隐私官、HIPAA安全官和信息安全可用于协助重要主题的想法。

8.2.3.2帐号与授权发放与取消发放

BU健康计划必须创建流程,定义如何授权、维护和撤销对ePHI的访问,包括:

  • 根据Workforce成员的角色创建所需访问权限的矩阵。
  • 创建可审核流程,通过该流程申请、批准和完成对ePHI访问权限的变更(提供、变更或移除),包括:
    • 请求及其相关授权;
    • 在可能的情况下,系统或应用程序中更改本身的审计日志。
  • 记录一个过程,通过该过程,当Workforce成员离开组织时撤销访问权限。
  • 制定程序,确保员工从个人设备中删除任何大学ePHI。

该程序必须符合身份和访问管理政策,并遵守以下与该政策第D节(取消配置)和E节(审计)相关的额外时间限制:

  • 当不再需要访问时,立即终止对ePHI的访问。
  • 审核记录保留1年。
  • 完成季度账户和授权审计。

8.2.4技术控制

技术控制采用软件和逻辑控制来防止可能对ePHI的机密性、完整性或可用性构成威胁的未经授权的活动。

技术控制通常很复杂,可能需要超出本政策规定范围的控制。HIPAA联系人负责确保所需技术控制的应用,尽管实施工作很可能由IT支持单位执行。HIPAA安全官员和信息安全可协助BU健康计划提供技术控制选择和实施建议。

8.2.4.1身份验证

所有对ePHI的访问都必须要求身份验证,最好是双因素身份验证。大学计算机系统应依靠大学的中央认证系统(Kerberos, Duo),并遵守身份和访问管理的数据保护标准。与我们的中央身份验证系统一样,每个访问系统或应用程序的个人都必须被唯一标识,并且帐户凭据不能共享。如果需要共享帐户,则必须记录其存在和目的。

密码策略访问ePHI的帐户必须使用大学身份和访问管理数据保护标准中规定的强密码。

系统和应用程序在闲置几分钟(但不超过15分钟)时必须要求身份验证。参见最低安全标准。

8.2.4.2授权

确保个人只拥有执行其工作职能所需的授权,而不是其他授权。在系统或应用程序中尽可能细粒度化。例如,如果Workforce成员不需要写入记录的能力,并且可以使用只读授权,则首选只读角色。

具有管理权限的帐户仅向工作功能所需的系统和应用程序授予管理权限。确保具有管理或管理应用程序和系统的较高权限的个人了解他们拥有哪些权限以及负责任地使用这些权限的必要性。

8.2.4.3加密

加密是最基本的保护措施,在现代系统中很容易提供,因此它的使用应该无处不在。必须考虑两种类型的加密:传输加密,即ePHI通过网络或通过系统的电子组件传输;静止加密,即ePHI存储在有形介质中。在这两种类型的加密中,目标都是保护数据的机密性和完整性。

所有设备用于访问或存储ePHI的所有设备(例如,台式电脑、笔记本电脑、电话、USB拇指驱动器、cd、备份磁带)必须使用休眠加密,以便在设备丢失或被盗时保护数据。任何访问或存储ePHI且不使用静态加密的个人或大学拥有的设备都必须记录,包括实施加密不合理和不合适的原因,以及确定等效的替代安全措施。该决定必须得到HIPAA安全官员的批准。

静态加密:数据中心只要有可能,数据中心内的ePHI都应该加密。大学认识到,在某些情况下,服务器上的加密可能会带来挑战,特别是服务可用性。例如,输入密码解密服务器上的系统磁盘可能会导致严重的中断,如果系统管理员无法在意外重新启动时提供密码的话。对于驻留在物理安全数据中心内的系统,物理安全性可能是对静态加密的适当补偿控制。不使用静态加密的决定必须记录下来,包括为什么不合理和不适合实现加密,以及确定等效的替代安全措施。该决定必须得到HIPAA安全官员的批准。

传输中的加密和完整性控制所有ePHI必须在传输中加密,并且必须使用完整性控制。虽然有一些方法可以做到这一点,但几乎所有方法都使用安全套接字层(SSL)或IP安全(IPSec)技术。在某些情况下,可能需要通过内部专用网络(例如驻留在数据中心机架内的网络)传输未加密的ePHI,以提供与不支持加密的所需遗留服务的兼容性,或者启用数据的实时计算密集型处理。对于ePHI传输不使用加密和完整性控制的决定必须由HIPAA安全官员批准并记录,包括为什么不合理和不适合实施,以及确定等效的替代安全措施。

加密密钥管理加密密钥必须管理好。实现这种控制的指南是特定于技术和环境的。设置加密的IT支持单位应咨询HIPAA安全官员和信息安全指导。

8.2.4.4恶意软件防护(防病毒)

所有系统必须运行由HIPAA安全官员批准的支持软件包,以检测和防止恶意软件的执行。最常见的例子是杀毒软件,但其他类型的产品也在不断涌现。必须在访问ePHI的所有平台上安装经过批准的恶意软件保护形式,必须始终运行,并且必须设置为自动更新和扫描。检测到的恶意事件以及需要更新的软件必须由BU健康计划的IT支持人员集中报告和监控。

8.2.4.5备份

BU健康计划有义务确保所有ePHI持续可用,即使在意外事件或灾难之后也是如此。BU健康计划必须具有与系统和应用程序清单一致的程序。程序应:

  • 包括物理驱动器、服务器或设备的丢失(数据的全部丢失)和特定文件的丢失(例如,由于意外删除或内容损坏)。
  • 依靠支持软件的使用。如果BU运行状况计划依赖于外部方提供备份解决方案,则BU运行状况计划应确保解决方案提供商能够满足组件在紧急情况下恢复数据的需求。
  • 指定BU运行状况计划管理可接受的备份频率,并涵盖部分和全部数据丢失(例如,每天)。
    • 确保在系统上执行任何工作之前进行备份,包括但不限于在设施内物理迁移系统或设备。
  • 确保所有ePHI安全备份,包括备份到备用物理位置。
  • 确保备份介质的库存和物理保护免遭盗窃。
  • 在恢复丢失的数据和限制存储过多数据的情况下,将备份保留一段BU运行状况计划可接受的时间。典型的数值从几个月到一年不等。
  • 确保备份媒体是加密的,特别是如果它使用易于丢失的可移动媒体,如磁带或cd。
  • 任何IT专业人员都可以执行的文档恢复程序
  • 要求对恢复进行测试,以确保紧急情况下的恢复能够成功(如果失败则修改)。


8.2.4.6开启系统和应用审计

必须为每种应用程序和操作系统类型应用适当的审计配置。必须采用下列标准:

  • 访问ePHI的系统和应用程序必须记录所有身份验证事件:登录和注销,成功和失败。
  • 访问ePHI的系统和应用程序应记录对ePHI的所有访问,包括可能的只读访问,并记录对ePHI的所有更改。
  • 日志在本地的保存时间不超过7天,不超过1年。
  • 日志必须转发或自动复制到中央日志存储库,并保留一年。信息服务和技术部门有一个中央日志存储库,可根据需要供BU运行状况计划使用。

其他建议可以在大学数据保护标准中的最低安全标准中找到。信息安全部门也可以就特定应用程序或系统的推荐设置进行咨询。

8.2.5物理控制

物理控制是我们保护数据的最明显和最常见的方式。在实现ePHI安全性时,重要的是要考虑对数据的物理威胁以及技术威胁。数据丢失的常见方式之一是通过物理访问、篡改和盗窃。

物理控制包括建筑元素,如墙、门、窗、柜台和锁,以及视频监控、报警系统和其他盗窃威慑元素,如可锁的橱柜和抽屉。它还规定了如何使用物理空间,例如不将ePHI存储在主要的公共空间中,或者要求访客通过记录室进入设施的其他部分。

在HIPAA安全官员的指导下,波士顿大学健康计划部将为每个设施制定设施安全计划,并鼓励与信息安全、空间管理、设施管理和规划以及公共安全或波士顿大学警察局就其物理安全问题进行磋商。

8.2.5.1确保设施和业务流程保护ePHI

该HIPAA联系人在管理层的支持下,负责确保在正常的日常操作过程中采取合理的预防措施,以防止物理接触到ePHI。这意味着用于访问ePHI的工作站不应该对公众开放,显示ePHI的监视器应该远离公共区域,服务器必须保存在具有适当环境控制的锁定数据中心中,便携式设备不得存储在容易被盗的地方。此外,业务流程应反映保护ePHI的需求,并且不应向其他安全数据引入漏洞。

8.2.5.2工作站物理安全

数据中心外存储未加密ePHI且不打算移动的设备必须使用锁垫、电缆或类似技术进行物理保护,除非存储在非常安全的物理空间中。


keys_infosec计算机设备被盗是造成ePHI损失的重要原因。如果包含未加密ePHI的设备被盗,则需要报告。

公共场所、高流量区域或任何可以从远处看到屏幕的地方的计算机系统必须使用隐私膜,以使未经授权的人更难以读取屏幕。

8.2.5.3工作站和设备使用流程

BU健康计划必须有澳门威尼斯人注册工作站使用的书面程序,其中包括:

  • 参考波士顿大学使用条件和计算伦理政策。
  • 个人职责的参考。
  • 概述工作站上的关键安全控制,包括登录、注销、非活动超时和防病毒软件的要求;
    • 员工不得禁用或绕过这些机制。
  • 一份声明,要求只允许IT支持人员在大学的工作站和设备上安装软件。

HIPAA联系人需要调整程序以适应BU健康计划,包括解决以下问题:

  • ePHI必须储存的地方;
  • 是否允许使用个人设备;
  • 批准的远程访问ePHI的方法(如果有的话)
  • 是否可以使用用于ePHI和媒体管理的可移动媒体,以及
  • 员工应该联系谁来获得计算支持。

澳门威尼斯人注册这些决定的建议包含在以下部分中。

ePHI的存储BU健康计划程序将指定可以存储ePHI的系统、工作站、设备和驱动器。

个人拥有的设备BU健康计划的程序必须解决是否允许其员工使用个人拥有的设备访问和存储ePHI的问题。波士顿大学健康计划应根据以下因素将此视为基于风险的决策:

  • 波士顿健康计划提供的服务类型包括:
  • 劳动力在提供服务时的流动性要求;
  • 在正常办公时间以外查阅资料的需要,以作以下用途:
    • 便利紧急护理;
    • 支持24小时呼叫中心;
  • 被访问的ePHI的数量;
  • 员工适当保护个人拥有的设备的能力;和
  • BU运行状况计划能够跟踪个人拥有的资产、监视其使用情况并验证适当的控制措施是否到位。

远程访问校园服务BU健康计划的程序必须解决其员工是否被允许远程访问任何包含ePHI的系统。如果允许,应该通过使用远程桌面或虚拟专用网络(VPN)来启用。

可移动媒体和媒体清单BU健康计划的程序必须解决可移动媒体(如cd - rom、dvd和拇指驱动器)是否可用于存储ePHI的问题。如果允许,程序必须要求对ePHI进行加密,HIPAA联系人必须创建并维护可移动介质清单,该清单用于标记、清单和跟踪每个设备的位置。可重复使用的设备在重复使用或处置之前必须安全擦除。参见8.2.5.7节:设备处置。

BU运行状况计划必须能够生成有关ePHI存储位置和所有媒体当前所在位置的记录。可移动媒体目录与系统和应用程序目录是分开的。

8.2.5.4数据中心访问控制

如果BU Health Plans将运行自己的数据中心,则该设施必须使用HIPAA安全官员批准的强大物理控制,包括门锁、多因素身份验证、视频监控和警报系统。HIPAA联系人将创建一个程序,描述如何管理对数据中心和周围设施的访问。仅使用IS&T数据中心的BU运行状况计划不需要创建任何新文档。

在制定程序时,重要的是要考虑访客和供应商对设施的访问权限,以及在紧急情况下如何授予或延长对设施的访问权限,包括需要多个供应商同时工作以恢复服务。IS&T的数据中心符合我们的安全数据中心访问政策,可作为参考。

8.2.5.5徽章

所有劳动力成员都必须有一种方法来被其他劳动力成员积极识别。对于大多数用途,这是Boston University ID Card,但对于特定功能或区域,BU Health Plans可能需要使用不同的或更明显的徽标形式。此外,在提供ePHI访问区域的供应商和客人必须陪同或持有访客徽章。徽标应由HIPAA联系人协调。

8.2.5.6维护记录

BU Health Plans负责了解其设施内正在进行的影响安全性的所有工作,包括硬件、墙壁、门和锁的更改。虽然这项工作通常由大学作为BU健康计划的一项服务来执行,但HIPAA联系人必须记录所有可能影响ePHI安全性的物理组件的维修和修改,并采取任何额外的必要预防措施来保护维护期间的数据。

8.2.5.7设备处置l

当物理介质,如硬盘,cd - rom, dvd或USB存储设备(“拇指驱动器”)达到其使用寿命结束时,必须按照大学的数据保护要求和销毁纸质记录和不可擦除媒体。具体来说,包含ePHI的硬盘必须通过信息安全公司的磁盘驱动器粉碎程序处理,即使ePHI已经加密。这项服务是免费的。

包含未加密ePHI的故障硬盘不能返回给设备制造商。大多数设备制造商都会提供购买替换磁盘而不退回旧磁盘的机制。

HIPAA联系人必须在可移动媒体清单上维护正确处置电子媒体的日志。

8.3阶段3:检测

检测阶段包括对安全控制的持续监控,以防止对PHI的未经授权的访问。这一阶段的组成部分是:

  1. 网络安全服务(8.3.1节)
  2. 信息安全活动评审(第8.3.2节)

8.3.1网络安全服务

信息安全为数据保护标准中的教育、遵从性和补救策略中定义的BU健康计划提供网络入侵和漏洞检测服务。事件响应小组审查这些事件,并将可能需要进一步调查的事件通知HIPAA隐私官和HIPAA安全官。

8.3.2信息安全活动评审

BU健康计划必须实施一个过程,该过程验证BU健康计划的安全控制,并确保检测、控制和处理违反本策略或BU健康计划相关过程的行为。HIPAA联络人必须确保定期(例如,每月)进行审查并形成文件。

安全审查将包括对系统和应用程序审计日志的详细审查,以确定安全事件,例如:

  • 未经授权访问创建、接收、维护或传输ePHI的系统或应用程序。
  • 对这些系统或应用程序的异常访问,例如:
    • 员工在不寻常时间的访问权限;
    • 从不寻常的地点进入;
    • 访问异常大量的记录或非员工所照顾的患者的记录;
    • 健康记录异常更改;或
    • 删除或试图删除运行状况信息。
  • 系统的异常活动,包括异常的进程、连接或连接尝试。
  • 试图绕过安全控制或更改系统文件。


keys_infosec信息安全活动审查应检查审计日志,以查找BU运行状况计划唯一限定为异常的事件,例如休假的Workforce成员的活动。

此外,信息安全活动审查应包括审查控制的状态,以确保它们正常运行,并执行适当的维护。例如:

  • 是否对系统和应用程序进行了适当的修补以消除漏洞?
  • 防病毒系统是否已就位、更新并正常运行?
  • 加密控制是否到位,包括静态数据(设备加密)和传输中的数据(需要SSL、安全且使用有效证书)?
  • 员工是否遵循密码管理的最佳实践?
    • 围绕密码强度的控制已就位并发挥作用。
    • 员工不会共享或发布密码。
  • 访问ePHI的工作站在物理上是否安全,不受访问和/或篡改?

8.4阶段4:回应

《安全规则》将安全事件定义为“试图或成功地未经授权访问、使用、披露、修改或破坏信息或干扰信息系统中的系统操作”(45 C.F.R.§164.304)。

如果怀疑未经授权访问PHI或PHI丢失,则必须对该事件进行彻底和适当的调查。本节涵盖:

  1. 报告安全事故的责任(第8.4.1条)
  2. 回应义务(第8.4.2条)
  3. 定期安全事件审查(第8.4.3条)

8.4.1安全事件报告责任


keys_infosec任何怀疑可能发生了安全事件的员工必须立即通知他或她的主管和BU信息安全事件响应小组irt@bu.edu或617-358-1100。



8.4.2应对安全事件的责任

波士顿大学健康计划有责任:

识别、响应和报告可疑或已知的安全事件;在切实可行的范围内减轻任何已知的有害影响;协助记录安全事件及其结果。HIPAA隐私官、HIPAA安全官和信息安全官将协助处理已知或怀疑的ePHI违规行为,并帮助BU健康计划履行其缓解和记录的责任。

有关详细信息,请参阅HIPAA隐私政策第7节:违规行为。


8.4.3定期安全事件评审

HIPAA安全官员将至少每年在HIPAA联系人的协助下审查过去的安全事件,以确保完整性、准确性,并找到改进控制和程序的机会。

8.5阶段5:恢复

成功的恢复需要对意外情况进行仔细的计划,包括应急计划(第8.5.1节)。

8.5.1应急计划

BU健康计划必须在应急计划中记录如何在不可预见的事件期间保护epi。不可预见的事件可能包括恶意事件,例如获取ePHI访问权限或拒绝服务的网络安全攻击、硬盘故障或网络中断等常规物理系统故障、公用事业故障导致的停电或火灾、洪水或地震等自然灾害。安全风险评估以及系统和应用程序清单将帮助BU健康计划确定哪些风险最有可能发生,从而确定计划的优先级。


keys_infosecHIPAA联系人负责维护BU健康计划的应急计划,因为它与保护ePHI有关。至关重要的是,波士顿大学健康计划的管理人员必须参与应急计划的审查和批准。


8.5.1.1应急管理计划

应急管理计划是根据波士顿健康计划的需要制定的。这些计划记录了员工在紧急情况下采取的澳门威尼斯人注册行动。

虽然应急管理计划的一部分,如设施疏散,可能由其他大学政策和程序提供,但应急响应计划的一部分必须由波士顿大学健康计划设计。这些计划包括:

  • 响应事件的员工责任。
  • 紧急通讯计划,包括电话号码和集合地点。
  • 应急管理计划将如何传播、培训、测试和修订可行性。

8.5.1.2应急模式操作方案

紧急情况可能不仅仅是疏散;设施的一部分可能会受到几天、几周或几个月的影响。在此期间,BU健康计划以“紧急模式”运行。应急模式操作计划有助于确保ePHI的机密性、完整性和可用性。HIPAA联系人负责维护紧急模式操作计划。


keys_infosec紧急模式操作可能涉及在容量减少的情况下或在备用位置操作,可能持续较长时间。组件所依赖的一些IT服务可能无法立即可用。

安全风险评估以及系统和应用程序清单将帮助BU健康计划了解可能出现的风险及其影响。BU健康计划应针对这些风险进行规划,包括以下主题:

  • 如果发生长时间的紧急情况,BU健康计划是否继续运行?
    • 谁有权力做这样的决定?
  • 在紧急情况下如何控制对设施的访问?
  • 提供登记和理赔服务需要哪些技术组件?
  • 如何在以下方面补偿缺失的技术组件:
    • 可能暂时无法用于BU健康计划的ePHI;
    • 由BU运行状况计划(如果有)生成的不能以正常方式存储的ePHI。

外部依赖关系在制定应急模式操作计划时,业务部门运行状况计划还应考虑其提供服务的外部依赖关系。BU运行状况计划可能依赖于连接到云服务的Internet服务的提供,或者依赖于登录到桌面和工作站的企业身份验证服务。应急计划应包括在组件本身没有受到直接影响的情况下,如果BU运行状况计划控制范围之外的服务不可用,应采取的措施。

正常服务的恢复在为灾难做计划时,考虑如何恢复正常服务也很重要。考虑一下,例如:

  • 恢复正常服务所需的技术资源;
  • 紧急情况下电子系统外产生的PHI稍后如何进入电子系统;和
  • 谁将负责数据录入。

紧急模式操作计划的细节可能会强调恢复服务计划的一些其他考虑因素。

8.6持续的安全维护

网络安全框架的五个阶段是迭代的。完成这五个阶段之后,应该从头再来。


keys_infosec

安全是一段旅程,而不是一个决定。

澳门威尼斯人注册本政策的其他资源

相关的BU政策和程序

部网站