本政策8是HIPAA政策手册的一部分:BU医疗保健提供商承保组件的受保护健康信息的隐私和安全。
哲学
波士顿大学的HIPAA安全计划将HIPAA安全规则要求整合到国家标准与技术澳门威尼斯人注册网站研究所(NIST)网络安全框架(CSF)中。CSF将关键的、正在进行的步骤确定为:识别、保护、检测、响应和恢复。本节按以下五个阶段组织:
HIPAA组件、BU IS&T和其他BU中心服务共同承担患者信息安全的责任。下面的章节描述了每个人在特定领域的责任。BU HIPAA隐私和安全官员支持HIPAA联系人履行其职责。
根据个别承保组件的独特风险和需求,这些政策由承保组件程序补充。
BU有其他影响信息安全的全校政策,包括但不限于信息安全政策和数据保护标准。这些在本手册中不重复,但某些政策在本文档中被引用和链接。
定义条款
设备:任何存储和处理电子数据的电子设备。这个广义的术语包括台式电脑、笔记本电脑、平板电脑、移动电话、医疗设备、包含硬盘驱动器的打印机和传真机,以及其他任何可以存储和处理电子数据的设备。设备可以是BU所拥有的,也可以是员工所拥有的个人设备。
介质:任何可以存储但不能处理数据的物品,包括USB驱动器、cd - rom、dvd、硬盘驱动器、备份磁盘。
应用程序是处理信息的计算机程序。例如Microsoft Outlook;电子病历程序;以及允许发送和接收电子数据的程序。
系统是指一台或多台计算机服务器及其相关应用程序。例如,电子病历系统由服务器、电子病历应用程序、备份功能和相关应用程序组成。
数据中心是保存服务器的物理位置。
8.1识别
只有当我们了解PHI是什么,它在哪里,谁被授权访问和使用它时,PHI才能得到保护。为此,每个受保护组件负责确定其PHI、允许存储的位置、其澳门威尼斯人注册的成员、其澳门威尼斯人注册的角色,以及提供、修改和删除个人访问PHI的流程。
8.1.1 PHI清单
BU IS&T(以及牙科健康中心的GSDM IT)通过其KACE系统对所有BU设备(ipad、电话、医疗设备和传真机除外)进行库存和跟踪,并确保这些设备符合BU设备对访问BU限制使用数据的设备的标准。
所涵盖组件在其程序中记录:
- 可储存PHI的地方;
- 是否允许其员工使用个人拥有的设备访问和存储PHI;
- 是否以及如何允许其员工远程访问包含PHI的任何系统;
- 可移动媒体(如cd - rom、dvd和拇指驱动器)是否可用于存储PHI,如果可以,如何盘点和跟踪这些媒体,以及必须采取哪些安全措施。
涵盖元件PHI清单列出了允许存储PHI的所有BU ipad、BU电话、BU医疗设备和传真机。库存是在BU HIPAA SharePoint上维护的。HIPAA联系人必须确保库存保持最新,并进行定期审查以确认。库存包括:
- 标识信息,如名称、描述、分类、标识符或IP
- 所有者或管理员,例如可以添加/删除团队成员的Microsoft Team网站所有者,或者可以从第三方网站/应用程序中添加/删除人员的人员
- 正常位置,如楼层/房间
- 备份机制或过程,例如“无”、“本地管理”、“IS&T管理”或“供应商管理”
- 恢复优先级(1-5,其中1为最高优先级),以便IT支持人员知道首先恢复什么。例如,恢复医疗记录系统的优先级可能为1,而SharePoint的优先级可能为2,转录服务的优先级可能为3或4。组件应该注意,服务可能不会完全按照这个顺序恢复,这取决于许多因素,包括问题的性质、资源的可用性以及与其他单元的共享值。然而,在仅影响所覆盖组件的中断范围内,与组件管理层就it支持应该首先关注的地方保持一致将是非常有价值的。
在使用新设备之前,受保组件程序允许使用个人设备的员工必须实施限制使用最低安全标准保障措施和文档合规性,作为年度HIPAA培训的一部分。例如,萨金特学院HIPAA组成部分的员工将完成一个认证,作为年度HIPAA培训的一部分-通常是每年9月-并在他们获得新手机或笔记本电脑时再次完成。波士顿大学查尔斯河校区的HIPAA组件在Blackboard上记录了合规情况。牙科保健中心的澳门威尼斯人注册在牙科门户网站上记录合规性。
8.1.2安全风险评估
HIPAA安全官与HIPAA联络人、信息安全和内部审计与咨询服务部门合作,并根据需要不时与外部顾问合作,负责开展符合HIPAA安全规则要求的全面安全风险评估。除其他外,评估将记录并优先考虑所有合理预期的、对PHI的保密性、完整性和可用性构成的高级管理、物理和技术风险。
安全风险评估确认PHI的位置,并识别威胁、漏洞、风险和控制,包括以下评估:
- 这些系统面临的威胁和漏洞
- 缓解这些威胁和漏洞的现有控制和对策
- 漏洞被威胁利用的可能性
- 此类威胁和漏洞对PHI的机密性、完整性和可用性的潜在影响
这四个因素(即威胁、漏洞、可能性和对PHI的影响)结合起来,为每个风险创建一个总体评级,并确定缺乏安全控制的领域。完成评估后,HIPAA安全官和HIPAA联系人会面,审查调查结果,并制定纠正澳门威尼斯人注册行动计划,以解决每个已识别的风险。该等评估的摘要应提供给共同事务与信息安全治理委员会及其他认为适当的机构。
HIPAA安全官将至少每3至5年执行或监督一次全面的风险评估。在此期间,HIPAA安全官和受保组件HIPAA联系人应至少每年审查一次,并在下一节中描述,根据需要持续更新。
8.1.3定期技术和非技术安全审查
HIPAA安全员应定期对PHI的安全性进行技术和非技术审查,以评估现有的物理、技术和管理控制是否符合本政策和受保组件程序的要求。审查可能包括检查系统配置、进行漏洞扫描或渗透测试、审计文档、检查物理控制(如门和锁)、查看设备的物理保护情况、验证警报和视频系统的功能以及其他控制。这些审查可能包括对业务伙伴的安全实践的审查。
安全审查结果应记录在BU HIPAA SharePoint网站上,并可能需要Covered Component回应。当安全评审确定所涵盖组件的纠正措施时,HIPAA联系人负责确保及时完成纠正措施。同样,HIPAA安全官员、IS&T或牙科IT负责或确保及时完成分配给他们的纠正措施。
HIPAA安全官应定期审查技术的风险分析,并在适当的情况下进行全面或部分审查,以评估任何新的风险。
在购买新技术或实施影响保护PHI的管理、技术或物理控制的任何变更之前,HIPAA联系人必须要求HIPAA安全官员进行安全审查。
HIPAA联系人必须将环境、操作程序的任何变化或PHI风险的重大变化通知HIPAA安全官员,以便安全官员进行更新的审查。这些通常涉及新系统、应用程序或其他可能影响PHI安全性的更改。这些审查可能具有较小的范围,例如计划的新软件包的获取或物理迁移。
8.2保护
8.2.1个人责任
请参阅本HIPAA政策手册第2节。
8.2.2管理控制:培训、访问管理
培训:见章节1.8:HIPAA培训。
安全培训是年度HIPAA培训的一部分。此外,HIPAA安全官员将定期发布澳门威尼斯人注册关键安全问题的提醒和更新。受保组件将确保这些提醒传达给受保组件劳动力的所有成员。
访问管理:所涵盖的组件创建并记录程序,这些程序建立在以下程序的基础上,以定义如何授权、维护和撤销对PHI的访问,包括基于Workforce成员角色的访问权限矩阵,并遵循最低必要标准(见政策3.2)。
牙科保健中心在GSDM“门户”上维护访问权限变更(提供、修改或撤销)的文档。其他涵盖的组件在BU HIPAA SharePoint网站上维护此文档。
只有在HIPAA培训完成后才提供对PHI的访问,当员工角色发生变化时才进行修改,并且当员工离开角色而不再需要访问PHI时立即(例如在24小时内)撤销,除非根据第10.0条授予例外。当查尔斯河校园HIPAA组件雇用新员工时,HIPAA联系人在覆盖组件HIPAA SharePoint网站上输入新的访问请求。在请求中,HIPAA联系人确认该员工已完成HIPAA培训。HIPAA联系人是HIPAA培训的黑板讲师,使他们能够添加用户并验证员工已完成培训和任何个人设备的安全认证。
当HIPAA联系人或覆盖组件管理发出新的访问请求时,IS&T会收到HIPAA SharePoint站点警报。当IS&T根据请求和HIPAA SharePoint网站上维护的受保护组件访问矩阵进行了技术更改时,IS&T在访问请求列表的“IT已完成”一栏中输入日期。
修改修改发生的频率较低,但需要在HIPAA SharePoint网站上记录任何角色更改,例如不同类型的医疗或牙科记录帐户。
撤销应包括面试或离职培训,在雇佣的最后一天之前。面试或培训应提醒澳门威尼斯人注册他们的道德责任,以保持患者数据的隐私(不共享)和安全(销毁或返回BU)。在涵盖组件系统之外的任何PHI必须适当地退回或销毁。
在雇佣结束时,除非不可行,HIPAA联系人或管理层要求员工签署离职证明(纸质或电子)或通过电子邮件确认他们已经返回或销毁了所有患者和澳门威尼斯人注册网站研究对象数据。
例子:
“我(首先最后)确认我已经安全地销毁或将所有患者和澳门威尼斯人注册网站研究对象的数据归还给丹尼森澳门威尼斯人注册网站研究所。这包括不允许限制使用的电子邮件系统、个人设备、下载文件夹或垃圾文件夹中的数据。”
当不再需要对HIPAA组件设施的物理访问时,HIPAA联系人或管理层将采取一切必要步骤来删除物理访问,包括检索任何物理密钥、请求删除任何标识访问以及更改任何共享入口代码或密码。在覆盖组件HIPAA SharePoint站点上维护的物理安全日志中跟踪更改。
当不再需要技术访问时,HIPAA联系人提交访问请求以撤销访问。HIPAA Contact删除或禁用任何HIPAA Contact管理的访问,例如电子医疗记录,并请求IS&T删除IS&T管理的访问,例如网络驱动器。删除访问权限后,IS&T在访问请求列表的“IT已完成”列中输入日期。
访问审查理想情况下,每季度一次,但至少每年一次,HIPAA联系人对访问管理记录进行审查,以确认所有员工都有最低限度的必要访问PHI。例如,是否为所有员工分配了正确的访问角色?所有离职员工的电子病历帐户是否已被禁用或删除?
访问评审应形成文件。Charles River Campus HIPAA Components可以在HIPAA SharePoint站点访问请求列表的“已审查”栏中输入新的日期。
8.2.3技术控制
技术控制是软件和逻辑控制,用于防止可能对PHI的机密性、完整性或可用性构成威胁的未经授权的活动。以下是通用的技术控制:
- 访问PHI的帐户需要按照大学身份和访问管理数据保护标准中规定的强密码。
- 只要可能,访问PHI需要双重身份验证。当无法进行双因素身份验证时,每季度更改一次密码是一种可接受的替代方法。
- 访问系统或应用程序的每个个人都是唯一标识的,帐户凭据不得共享,除非根据政策10获得例外批准。
- 作为信息系统活动审查程序的一部分,用于患者或澳门威尼斯人注册网站研究主题通信或包含HIPAA数据的共享电子邮件帐户必须强制每季度更改一次密码,并每年进行审计。
- 当应用程序具有此功能(例如BU REDCap)时,应该将帐户设置为在不活动六个月后自动禁用,需要管理员批准才能使帐户活动。
- 系统和应用程序在闲置时需要身份验证。PHI系统或应用程序的最大空闲时间为15分钟。或者,可以将设备空闲时间设置为15分钟,不退出特定应用程序。
- 系统和应用程序的管理权限仅在工作功能需要时授予。
- 可移动媒体已使用Microsoft组策略从受保护组件中的所有BU设备中屏蔽,但安全官员和HIPAA联系人认为必要的设备或可移动媒体除外。HIPAA联系人负责将所有允许的设备和可移动媒体包括在承保组件清单中
- 服务器和设备必须符合BU数据保护标准、最低安全标准。此外,服务器和设备还需要满足以下要求:
- 生产系统变更必须遵循事业部变更管理程序
- 生产环境必须满足覆盖组件的可用性需求(例如,负载平衡、故障转移)
- 测试环境必须包含去标识化的HIPAA数据,或者满足与生产环境相同的控制需求
- 所有由不属于IT支持的供应商或人员提供的维护必须由IT支持主动监控(即监视),无论是物理监控还是使用诸如BU Teams之类的技术
- 服务器必须有一个不能从校外访问的私有IP
- 服务器防火墙规则必须限制对系统运行所需的最小端口和协议的访问
- 服务器防火墙规则必须限制校园内连接到学校或部门的IP范围,除非该服务(例如,BU Restricted Use网络驱动器)是从整个BU校园访问的
- 服务器防火墙规则可以允许通过BU VPN或网络地址转换服务(例如,负载平衡器或校园边缘NAT服务)进行校外访问。
- 服务器防火墙规则必须由BU信息安全与HIPAA联系人和IT支持协调定期审计
- 服务器必须通过BU漏洞扫描器扫描,并包含在BU ServiceNow中的BU信息系统活动审查程序知识库文章(KBA)中
- 服务器也必须在数据中心,由BU HIPAA安全官员认为适当的IDS或IPS保护
- Covered Components设施必须具有与非Covered Component子网隔离的专用BU网络
- 被覆盖组件必须使用BU网络(即,有线网络,无线网络,或校外VPN),从不使用个人Wi-Fi热点或非BU网络设备,除非从校外连接并使用BU VPN
特定于每个涵盖组件的其他技术控制在其HIPAA程序中进行了记录。
8.2.3.1加密
数据中心:数据中心内的PHI是静态加密的,除非HIPAA隐私和安全官员根据HIPAA政策手册的政策10授予例外。
设备:用于访问或存储PHI的所有设备(例如,台式电脑、笔记本电脑、电话、USB拇指驱动器、cd、备份磁带)必须使用静态加密,以便在设备丢失或被盗时保护数据。根据HIPAA政策10,访问或存储PHI且不使用静态加密的任何个人或大学拥有的设备都必须作为例外记录。
传输:除非HIPAA隐私和安全官员根据HIPAA政策手册的政策10授予例外,所有PHI必须在传输中加密,并必须使用完整性控制。
8.2.3.2反恶意软件防护
存储或访问PHI的所有系统必须运行经HIPAA安全官员批准的反恶意软件,以检测和防止恶意软件的执行。
BU IS&T将在访问PHI的所有BU系统、设备和应用程序上安装反恶意软件。覆盖组件负责确保允许的个人设备具有反恶意软件。BU IS&T为个人和个人设备免费提供反恶意软件。
反恶意软件必须随时运行,并且必须设置为自动更新和扫描。
8.2.3.3备份
所有存储PHI的系统和应用程序都必须进行安全备份。涵盖组件描述了涵盖组件清单中每个组件的备份机制或过程。备份必须由IS&T和GSDM IT与HIPAA联系人协调定期测试。供应商提供的服务的安全审查必须包括澳门威尼斯人注册备份过程和定期测试的问题。
8.2.3.4系统和应用审计
BU IS&T负责集中审核由BU IS&T运行的系统和应用程序,例如RU-GPNAS网络驱动器。服务器必须将日志转发到BU中央日志存储库。设备必须增加日志存储(如Windows事件日志),以确保每台设备上至少存储三个月的审计日志。设备日志不转发,但对于事件响应小组的调查是必要的。所涵盖的组件为每个独特的应用程序(例如组件电子医疗记录)记录审计过程。
8.2.4物理控制
8.2.4.1承保组件设施物理安全计划
每个受保护组件都有一个平面图,由波士顿大学房地产和设施服务部维护,记录物理结构,例如保护PHI免受盗窃和其他物理威胁的房间和锁门。保安员与每个覆盖组件一起审查这些平面图,并与波士顿大学房地产和设施服务部门合作,正确记录物理结构。经安全主管批准的计划存储在HIPAA SharePoint网站上。
牙科保健中心维护钥匙清单(目前在CAMMS, BU设施服务请求系统中),其中每个钥匙必须链接到UID。每个部门负责决定和跟踪谁得到钥匙,并在任何个人或共享钥匙丢失时报告。其他涵盖的组件在BU HIPAA SharePoint站点上维护物理键的清单。
查尔斯河校区的波士顿大学警察局和医学校区的波士顿大学公共安全部门提供安全监控和响应。
Boston University ID Card提供了一种确定Covered Component Workforce (UID)成员的方法。进入PHI区域的供应商和客人必须有陪同或有访客证。
HIPAA联系人负责确保对其物理部件的维修和修改以维护PHI安全的方式进行管理,并在承保部件平面图中正确记录,并在需要时联系HIPAA安全官员寻求帮助。
8.2.4.2数据中心物理安全
BU IS&T负责所有BU IS&T数据中心的安全,包括访问控制。
任何希望建立新数据中心的受保组件必须咨询安全官员并遵守IS&T数据中心政策。
8.2.4.3业务流程安全
该HIPAA联系人负责确保在正常的日常操作过程中,按照本HIPAA政策手册第4.0节的BU个人责任政策,采取合理的预防措施,防止未经授权的PHI访问。例如,用于访问PHI的设备不应对公众开放,显示PHI的监视器应远离公共区域,服务器必须保存在符合8.2.4.2节的数据中心,便携式设备不得存储在容易被盗的地方。此外,必须设计业务流程以确保数据保持安全。
8.2.4.4设备和媒体安全
HIPAA联系人必须在HIPAA SharePoint网站清单上列出IS&T或GSDM IT使用KACE未清点的所有设备。设备必须加密,通常不能与其他员工共享,除非用于患者护理(例如……)。牙科扫描仪)。
在设备被其他澳门威尼斯人注册重用或用于其他目的之前,必须安全地擦除设备。
数据中心外的设备,如果有文件例外来存储未加密的PHI,并且不打算移动,则必须使用锁垫、电缆或类似技术进行物理保护,除非存储在非常安全的物理空间中。
允许的个人设备必须满足与BU自有设备相同的安全标准,即设备:
- 已由IS&T或GSDM IT审核,确认有:
- 加密打开,
- 安装了反恶意软件;
- 空闲时间不超过15分钟,并且
- 具有受支持且定期更新的操作系统。
员工必须每年完成一次安全认证,并且每当员工获得将用于访问、处理或存储PHI的新设备时。
BU IS&T根据大学的数据保护要求和媒体销毁单,提供物理设备和媒体的安全销毁。这项服务是免费的。
任何包含PHI的设备或媒体,如果已达到使用寿命,即使PHI已加密,也必须交付给IS&T进行安全销毁。
IS&T和GSDM IT记录kace控制设备的销毁;被覆盖部件在其库存中记录其他设备和介质的销毁情况。
8.3检测:信息系统活动评审
BU IS&T监控中央系统,如校园边缘防火墙,并通知HIPAA隐私官和/或HIPAA安全官任何可能涉及PHI的事件,以便他们进一步调查。IS&T不断测试和改进他们的检测过程。
BU IS&T还负责BU管理的系统、设备和应用程序的信息系统活动审查,包括确认适当的补丁和反恶意软件系统是否到位、更新和正常运行。GSDM IT对牙科健康中心的独立系统、设备和应用程序执行此审查。
IS&T和GSDM IT审查按照HIPAA安全官员维护的知识库文章记录在ServiceNow (BU的IT服务跟踪系统)中。IS&T和GSDM IT不断测试和改进检测流程。
受保组件负责对其独有的任何系统、设备和应用程序进行系统活动审查,例如,其电子医疗记录或任何医疗设备。该等审核计划将由HIPAA联系人和HIPAA安全官员根据对承保组件的运营和活动性质所构成的风险的评估共同制定,旨在发现例如未经授权的访问、异常使用或可疑的披露。HIPAA联系人负责在承保组件HIPAA程序中记录审查计划,并使用HIPAA SharePoint网站“月度活动审查”列表记录月度审查。
8.4反应
安全事件是“试图或成功地未经授权访问、使用、披露、修改或破坏信息或干扰信息系统中的系统操作”(45 C.F.R.§164.304)。通常情况下,只有成功的未经授权的访问、使用、披露、修改或销毁才构成HIPAA下的违反,由HIPAA隐私和安全官员确定。
任何怀疑可能发生安全事件的员工必须立即通知他或她的HIPAA联系人和BU信息安全事件响应小组irt@bu.edu或617-358-1100。事件也可以报告到hipaa@bu.edu或匿名到BU道德点。有关更多信息,请参见第7节:违规行为。
8.5恢复:应急计划;紧急模式操作;复苏
BU应急管理协调了一个全面的应急管理计划,旨在预防、准备、响应并从可能破坏HIPAA组件运行的任何威胁、紧急情况或灾难中恢复。为应对紧急情况,HIPAA联络人负责在BU应急管理部门的指导下制定并每年审查一份运营连续性计划(COOP)。
HIPAA联系人必须向BU应急管理部门提供合作协议,并在其HIPAA SharePoint网站上存储一份副本。当合作协议更新时,HIPAA联系人同样必须向应急管理部门提供更新后的合作协议,并将副本上传到HIPAA组件SharePoint网站。
HIPAA联系人负责定期测试他们的合作伙伴关系,并对恢复计划进行事后审查,以确定改进的领域。
BU IS&T负责应对电子紧急情况,如网络安全攻击以获取PHI访问权限或拒绝服务,或网络中断。
波士顿大学承保部分提供的保健服务都是选择性门诊服务,因此没有在紧急情况下继续提供服务的计划。在所有紧急情况和灾难中,承保组成部分员工将与BU应急管理部门和BU警察或公共安全部门协调,以保护员工、患者和实物资产(包括持有PHI的资产)的安全。
对具体紧急情况的计划反应说明如下。
- 电子病历不可用如果受保组件的电子病历在短时间内不可用,供应商将使用纸笔或可用的电子资源(如Microsoft Word)以电子方式记录信息。创建的任何物理记录将按照HIPAA政策手册第2.0节提供的标准进行保护。在医疗记录之外创建的任何电子PHI必须存储在PHI和限制使用数据批准的位置,例如Microsoft OneDrive或批准的网络驱动器。在EMR重新激活后,HIPAA联系人和每个受影响组件的临床负责人将会面,以确定如何将物理PHI添加到EMR中,以确保完整性和完整性(例如,在短暂中断后,供应商可能负责自己输入所有数据,并安全地销毁已电子输入的所有物理PHI)。如果中断的持续时间足够长,这将是低效的,HIPAA联系人和临床领导将决定是否其他成员的受保组件劳动力将协助;是否将由覆盖部分以外的BU资源提供援助,或者是否将使用外部资源。通常的规则适用。承保组成部分以外的业务单位资源将被视为支持单位,并遵守与支持单位相同的义务。在访问PHI之前,需要外部资源来执行业务合作协议。
- 电子医疗记录的意外破坏:除牙科保健中心外,所涵盖的组件使用第三方提供商的电子病历。这些第三方中的每一个都负责备份电子病历中的数据,并将是恢复访问和确认数据完整性的关键参与者。HIPAA联系人负责协调这项工作。GSDM IT负责Salud和Eaglesoft的备份和恢复。
- 意外破坏BU驱动器,系统: IS&T负责任何BU中央系统和应用程序的备份和恢复。
- 严重和致残紧急情况如果发生严重紧急情况,使承保组成部分无法向其病人提供任何保健服务,病人将被送往最近的急救设施,以满足紧急医疗需求。这将通过在每个这样的设施的病人入口处张贴一个标志,通过病人使用的主要电话号码的录音信息,以及在与波士顿大学应急管理部协调的情况下在线完成。HIPAA联系人负责确保做到这一点。在此步骤之后,HIPAA联系人和该组成部分的临床领导将会面确定其他适当的步骤,其中可能包括个人提供者使用合理的努力联系被认为迫切需要护理的患者,以帮助他们做出替代护理安排。
- 物理空间不可用*受保组成部分经常用于提供保健服务的实际空间可能因火灾、洪水、地震、恐怖袭击和其他自然和人为灾害而长期无法使用。如果发生这种情况,波士顿大学应急管理部门和设施管理部门将努力确保一个备用地点。HIPAA联系人在BU HIPAA隐私和安全官员的支持下,将确保该替代地点符合BU的HIPAA标准和/或根据本HIPAA政策手册第10.0条批准临时例外。
澳门威尼斯人注册本政策的其他资源
相关政策、程序和指南
- HIPAA
- 数据安全
部网站