标准简介
《健康保险流通与责任法案》(HIPAA)是美国于 1996 年 8 月颁布的基础性联邦法律,旨在保护敏感的患者健康信息,防止未经患者同意或知情而被披露。HIPAA 建立了保护受保护健康信息(PHI)的国家标准,确保医疗保健提供者、健康计划、医疗保健清算所及其业务合作伙伴实施适当的安全措施。该法律包括多项规则,包括隐私规则(2003 年 4 月生效)、安全规则(2005 年 4 月生效)和违规通知规则(2009 年 9 月可执行)。HIPAA 适用于'受保实体'(进行电子交易的医疗保健提供者、健康计划和医疗保健清算所)以及代表受保实体处理 PHI 的'业务合作伙伴'。
HIPAA 合规要求实施三类安全措施:行政措施(政策、程序、培训)、物理措施(设施访问控制、工作站安全)和技术措施(访问控制、加密、审计控制)。隐私规则管理 PHI 的使用和披露,赋予患者访问其记录、请求更正和接收披露说明的权利。安全规则专门针对电子 PHI(ePHI)保护,通过必需和可寻址的实施规范。最新更新包括 2024 年生殖健康隐私规则和 2025 年提议的网络安全增强措施,以应对勒索软件和黑客威胁。美国卫生与公众服务部民权办公室(OCR)通过审计和调查执行 HIPAA,每次违规的罚款从 100 美元到 50000 美元不等,每类违规每年最高可达 150 万美元。2024-2025 年 HIPAA 审计计划重点关注与网络安全威胁相关的安全规则合规性。
shield
范围
适用于所有规模和行业的组织,涵盖保密性、完整性和可用性的保护。
account_tree
结构
遵循高级结构(HLS),确保与其他 ISO 管理标准(如 ISO 9001)的无缝集成。
verified
认证
组织在成功完成 ISMS 的外部审核后,可以获得认可的认证。
list_alt 核心要求(第 4-10 条)
- 组织的环境
- 领导力与承诺
- 规划与风险评估
- 支持与意识
- 运营
- 绩效评估
- 持续改进
官方文档
实施时间线
gavel
Aug 1996
克林顿总统签署 HIPAA - 公法 104-191 签署成为法律,保护患者健康信息
privacy_tip
Dec 2000
隐私规则发布 - HHS 发布最终隐私规则,建立 PHI 保护的国家标准
check_circle
Apr 2003
隐私规则生效 - 医疗保健提供者、健康计划和清算所必须遵守
security
Feb 2003
安全规则发布 - HHS 发布电子 PHI(ePHI)保护的最终安全规则
verified_user
Apr 2005
安全规则生效 - 受保实体必须实施行政、物理和技术安全措施
notification_important
Sept 2009
违规通知规则可执行 - HITECH 法案要求通知个人 PHI 违规的规定开始执行
rule
March 2013
综合最终规则可执行 - 加强隐私和安全保护,扩展至业务合作伙伴
health_and_safety
June 2024
生殖健康隐私规则生效 - 为生殖医疗信息隐私提供新保护
shield
Jan 2025
安全规则网络安全更新提议 - 发布 NPRM,增强网络安全标准以应对勒索软件