它是什么
HIPAA 为受保护健康信息(PHI)的保护确立了国家级标准。其 Privacy、Security 与 Breach Notification 规则要求 covered entities 与 business associates 通过管理性、物理性与技术性保障措施保护 PHI,其中 Security Rule 风险分析是整个项目的基石。
谁须遵守
美国的医疗服务提供方、健康计划与清算机构,以及任何为其处理 PHI 的供应商;business associates 依据 HITECH 直接承担责任,因此该义务会沿供应链层层传导。
IntelligenceX 如何提供帮助
HIPAA Security Rule 风险分析与差距评估
管理性、物理性与技术性保障措施设计
政策、程序与 Business Associate Agreement 模板
违规通报准备
HITECH 违规通报准备,包括 500+ 报告工作流
员工 HIPAA 培训与处罚政策设计
差距评估ISMS 设计内部审计阶段 1 与阶段 2 支持整改指导认证就绪
常见问题
没有。政府并不认证 HIPAA 合规,任何“HIPAA 认证”徽章都只是营销。我们提供有文档支撑的风险分析与合规项目,用以证明尽职。
如果您代表 covered entity 创建、接收、存储或传输 PHI,您即为 business associate,HIPAA 直接适用,包括签署 BAA。
没有固定间隔,但 OCR 期望它保持最新:至少每年评审一次,并在系统、供应商或工作流发生重大变更时进行。过时或缺失的风险分析是 OCR 最常指出的问题,因此我们会帮助您让它持续鲜活,而非束之高阁。