HHS更新HIPAA安全风险评估工具

美国卫生部发布更新版 HIPAA 安全风险评估工具

为了加强医疗保健行业网络安全，美国卫生与公众服务部（HHS）的民权办公室（OCR）于 2025 年 9 月 10 日发布了其安全风险评估工具 (SRA 工具) 的最新版本 3.6。该工具是一个免费资源，旨在帮助 HIPAA 受保实体和商业伙伴进行符合 HIPAA 的安全风险评估。

SRA 工具特别针对小型和中型提供者设计，可以为任何受 HIPAA 监管的小型实体提供实用价值。非提供方实体，包括商业伙伴，可能需要对工具进行修改以适应其运营方式和安全基础设施。

此次更新提高了工具的用户友好性，其中包括添加一个“经审阅”功能，允许组织跟踪内部组件的安全风险评估的批准情况。此外，SRA 工具报告功能也随之改进，使组织能够记录其内部审查和批准过程。

OCR 强调对于 HIPAA 受保实体及其商业伙伴来说，进行安全风险评估至关重要，因为它是一个关键的 HIPAA 合规性和风险缓解策略组成部分。在 OCR 的数据泄露调查中，反复出现未进行（或更新）安全风险评估或未修复已识别问题的组织。

为了帮助 HIPAA 受监管实体理解其根据 HIPAA 安全规则的义务，OCR 与国家标准技术研究所 (NIST) 和其他机构合作发布了一系列指导材料。

阅读本文之前，你最好先了解…

• HIPAA (健康保险可移植性和问责法案)：这是一个美国联邦法律，旨在保护个人健康信息（PHI）的保密性、完整性和可用性。
• 受保实体和商业伙伴： HIPAA 监管机构将医疗保健提供者称为“受保实体”，而处理 PHI 的其他组织，例如保险公司或 IT 服务供应商，被称为“商业伙伴”。

SRA 工具的功能

SRA 工具帮助组织完成以下关键任务:

• 识别潜在的安全风险: 工具针对常见安全威胁进行评估，例如未经授权的访问、数据泄露和系统故障。
• 确定脆弱性: 工具分析组织现有的安全控制措施，找出可能存在的漏洞。
• 制定缓解措施: 工具提供建议，帮助组织减轻已识别的安全风险。
• 记录安全风险评估过程: “经审阅”功能允许组织跟踪安全风险评估的批准情况，并生成报告以记录内部审查和批准过程。

SRA 工具的使用优势

SRA 工具提供以下优势:

• 免费使用: 工具由 HHS 提供，无需支付费用。
• 易于使用: 工具设计简单直观，即使是技术能力较弱的用户也能轻松使用。
• 针对特定用户的定制化: 虽然主要面向小型和中型提供者，但其他 HIPAA 受监管的实体可以根据自身需求调整工具的使用方法。
• 可持续更新: HHS 定期更新 SRA 工具，以保持其符合最新安全标准和最佳实践。

为什么安全风险评估很重要？

对于任何处理 PHI 的组织来说，进行安全风险评估至关重要。 这是确保 HIPAA 合规性的关键步骤，也是有效缓解安全风险并保护患者隐私的必要措施。 没有进行或没有更新安全风险评估的组织将面临更高的违规风险和更大的经济损失。

了解更多信息

欲获取有关 SRA 工具及其如何帮助您实现 HIPAA 合规性的更多信息，请访问 HHS OCR 的官方网站： https://www.hhs.gov/ocr/privacy/hipaa/understanding/index.html

如果你有其它意见，请评论留言。