HIPAA解决方案（一、简介）

最近的一年时间参与了HIPAA的一个解决方案的开发，客户是美国的一家保险公司，随着项目的顺利进展，我自己对HIPAA也有了一些了解，在此记录下来。

首先简单介绍一下HIPAA的历史。

在医疗保健领域，信息系统的应用越来越广泛，如医院信息管理系统、远程医疗诊断、网上就医、急救调度响应、疫情监控系统、医疗保险系统等。与此同时，随着医疗保健对信息系统的应用和依赖，也将不可避免地带来相应的信息安全问题，如病人的病例保密问题、网上就医系统的可靠性问题、急救调度响应系统的可用性问题等。

HIPAA是美国前总统克林顿签署的健康保险携带和责任法案（HealthInsurancePortabilityandAccountabilityAct）的缩写。该法案对多种医疗健康产业都具有规范作用，包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。该法案的主要目标如下：

1.保证劳动者在转换工作时，其健康保险可以随之转移；

2.保护病人的病例记录等个人隐私；

3.促进国家在医疗健康信息安全方面电子传输的统一标准。

在HIPAA法案的相关标准中，有关医疗信息安全和电子签名标准的规范条例是其中的重要组成部分。目前，HIPAA安全条例还没有正式公布，但业内人士相信该条例将会在2001年上半年出台。到那时，在美国所有涉及医疗保健的机构中，包括医院、健康计划部门、保健服务商、相关票据交换所、医疗信息系统提供商、医科大学、甚至只有一个内科医生的办公室等，对任何形式的个人健康保健信息的存储、维护和传输都必须遵循HIPAA的安全条例规定。

在技术方面，HIPAA安全条例是中立的、可升级的。系统安全可在系统的建立、实现、监控、测试和管理过程中不断提高，并且每个环节都可采用多种工具。该条例是一种开放的安全标准，每个医疗机构可以选择适合自身的技术和解决方案。医疗机构必须保存HIPAA安全标准要求的相关文档，并接受对这些资料和相关过程的定期复查。

HIPAA安全条例将安全标准分为四类，以保护信息系统的保密性、一致性和可用性：

• 管理流程（AdministrativeProcedures）建立和落实安全策略；
• 物理防护(PhysicalSafeguards)描述如何保护计算机系统实体以及相关的环境和设备，免受自然灾害或人为破坏；
• 技术安全服务(TechnicalSecurityServices)描述对数据访问的保护和监控；
• 技术安全机制(TechnicalSecurityMechanisms)在网络中保护信息和限制数据访问的机制。

引用自：http://www.i170.com/user/jordanpan/Article_5415