ISO 27001 vs HIPAA BAA: Τι Καλύπτει Κάθε Ένα
| Απαίτηση | ISO 27001 | HIPAA BAA |
|---|---|---|
| Πολιτική ασφαλείας | ✓ | Μερικώς |
| Κρυπτογράφηση δεδομένων | ✓ | ✓ |
| Έλεγχος πρόσβασης | ✓ | ✓ |
| Διαχείριση περιστατικών | ✓ | ✓ (72 ώρες αναφοράς) |
| Εκπαίδευση εργαζομένων | ✓ | ✓ |
| Υπεργολαβοί | ✓ | ✓ (chain BAA) |
| Δικαίωμα ελέγχου | Ανάλογα | ✓ |
| PHI-specific χειρισμός | ✗ | ✓ |
| Κλινικές ροές εργασίας | ✗ | ✓ |
Τι Χρειάζεται Ξεχωριστά
Για ISO 27001 αλλά όχι καλυπτόμενο από BAA:
- Ετήσιος εσωτερικός έλεγχος ασφαλείας
- Δοκιμές διείσδυσης
- Παράρτημα A ελέγχων
Για HIPAA BAA αλλά όχι από ISO 27001:
- Ορισμός Protected Health Information (PHI)
- Ειδικές ρήτρες αναφοράς παραβίασης (72 ώρες)
- Απαιτήσεις καταστροφής/επιστροφής PHI κατά λήξη
Πώς να Παρουσιάσετε Ενιαία Τεκμηρίωση
Δείτε αυτή τη δομή παρουσίασης σε healthcare αξιολογητή:
- ISO 27001 πιστοποιητικό (Scope, Expiry)
- BAA (υπογεγραμμένο ή πρότυπο)
- Μήτρα cross-reference (κάθε HIPAA ρήτρα → ISO 27001 control)
- Τεχνική περίληψη (κρυπτογράφηση, servers, πρόσβαση)
- DPA Άρθρου 28 (για EU-based clients)
Πηγές: