BAA 만족스러운 보증 요구 사항
HIPAA의 개인 정보 보호 규칙은 보장된 기관(병원, 건강 계획, 의료 청산소)이 그들의 이름으로 보호된 건강 정보를 접근, 사용 또는 생성하는 모든 공급업체와 비즈니스 협약을 체결해야 한다고 요구합니다. BAA는 비즈니스 협약자가 PHI를 보호하기 위해 적절한 보호 조치를 구현할 것이라는 "만족스러운 보증"을 포함해야 합니다 — 특히 45 CFR 164.308, 164.310 및 164.312의 관리적, 물리적 및 기술적 보호 요구 사항입니다.
"만족스러운 보증" 기준은 규정에서 구체적으로 정의되어 있지 않습니다. OCR 집행 지침은 보증이 단순한 계약적 진술이 아닌 문서화된 증거를 기반으로 해야 한다고 명시합니다. 비즈니스 협약자가 실제로 요구되는 보호 조치를 구현하고 있다는 증거를 얻지 않고 BAA에 서명하는 보장된 기관은 비즈니스 협약자가 이후 BAA를 위반할 경우 적절한 주의를 증명할 수 없습니다.
ISACA의 2024 통합 제어 프레임워크 분석에 따르면 ISO 27001 인증은 의료 감사 중복을 60% 줄입니다 — 이는 ISO 27001 제어가 HIPAA의 보안 요구 사항에 얼마나 잘 매핑되는지를 반영합니다. 매핑이 완벽하지는 않지만(HIPAA는 ISO 27001이 다루지 않는 의료 특정 요구 사항을 포함합니다), BAA의 적절한 주의가 요구하는 대부분의 기술적 및 조직적 보호를 포함합니다.
제어 매핑
ISO 27001 부록 A 제어는 세 가지 보호 범주에 걸쳐 HIPAA 보안 규칙 요구 사항에 매핑됩니다:
관리적 보호 조치 (164.308): ISO 제어 A.5 (정보 보안 정책), A.6 (정보 보안 조직), A.7 (인적 자원 보안), A.8 (자산 관리)는 HIPAA의 보안 관리 프로세스, 보안 책임 할당, 인력 보안, 정보 접근 관리, 보안 인식 및 비상 계획에 대한 요구 사항을 집합적으로 다룹니다.
물리적 보호 조치 (164.310): ISO 제어 A.11 (물리적 및 환경적 보안)은 시설 접근 제어, 작업 공간 보안, 장치 및 매체 제어를 다룹니다.
기술적 보호 조치 (164.312): ISO 제어 A.9 (접근 제어), A.10 (암호화), A.12 (운영 보안), A.13 (통신 보안)은 접근 제어, 감사 제어, 무결성 제어 및 전송 보안을 집합적으로 다룹니다.
지역 건강 시스템 사용 사례
대규모 지역 건강 시스템의 준수 사무소는 PHI 비식별 서비스를 제공하는 비즈니스 협약자로부터 기존 BAA에 따라 "적절한 보호 조치"의 증거를 요청합니다. 준수 담당자는 ISO 27001 인증서와 제어 요약을 요청합니다. 인증서는 제어 교차 문서에서 HIPAA 164.308, 164.310 및 164.312 요구 사항에 매핑됩니다. 준수 담당자는 BAA 파일에 만족스러운 보증을 문서화하여 맞춤형 150개 질문 보안 평가를 요구하지 않고도 OCR 감사 요구 사항을 충족하는 증거를 제공합니다.
출처: