BAA 令人满意的保证要求
HIPAA 的隐私规则要求覆盖实体(医院、健康计划、医疗清算所)与所有访问、使用或代表其创建受保护健康信息的供应商签署商业合作协议(BAA)。BAA 必须包括“令人满意的保证”,即商业合作伙伴将实施适当的保护措施以保护 PHI——具体来说是 45 CFR 164.308、164.310 和 164.312 的行政、物理和技术保护要求。
“令人满意的保证”标准在法规中并未具体定义。OCR 执法指南表明,这些保证必须基于文件证据,而不仅仅是合同声明。如果覆盖实体在未获得商业合作伙伴实际实施所需保护措施的证据的情况下签署 BAA,则在商业合作伙伴随后违反 BAA 时无法证明尽职调查。
ISACA 2024 的统一控制框架分析发现,ISO 27001 认证将医疗审计重复性减少了 60%——反映了 ISO 27001 控制与 HIPAA 安全要求的映射程度。映射并不完美(HIPAA 包含 ISO 27001 未涉及的医疗特定要求),但它涵盖了 BAA 尽职调查所需的大多数技术和组织保护措施。
控制映射
ISO 27001 附录 A 控制映射到 HIPAA 安全规则要求的三个保护类别:
行政保护措施 (164.308): ISO 控制 A.5(信息安全政策)、A.6(信息安全组织)、A.7(人力资源安全)、A.8(资产管理)共同解决 HIPAA 对安全管理流程、分配安全责任、员工安全、信息访问管理、安全意识和应急计划的要求。
物理保护措施 (164.310): ISO 控制 A.11(物理和环境安全)解决设施访问控制、工作站安全、设备和媒体控制。
技术保护措施 (164.312): ISO 控制 A.9(访问控制)、A.10(加密)、A.12(操作安全)、A.13(通信安全)共同解决访问控制、审计控制、完整性控制和传输安全。
区域健康系统用例
一个大型区域健康系统的合规办公室在更新供应商评估时请求提供商业合作伙伴提供的 PHI 去标识服务的“适当保护措施”的证据。合规官请求 ISO 27001 证书和控制摘要。该证书在控制交叉文档中映射到 HIPAA 164.308、164.310 和 164.312 的要求。合规官在 BAA 文件中记录了令人满意的保证——提供了满足 OCR 审计要求的证据,而无需定制 150 个问题的安全评估。
来源: