據消息稱,醫(yī)療機構應該執(zhí)行“差距分析”以找出HIPAA合規(guī)中的薄弱問題。這個主意行得通嗎?我們又該如何執(zhí)行合規(guī)差距分析呢?
Mike Chapple:這絕對是個好主意。安全差距分析是經過時間檢驗的合規(guī)技術,非常適合受HIPAA、PCI DSS和其他安全及隱私法規(guī)監(jiān)管的企業(yè)。差距分析或評估主要包括測量IT資產,看看它們是否符合預期的性能指標。安全或合規(guī)差距分析則會根據監(jiān)管機構或標準組織規(guī)定的要求來衡量企業(yè)當前的合規(guī)工作。
企業(yè)在執(zhí)行安全差距分析時,首先應該確定誰來執(zhí)行評估。如果評估是供內部使用,則可讓內部人員來執(zhí)行評估—這里需要有資格來評估合規(guī)性的人員。在另一方面,如果評估將與外部利益相關方共享,企業(yè)可能希望聘請第三方審計公司來執(zhí)行評估。
安全差距分析主要是評估企業(yè)的合規(guī)性與HIPAA規(guī)則是否相符。評估者應該記錄企業(yè)如何遵守法規(guī)的各個部分,然后確定企業(yè)需要作出哪些修復以完全遵守法規(guī)。此外,這種差距評估可向企業(yè)領導層提供實現(xiàn)全面合規(guī)性的路線圖。