شرح حماية المعلومات الصحية الشخصية عن طريق تقييم الامتثال HIPAA

حماية المعلومات الصحية الشخصية PHI هو واحد من مجالات تكنلوجيا الرعاية الصحية الأكثر تطورا، لذا تعمل  ScienceSoft على مساعدة مقدمي الرعاية الصحية و شركات الصحة الرقمية، في الحفاظ على على المعلومات الصحية حتى تبقى اَمنة، و متوافقة مع تقييم الامتثال HIPAA.

شرح حماية المعلومات الصحية الشخصية عن طريق HIPAA Compliance

ما هو التدقيق المسبق للامتثال لقانون نقل التأمين الصحي HIPAA ؟

يمكن أن يساعد التدقيق المسبق لـ تقييم الامتثال HIPAA مقدمي الرعاية الصحية و شركات الاعمال! مثل مقاولي تكنولوجيا المعلومات، وشركات الفوترة، ومقدمي خدمات المحاسبة وغيرهم، تقييم حماية المعلومات الصحية الشخصية PHI. كما يمكن لشركات برامج الرعاية الصحية، ومصنعي الأجهزة الطبية الإستفادة من تقييم الامتثال HIPAA، بهدف التأكد من أن منتجتاهم متوافقة مع متطلبات HIPAA قبل دخولها للأسواق.

• قد يشمل التدقيق المسبق للامتثال لقانون نقل التأمين الصحي HIPAA ما يلي: مراجعة الإجراءات الامنية المعمول بها، الوعي الأمني للموظفين، إختبار الأمان للبرامج و البنية التحتية لتخزين البيانات، نقل و حماية المعلومات الطبية الشخصية PHI .
• خطوات التدقيق المسبق للامتثال لقانون نقل التأمين الصحي HIPAA : التخطيط ، ثم إعداد الموارد (تجميع فريق تدقيق داخلي وإعداد الأدوات المطلوبة)، من ثم بدء عملية التدقيق وتنفيذها.
• فريق التدقيق يتكون من : مدير المشروع، مستشار HIPAA، مهندسي إختبار الأمان.

خطة الإعداد للتدقيق المسبق للامتثال لقانون نقل التأمين الصحي HIPAA

قد يتطلب التقييم الشامل للامتثال لقانون HIPAA خطوات مختلفة، و يعتمد ذلك على نوع خدمة او خدمات الرعاية الصحية التي تقدمها الشركة، لذك سنعطيكم خطوات وضع الإستراتيجيات و إعداد الموارد لتنفيذ التدقيق :

1. التوافق مع HIPAA التخطيط للتدقيق المسبق

تستغرق مدة 2 إلى 3 أسابيع، يتم خلالها إنشاء قائمة مرجعية، بها السياسات و إجراءات الأمان المطبقة على شركتك، كما هو مطلوب من قبل HIPAA، التي يجب ان تراعي ضوابط الأمان التالية بهدف حماية المعلومات الصحية الشخصية PHI :

• الضمانات الإدارية ( إدارة الأمن ) و أفراد الأمن و إدارة الوصول إلى المعلومات، مع تدريب العمال.
• الضمانات الفنية، مثل التحكم في الوصول و تشفير البيانات.
• الضمانات المادية من أجراءات أمان مكان العمل و غيرها.
• تحديد تطبيقات، قواعد البينات التي تحتوي على PHI.
• قائمة الموظفين و شركاء العمل، الذين لديهم حق الوصول.
• تقديم تقرير بالموارد المالية، البشرية المتوفرة.
• تطوير إستراتريجية لحل مشاكل العمل و البنى التحتية للمعلومات و غيرها.

2. إعداد الموارد للمراجعة المسبقة للامتثال لقانون نقل التأمين الصحي HIPAA

تشكيل فريق و إعداد أدوات التدقيق الداخلي: تستغرق 12 أسبوع بالتقريب، تشمل:

1. تجميع فريق مشكل من مهندسي الإختبار الأمني، مع مبرمجين.
2. إختيار الأدوات و التقنيات اللازمة للتدقيق : الهندسة الإجتماعية، إختبار pentesting، مراجعة الأكواد و بنية التطبيق، أدوات فحص نقاط ضعف في البرامج و الشبكات و قواعد البيانات.
3. تزويد فريق البرامج بإمكانية الوصول 
4. تمكين الفريق من إمكانية الوصول الى المعلومات المستهدفة.

بعدها يجب توظيف بائع تقييم الامتثال HIPAA، حيث يجب البحث و دراسة العروض لاختيار البائع المناسب، الذي يجب عليه تسجيل جميع مراحل العمل و التدقيق بشفافية، مع وضع تقرير كامل عن المشروع .

3. إطلاق وتنفيذ التدقيق المسبق للامتثال لقانون نقل التأمين الصحي HIPAA

يستغرق حوالي 10 أسابيع للتحقيق مما إذا كانت الإجراءات و السياسات الأمنية تفي بمتطلبات تقييم الامتثال HIPAA، و نوصيكم بما يلي :

1. التدقيق في الوثائق المتعلقة بحماية المعلومات الصحية الشخصية PHI .
2. إجراء مقابلات مع جميع الموظفين.
3. البحث في برامج الشركة و قواعد البيانات عن مشاكل امنية، و ذلك من خلال إجرار فحص اَلي للمشاكل و الثغرات، مع مراجعة كود المصدر من طرف مختصين، عملة محاكات لهجمات، بهدف حل المشاكل و حماية المعلومات الطبية الشخصية PHI .
4. إعداد تقريق التدقيق الذي يشمل مستندات المتعلقة بإجراءات و سياسات الامان لحماية المعلومات الصحية الشخصية PHI، و العتاد التكنلوجي من برامج و تطبيقات الامان، مع لائحة الموظفين الذين يملكون حق الوصول الى المعلومات، المشاكل الموجودة و الحلول المقترحة او الحلول التي تم وضعها لحل المشاكل، مع إستراتيجية و أدوات الإختبار و الحماية أثناء التدقيق، مع تدابير تصحيحية لجميع المشاكل مع متطلبات تقييم الامتثال HIPAA على المستويات الإدارية والفنية والمادية.