iStockphoto /盖蒂图片社
确保HIPAA备份符合文档和测试要求
有了新的存储工具和不断发展的备份实践,被覆盖的实体保持与hipaa兼容的备份是至关重要的。这里有一些确保遵从性的方法。
毫不奇怪,HIPAA法规要求受保护的实体备份其数据。然而,为了实现HIPAA备份遵从性,组织需要做的不仅仅是创建备份。这里有一些事情需要考虑。
主要的HIPAA数据保护要求是组织必须存储备份副本非现场在物理上与原始数据分离的位置。当美国卫生与公众服务部(Department of Health and Human Services)制定这项法规时,当时的技术意味着各机构通常必须进行磁带备份,并将其运到场外。今天,云备份已经成为常态。虽然使用云备份没有什么问题,但工作数据集的副本必须存储在不同的位置。
例如,如果数据存储在Amazon云中,那么明智的做法是将数据备份到Microsoft云或其他非Amazon云。顺便提一下,没有规则禁止创建多个备份副本,这意味着组织可以在高度活跃数据所在的同一云中有一个备份副本,为了方便起见,同时在另一个云中保存一个辅助备份副本,以满足HIPAA的离线需求。
一定要加密
HIPAA的另一个重要要求是组织必须加密备份.在磁带备份时代,这主要是指将加密的数据写入磁带。在云时代,备份必须在静止和飞行时进行加密。这意味着企业不能以未加密的格式传输备份数据,备份文件也不能驻留在未加密的存储中。
如果一个组织在收到数据请求后30天内不能完全恢复备份,它可能会招致数百万美元的罚款。
文档备份过程
除了维护基本的备份安全性外,HIPAA还要求备份策略和程序的文档.根据任何预先记录的书面过程创建和维护备份是很重要的。如果一个组织曾经接受过HIPAA符合性审核,那么审核员将进行检查,以确保备份政策和程序已经被彻底地记录下来。他们还将检查以确保备份是按照文档创建的。如果组织创建或维护备份的方式发生了变化,还需要更新这些过程的文档。
不要忘记测试
在制定备份策略和过程时,一定要解决备份测试问题。有两个原因。
首先,HIPAA规定备份是完全可恢复的。如果一个组织在收到数据请求后30天内不能完全恢复备份,它可能会招致数百万美元的罚款。各组织可以额外收到30天,但它们必须向数据请求者提供一份书面声明,说明为什么数据不能在最初30天内恢复。仅这一点就足以使备份测试成为优先级。
第二,HIPAA要求被覆盖的实体做到测试他们的备份.事实上,组织需要记录其测试程序,其中包括执行测试的频率,以及在备份测试发现问题时修改组织应急计划的程序。
最后,检查HIPAA的备份需求非常重要。这些要求在部分164HIPAA条例的规定。
