AWS Audit Manager 不再開放給新客戶。現有客戶可以繼續正常使用該服務。如需詳細資訊，請參閱[AWS Audit Manager 可用性變更](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# HIPAA 安全規則：2003 年 2 月
<a name="HIPAA"></a>





AWS Audit Manager 提供預先建置的標準架構，可支援健康保險流通與責任法案 (HIPAA) 安全規則：2003 年 2 月。

**注意**  
如需有關 HIPAA Final Omnibus 安全規則 2013 以及支援此標準的 Audit Manager 架構的資訊，請參閱 [HIPAA Omnibus 最終規則](HIPAA-omnibus-rule.md)。

**Topics**
+ [什麼是 HIPAA 和 HIPAA 安全規則 2003？](#what-is-HIPAA)
+ [使用此架構](#framework-HIPAA)
+ [後續步驟](#next-steps-HIPAA)
+ [其他資源](#resources-HIPAA)

## 什麼是 HIPAA 和 HIPAA 安全規則 2003？
<a name="what-is-HIPAA"></a>

HIPAA 是可協助美國工作者在變更或失去工作時保留健康保險涵蓋範圍的法規。該法案亦旨在推廣電子健康紀錄，透過改善資料互通，改善美國醫療系統的效率和品質。

隨著電子醫療紀錄的使用日益增加，HIPAA 還納入受保護醫療資訊 (PHI) 之安全性和隱私權保障的條款。PHI 包括一系列非常廣泛的個人身份健康和健康相關資料。這包括保險和帳單資訊、診斷資料、臨床照護資料，以及實驗室結果，例如影像和測試結果。

美國健康與公共服務部於 2003 年 2 月發布了最終版的[安全規則](https://www.hhs.gov/hipaa/for-professionals/security/index.html)。為了讓受保護的電子健康資訊之機密性、完整性和可用性得到保障，因此設立此國家標準之規則。

HIPAA 規則適用於涵蓋的實體。這些包括醫院、醫療服務提供者、雇主贊助的健康計劃、研究設施以及直接處理患者和患者資料的保險公司。保護 PHI 的 HIPAA 要求也延伸到商業夥伴。

有關 HIPAA 和 HITECH 如何保護健康資訊的更多相關內容，請參閱美國衛生和公共服務部的[健康資訊隱私](https://www.hhs.gov/hipaa/for-professionals/index.html)網頁。

越來越多的醫療保健供應商、付款人和 IT 專業人員正在使用 AWS 以公用程式為基礎的雲端服務來處理、存放和傳輸受保護的健康資訊 (PHI)。 AWS 可讓受 HIPAA 約束的涵蓋實體及其商業夥伴使用安全 AWS 環境來處理、維護和存放受保護的健康資訊。

如需如何使用 AWS 處理和儲存健康資訊的說明，請參閱 [Amazon Web Services 上的 HIPAA 安全與合規架構](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf)白皮書。

## 使用此架構
<a name="framework-HIPAA"></a>

您可以使用 *HIPAA 安全規則 2003 *來協助您準備稽核。此架構包含預先打造的控制集合，其中包含說明和測試程序。這些控制項會根據 HIPAA 要求分組成控制集。您也可以根據特定需求自訂架構和控制項，以支援內部稽核。

使用架構作為起點，您可以建立 Audit Manager 評估，並開始收集與您的稽核相關的證據。建立評估之後，Audit Manager 會開始評估您的 AWS 資源。其根據 HIPAA 架構中定義的控制項來執行此動作。需要進行稽核時，您或您選擇的委派代表可以檢閱 Audit Manager 所收集的證據。您也可以瀏覽這些評估中的證據資料夾，並選擇要包含在評估報告中的證據。或者，如果您啟用了證據搜尋工具，您就可以搜尋特定證據並以 CSV 格式匯出，或者從搜尋結果建立評估報告。不論何種方式，您都可以使用此評估報告來顯示您的控制項正在按預期運作。

架構的詳細資訊如下：


| 中的架構名稱 AWS Audit Manager | 自動化控制項數量 | 手動控制項數量 | 控制集數 | 
| --- | --- | --- | --- | 
| 健康保險流通與責任法案 (HIPAA) 安全規則：2003 年 2 月 | 24 | 61 | 5 | 

**重要**  
為了確保此架構從中收集預期證據 AWS Security Hub CSPM，請務必在 Security Hub CSPM 中啟用所有標準。  
為了確保此架構從中收集預期證據 AWS Config，請務必啟用必要的 AWS Config 規則。若要檢閱在此標準架構中用作資料來源映射的 AWS Config 規則，請下載 [AuditManager\_ConfigDataSourceMappings\_HIPAA-Security-Rule-Feb-2003.zip](samples/AuditManager_ConfigDataSourceMappings_HIPAA-Security-Rule-Feb-2003.zip) 檔案。

此 AWS Audit Manager 架構中的控制項無意驗證您的系統是否符合 HIPAA 標準。此外，他們無法保證您會通過 HIPAA 稽核。 AWS Audit Manager 不會自動檢查需要手動證據收集的程序控制。

## 後續步驟
<a name="next-steps-HIPAA"></a>

如需如何檢視此架構詳細資訊的說明，包括其包含的標準控制項清單，請參閱 [在 中檢閱架構 AWS Audit Manager](review-frameworks.md)。

如需使用此架構建立評估方式的說明，請參閱 [在 中建立評估 AWS Audit Manager](create-assessments.md)。

如需如何自訂此架構以支援特定需求的指示，請參閱 [在 中製作現有架構的可編輯複本 AWS Audit Manager](create-custom-frameworks-from-existing.md)。

## 其他資源
<a name="resources-HIPAA"></a>
+ 來自美國衛生與公共服務部的[健康資訊隱私權](https://www.hhs.gov/hipaa/for-professionals/index.html)
+ 美國衛生與公共服務部的[安全規則](https://www.hhs.gov/hipaa/for-professionals/security/index.html)
+ [Amazon Web Services 上的 HIPAA 安全與合規架構](https://d1.awsstatic.com/whitepapers/compliance/AWS_HIPAA_Compliance_Whitepaper.pdf)
+ [AWS HIPAA 的合規頁面](https://aws.amazon.com/compliance/hipaa-compliance/)