构建符合HIPAA的网络安全计划：使用NIST 800-30和CSF保护电子受保护健康信息

"《构建符合HIPAA的网络安全计划》是一本指导书，旨在帮助医疗保健组织遵循HIPAA安全规则，通过使用NIST 800-30和CSF来保护电子受保护健康信息(ePHI)的安全。书中详细介绍了如何进行全面的风险分析和评估，这是HIPAA安全规则的关键组成部分，也是美国卫生与公众服务部OCR在调查和合规审计时的重点关注领域。" HIPAA（Health Insurance Portability and Accountability Act）是美国一项关于医疗信息安全的法规，要求所有处理电子受保护健康信息的实体进行风险评估，确保患者数据的机密性、完整性和可用性。本书作者Eric C. Thompson通过清晰的步骤和实用的指南，帮助读者理解并记录所有患者数据存在的位置，了解监管机构对风险分析过程的期望，评估和分析每个风险对ePHI的严重程度，并将该过程与业务目标相结合。 书中分为四个部分： 1. 第一部分阐述了为什么需要进行风险评估和分析，包括认识到数据泄露的不可避免性和满足监管机构的期望。 2. 第二部分详细介绍如何进行风险评估，如识别ePHI库存，分析威胁源和系统弱点，以及评估风险的真实程度。 3. 第三部分讨论如何将评估结果应用于日常需求，如更新风险登记册和制定网络安全路线图。 4. 第四部分聚焦持续改进，涵盖了投资风险减少、第三方风险管理、社交媒体、BYOD（自带设备）、物联网和数据可移植性的挑战，以及风险管理和定制化风险分析。 此外，书中的附录提供了NIST CSF（网络安全框架）的内部控制和与HIPAA的对照表，以及风险分析模板，为实际操作提供了工具支持。本书适合网络安全、隐私和合规专业人员阅读，他们在医疗机构、支付者或业务伙伴中负责创建、维护、存储和保护患者信息的工作。 通过学习这本书，读者将能够使用NIST 800-30执行符合监管期望的风险分析，理解这不仅是合规练习，更是掌握保护ePHI主动权的方式，利用风险分析过程提升网络安全计划，并了解整合技术评估在定义风险管理活动中的价值。