情報セキュリティ関係の標準で見るものを並べ、HIPAAに関してexploreしていこうと思う。CISSPの勉強のリファレンスとして。
27002 Code of practice for infromation security management (ISMS)
27003 Guidance for ISMS implimentation
27005 Guidance for infosec Risk Management
27031 Guideline for info&communication tech readiness for business continuity
42010 Recommended practice design/concept of software architecture
NISTではSP800-36, 800-66をよくみる。800-66はHIPAA
HIPAAはヘルスケア系のレギュレーション。EPHI (Electronic Protected Health Information) と呼称される、個人の健康情報を扱う関係者 Covered Entity に適用される規制。政府系にはFISMAがあり、それの医療機関バージョンという理解でまずは良さそう。
NIST SP800-66:
http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-66r1.pdf
HIPAAのSecurity Rule実装のガイドとしては、どこに守るべきデータが存在するかを明らかにし、ポリシーの策定、役割のアサイン、脅威とリスクの決定、機密にするための取り組み(暗号化など)、アクセス管理、継続的な監査、事故発生時の対応方針と対応の実装、一連のドキュメント化など。HIPAAだからというトリッキーな部分は見当たらないようだ。