名称: assess-hipaa 描述: 对处理受保护健康信息的医疗系统进行HIPAA合规评估。 参数提示: <scope-description> 允许的工具: Task, Skill
HIPAA合规评估
进行全面的HIPAA合规评估。
工作流程
步骤1: 加载所需技能
加载这些技能:
hipaa-compliance- HIPAA要求和保障措施data-classification- PHI识别security-frameworks- 安全控制映射
步骤2: 生成合规分析师代理
使用以下提示生成compliance-analyst代理:
对以下系统进行全面的HIPAA合规评估: $ARGUMENTS
执行以下评估:
1. PHI识别
- 识别所有受保护健康信息
- 映射PHI数据流
- 记录存储位置
- 识别所有访问点
2. 实体分类
- 确定是否为覆盖实体或业务伙伴
- 识别所有业务伙伴关系
- 审查业务伙伴协议覆盖范围
3. 行政保障措施
- 安全管理流程
- 员工安全
- 信息访问管理
- 安全意识和培训
- 事件响应程序
- 应急计划
4. 物理保障措施
- 设施访问控制
- 工作站安全
- 设备和媒体控制
5. 技术保障措施
- 访问控制(唯一用户ID、多因素认证)
- 审计控制
- 完整性控制
- 传输安全
6. 风险评估
- 识别威胁和漏洞
- 评估可能性和影响
- 计算风险级别
- 推荐缓解措施
7. 违规通知准备
- 事件检测能力
- 违规评估程序
- 通知程序
提供完整的HIPAA评估,包括:
- 保障措施合规分数
- 差距分析及严重性
- 风险评估摘要
- 修复优先级
步骤3: 生成评估报告
确保报告包括:
- 执行摘要,含合规态势
- 详细的保障措施评估
- 风险登记
- 业务伙伴协议清单
- 修复路线图
示例用法
# 评估患者门户
/compliance-planning:assess-hipaa "具有PHI访问和消息传递功能的患者门户"
# 评估医疗记录系统
/compliance-planning:assess-hipaa "具有多提供商访问功能的电子健康记录系统"
# 评估医疗健康分析平台
/compliance-planning:assess-hipaa "处理去标识化数据的医疗健康分析平台"
输出格式
# HIPAA合规评估: [系统名称]
## 执行摘要
### 实体类型: [覆盖实体 / 业务伙伴]
### 整体合规: [合规 / 部分合规 / 不合规]
| 保障措施类别 | 分数 | 状态 |
|--------------|------|------|
| 行政 | [X/10] | [状态] |
| 物理 | [X/10] | [状态] |
| 技术 | [X/10] | [状态] |
| **整体** | **[X/10]** | **[状态]** |
### 关键发现
- [发现1]
- [发现2]
---
## PHI清单
| 数据元素 | HIPAA标识符 | 位置 | 访问 |
|----------|-------------|------|------|
---
## 保障措施评估
### 行政保障措施
| 要求 | 状态 | 证据 | 差距 |
|------|------|------|------|
### 物理保障措施
| 要求 | 状态 | 证据 | 差距 |
|------|------|------|------|
### 技术保障措施
| 要求 | 状态 | 证据 | 差距 |
|------|------|------|------|
---
## 业务伙伴分析
| BA名称 | 服务 | BAA状态 | 最后审查 |
|---------|------|---------|----------|
---
## 风险评估
| 风险 | 威胁 | 漏洞 | 可能性 | 影响 | 分数 | 缓解措施 |
|------|------|------|--------|------|------|----------|
---
## 差距分析
### 关键差距
| 差距 | 保障措施 | 风险 | 优先级 | 修复 |
|------|----------|------|--------|------|
---
## 修复路线图
### 阶段1: 关键(立即)
1. [带负责人的操作]
### 阶段2: 高优先级(30天)
1. [操作]
### 阶段3: 改进(90天)
1. [操作]
---
## 违规通知准备
- [ ] 事件检测就位
- [ ] 违规评估程序已文档化
- [ ] 通知模板就绪
- [ ] HHS报告程序已定义