1. 目的

呢個政策嘅目的係為咗喺 CalAIM 增強關懷管理（ ECM ）同社區支援（ CS ）計劃入面建立全面嘅指引，保護會員資料嘅機密性同安全性。呢個政策確保遵守所有適用嘅聯邦同州法律，包括醫療保險可移植性同問責法（ HIPAA ）同埋加州醫療資訊保密法（ CMIA ）。我哋遵守呢啲指引，旨在保護我哋會員嘅私隱權，同埋維持最高嘅道德行為標準。.

2. 範圍

呢個政策適用於所有可以喺 CalAIM ECM 同 CS 計劃入面存取機密會員資料嘅個人。呢個包括員工、承包商、義工同埋任何關聯人員。呢個範圍內嘅每個人都有責任理解同遵守本文件所概述嘅程序，以保護會員資料嘅機密性。.

3. 定義

就呢個政策而言，「機密會員資料」係指任何可以識別會員身分嘅個人、醫療或財務資料。呢個包括 HIPAA 定義嘅受保護健康資料（ PHI ），包括任何可以同個人連結嘅健康狀況、提供醫療保健或者醫療保健付款嘅資料。 「授權人員」係指因為有效執行工作職責係必要而獲得存取機密資料嘅個人。.

4. 政策聲明

我哋致力保護所有機密會員資料，免受未經授權嘅存取、使用、披露、修改或破壞。呢啲資料嘅存取受到嚴格控制，而且只會授予授權人員，如果佢哋要求呢啲資料執行佢哋指派嘅職責。禁止未經授權披露機密資料，可能會導致紀律處分，最高包括終止僱傭關係。所有人員都應該按照呢個政策行事，同埋維持最高嘅保密標準。.

5. 程序

5.1存取控制

我哋會仔細管理機密會員資料嘅存取權，確保只有授權人員先可以存取。我哋堅持最低特權原則，畀員工執行工作職能所需嘅最低權限。存取包含機密資料嘅電子系統需要安全嘅登入憑證，而呢啲憑證唔可以同其他人分享或者披露。定期進行審計，以檢討同調整存取權，確保隨住角色同責任嘅變化，存取權仍然適當。.

5.2物理安全

包含機密資料嘅實物文件會儲存喺安全嘅地方，例如上鎖嘅櫃或者有受控存取嘅房間。工作站必須喺無人照顧嘅時候鎖定，以確保工作站嘅安全，而電腦屏幕嘅位置應該防止訪客或者其他冇存取權嘅員工未經授權觀看。儲存機密資料嘅區域只限授權人員進入，而訪客必須隨時陪同。.

5.3電子安全

所有電子機密資料都會喺儲存同傳輸過程中透過加密保護。我哋嘅電子系統係透過安全、受密碼保護嘅網絡存取，網絡有防火牆同防病毒保護。員工需要使用強大嘅密碼同埋定期更改密碼。定期備份電子資料，並安全儲存，以防止因系統故障或緊急情況而遺失資料。安全更新同補丁會及時套用到所有系統，以防止漏洞。.

5.4數據傳輸

傳送機密資料嗰陣，只會用安全渠道，例如加密電郵或者安全檔案轉移協定（ SFTP ）。喺傳送任何機密資料之前，人員必須驗證收件人嘅身分，以確保呢啲資料只會同授權嘅個人分享。喺任何情況下都唔應該透過唔安全嘅渠道或者向未經授權嘅方傳送機密資料。.

5.5數據處理

正確處理機密資料係維持安全嘅必要條件。電子數據必須用防止恢復嘅安全刪除方法永久擦除，例如數據擦除軟件或者物理破壞儲存媒體。包含機密資料嘅實物文件必須透過碎碎或焚化方式銷毀，以確保資料唔可以重建或擷取。應該適當噉保留數據處置嘅記錄。.

5.6培訓同認識

所有新人員都需要參加入職培訓，培訓內容包括保密政策、程序同法律義務。呢個培訓確保員工明白保密嘅重要性，同埋佢哋必須採取嘅具體步驟去保護會員資料。持續嘅教育係透過每年嘅復習課程同埋政策或法規嘅任何變動嘅最新消息提供。鼓勵員工緊貼資訊安全嘅最佳做法。所有人員都要簽署保密協議，承認佢哋對處理機密資料嘅責任。.

5.7事件報告同應變

如果有疑似或實際嘅保密行為，人員必須立即向合規官員或指定機關報告事件。我哋會進行及時同徹底嘅調查，以評估違規行為，確定佢嘅影響，同埋實施措施去減輕任何風險。呢個可能包括阻止違規、恢復遺失嘅數據同埋防止日後發生嘅步驟。受影響嘅會員同相關機構會根據法律要求，按照既定嘅違規通知協議，收到通知。事件嘅記錄同應變行動會被保留。.

5.8會員權利

會員對佢哋嘅個人資料有特定嘅權利。佢哋有權根據要求存取佢哋嘅個人資料，同埋及時收到佢哋嘅記錄副本。如果發現唔準確嘅資料，會員可以要求更正佢哋嘅資料，而我哋有義務作出適當嘅修訂。我哋會為會員提供私隱聲明，講解佢哋嘅資料點樣使用同保護，確保透明度同埋遵守法律要求。會員亦有權要求限制佢哋嘅資料嘅某啲用途同披露，我哋會喺可能嘅情況下適應呢啲要求。.

6. 合規同執行

為咗確保遵守呢個政策，我哋會定期進行合規審計。呢啲審計會檢視存取記錄、培訓記錄同安全措施，嚟識別任何唔合規或者潛在改善嘅地方。違反呢個政策嘅行為會被認真處理，並可能會導致紀律處分，最高包括終止僱傭關係。所有人員都應該遵守所有相關嘅法律同法規，如果唔遵守，亦可能會導致法律後果。管理層有責任執行呢個政策，同埋喺發生違規行為嗰陣採取矯正行動。.

7. 責任

所有人員都有責任保密會員資料，同埋向相關機關報告任何違規或可疑活動。員工應該保持警惕同主動保護機密資料，遵守本政策所概述嘅所有程序同最佳做法。管理層有責任確保團隊成員明白同遵守保密政策，並根據需要提供支援同資源。合規官員會監督呢個政策嘅實施，包括制定培訓計劃、進行審計同埋管理事件應變程序。.

8. 參考文獻

呢個政策係受幾項重要嘅法律同法規指引，包括：

• 個 醫療保險可移植性同問責法（ HIPAA ）, ，呢個係為保護健康資訊制定國家標準。.
• 個 加州醫療資訊保密法（ CMIA ）, ，為加州州嘅醫療資料提供額外保護。.
• 個 CalAIM ECM 同 CS 計劃指南, ，概述咗計劃內管理同保護會員資料嘅具體要求。.

9. 審查同修訂

由於監管變動、組織調整或者發現嘅缺陷，呢個政策會每年或者根據需要進行審查。審查過程會包括評估現行程序嘅成效、考慮人員嘅反饋，同埋緊貼法律同技術嘅變動。任何更新或修訂都會及時通知所有人員，以確保持續遵守同認識。鼓勵員工提供有關改善政策同埋佢嘅實施方法嘅意見。.

1. 目的

呢個政策嘅目的係建立一個全面嘅流程，嚟監督 CalAIM 增強關懷管理同社區支援（ ECM 同 CS ）計劃內私隱政策嘅應用。呢個政策確保組織仍然完全遵守所有適用嘅聯邦同州法律，包括醫療保險可移植性同問責法（ HIPAA ）同埋加州州私隱法規。我哋透過實行結構化嘅方法，旨在保護受保護嘅健康資訊（ PHI ）同個人識別資訊（ PII ）嘅私隱同安全，從而維持我哋嘅受益人同利益相關者嘅信任。.

2. 範圍

呢個政策適用於所有參與 CalAIM ECM & CS 計劃，並且可以存取 PHI 或 PII 嘅員工、承包商、義工同第三方合作夥伴。呢個範圍內嘅每個人都要明白自己嘅責任，同埋遵守呢個政策所概述嘅程序，以確保敏感資料嘅機密性、完整性同可用性。.

3. 定義

• 受保護嘅健康資訊（ PHI ）： 任何同個人嘅健康狀況、提供醫療服務或者醫療費用有關嘅資料，而呢啲資料可以同特定人連結。包括醫療記錄、帳單資料同埋任何其他識別個人身份同埋同佢哋嘅健康有關嘅資料。.
• 個人識別資料（ PII ）： 可以用嚟識別、聯絡或者搵單一人，或者喺上下文入面識別個人嘅資料。呢個可能包括姓名、地址、社會保險號碼同埋其他個人資料。.
• CalAIM ECM 同 CS 計劃： 加州推進同創新 Medi-Cal 增強護理管理同社區支援計劃，旨在為 Medi-Cal 受益人，特別係有複雜需要嘅受益人提供全面嘅護理管理服務。.

4. 角色同責任

私隱官員： 私隱官員負責監督遵守 ECM 同 CS 計劃內所有私隱法律同法規。呢個包括定期進行審計同評估，確保私隱政策得到有效實施。私隱官員會管理任何私隱事件或者侵犯，協調調查，同埋根據需要採取矯正行動。佢哋係所有同私隱有關嘅事務嘅主要聯絡點，並為員工同承包商提供最佳做法嘅指引。.

計劃經理： 計劃經理嘅任務係喺 ECM & CS 計劃入面實施私隱政策。佢哋確保職員接受適當嘅培訓同資源，以理解同遵守私隱要求。計劃經理會同私隱度合作

官員處理任何違規問題，並喺整個計劃中推廣私隱意識文化。.

所有員工同承包商： 每個可以喺 ECM & CS 計劃入面存取 PHI 或 PII 嘅個人都需要嚴格遵守所有私隱政策同程序。職員同承包商必須及時向私隱官員或指定機構報告任何疑似違規或違規嘅情況。佢哋負責保護敏感資料，同埋遵守既定嘅使用、披露同處置協議。.

5. 政策詳情

5.1私隱政策嘅應用

存取控制： 只限需要呢啲資料嚟執行工作職責嘅授權人員先可以存取 PHI 同 PII 。呢個組織實行基於角色嘅存取控制，確保個人有最低必要嘅存取權去履行佢哋嘅責任。嚴禁未經授權存取、使用或披露敏感資料，並會受到紀律處分。.

數據處理： PHI 同 PII 只可以用喺授權嘅目的同埋披露，例如 HIPAA 所定義嘅治療、付款同埋醫療保健運作。敏感資訊必須安全儲存，無論係以實體形式定係電子形式，並且使用核准嘅方法傳送，包括加密同安全通訊渠道。職員必須確保 PHI 同 PII 唔會畀未經授權嘅個人無人看管或者接觸，無論係職場內外。.

保密協議： 所有員工同承包商都要簽署保密協議，作為僱用或聘用嘅條件。呢啲協議概述咗個人保護 PHI 同 PII 嘅義務，同埋指明違反呢啲義務嘅後果。保密協議會喺檔案入面保存，並且可以喺個人同組織嘅合作期間執行。.

5.2監督過程

培訓同教育： 呢個組織要求所有新員工喺獲得 PHI 或 PII 存取權之前，都會接受全面嘅私隱培訓。呢個培訓包括相關嘅法律同法規、組織政策同埋保護敏感資料嘅最佳做法。另外，每年都會為所有職員提供復習課程，以加強佢哋嘅理解，同埋通知佢哋私隱政策嘅任何更新或變更。.

監控同審計： 私隱官員會定期進行審計，以評估遵守私隱政策嘅情況，同埋確定潛在嘅風險領域。呢啲審計可能包括檢查存取記錄、監控資料傳輸，同埋評估安全措施嘅成效。呢個組織會利用監控工具嚟偵測未經授權嘅存取或者可能表明違規或者違規嘅異常活動。.

風險評估： 定期進行風險評估，以確定處理 PHI 同 PII 嘅漏洞。呢啲評估會評估各種威脅嘅可能性同潛在影響，例如未經授權嘅存取、數據洩露或者數據完整性嘅損失。根據研究結果，組織會實施緩解策略，例如加強安全控制、更新政策或者提供額外嘅員工培訓。.

政策評論： 私隱權政策至少每年都會審查一次，以確保佢哋符合現行法律、法規同埋行業最佳做法。法例、技術或者組織流程嘅變動可能需要更新政策。任何修訂都會由高級管理層核准，並及時向所有相關方傳達，並根據需要提供額外培訓。.

5.3報告同事件管理

事件報告： 職員同承包商喺發現任何疑似或確認違反 PHI 或 PII 嘅情況之後，都需要立即報告。應該用組織嘅標準化事件報告程序向私隱官員報告。及時報告令到組織可以迅速採取行動去遏制同減輕事件嘅影響。.

事件回應： 當收到有關潛在違規嘅報告之後，私隱官員就會開始調查，嚟確定事件嘅性質同範圍。呢個組織遵循一個明確嘅事件應變計劃，包括遏制、消除威脅、恢復系統同埋同受影響方溝通嘅步驟。向個人同監管機構發出嘅通知係根據法律要求發出，而所有所採取嘅行動都係徹底記錄低嘅。.

5.4溝通同認識

政策傳播： 呢個組織確保所有員工同承包商都可以輕鬆存取私隱政策同相關文件。政策可以透過組織嘅內部網絡、員工手冊同埋喺迎新會議期間獲得。定期嘅通訊，例如通訊或者團隊會議，係用嚟強調私隱嘅重要性，同埋突顯任何更新或者提醒。.

反饋機制： 建立開放嘅溝通渠道，等員工可以提供有關私隱權做法嘅意見或建議。呢個可能包括匿名調查、建議箱，或者同私隱官員或者管理層直接溝通。呢個組織重視員工嘅意見，並且會利用反饋嚟加強私隱政策同程序。.

6. 服從

執行： 呢個組織會透過既定嘅紀律程序執行私隱政策嘅遵守。如果唔遵守規定，可能會導致紀律處分，最高可包括終止僱傭關係。對於承包商同合作夥伴嚟講，違反私隱政策可能會導致合約終止同埋潛在嘅法律行動。呢個組織致力要求所有個人對佢哋嘅行為負責，以維持合規同誠信嘅文化。.

法律義務： 呢個組織有義務遵守所有適用嘅聯邦同州私隱法，包括 HIPAA 同埋加州消費者私隱法（ CCPA ）。遵守呢啲法律唔單止係法律要求，亦都係維持我哋受益人同利益相關者嘅信任嘅必要條件。呢個組織會喺合規審查或者調查期間同監管機構充分合作，並根據需要採取矯正行動，以解決任何發現。.

7. 檢討同更新政策

呢個政策會每年或者因為法律、法規或者組織要求嘅變動而根據需要審查。審查過程包括評估現行政策嘅成效，考慮職員同利益相關者嘅反饋，同埋納入任何新嘅法律或技術發展。政策嘅更新會由高級管理層核准，並及時向所有員工同承包商傳達。我哋提供培訓同資源，確保每個人都明白同埋可以有效噉實行呢啲變動。.

8. 參考文獻

呢個政策係受以下法律、法規同指引所提供，並且符合以下嘅規定：

• 醫療保險可移植性同問責法（ HIPAA ）： 提供保護醫療資料嘅資料私隱同安全條文嘅聯邦法例。.
• 加州消費者私隱法（ CCPA ）： 增強加州居民私隱權同消費者保護嘅州法律。.
• CalAIM ECM 同 CS 計劃指南： 州為實施同運作增強關懷管理同社區支援計劃提供嘅指引。.
• 組織嘅私隱同安全政策： 內部政策，用嚟管理敏感資料嘅處理，同埋概述組織對私隱同安全嘅承諾。.

1. 目的

呢個政策嘅主要目標係喺 CalAIM 增強關懷管理同社區支援（ ECM 同 CS ）計劃入面，界定所有職員喺保護受保護嘅健康資訊（ PHI ）方面嘅責任。透過遵守呢個政策，我哋嘅目標係確保完全遵守所有相關嘅聯邦同州法律，包括醫療保險可移植性同問責法（ HIPAA ）同埋加州醫療資訊保密法（ CMIA ）。保護 PHI 唔單止係法律要求，亦都係維持我哋服務嘅個人信任同信心嘅根本方面。.

2. 範圍

呢個政策全面適用於所有員工、承包商、義工同埋任何其他可以喺 CalAIM ECM 同 CS 計劃入面存取 PHI 嘅個人。無論你喺組織入面嘅角色或者級別係點，如果你處理 PHI ，你都有義務遵守呢個政策所概述嘅指引同程序。.

3. 定義

受保護嘅健康資訊（ PHI ）： PHI 係指任何以任何形式或媒介傳送或維護嘅個人識別健康資料。呢個包括電子記錄、紙本文件同埋包含個人健康資料嘅口頭通訊。.

員工： 就呢個政策而言，「職員」包括所有喺 CalAIM ECM 同 CS 計劃入面工作嘅個人。呢個包括全職同兼職員工、獨立承包商、實習生同埋可能會接觸到 PHI 嘅義工。.

CalAIM ECM 同 CS 計劃： 加州進步同創新 Medi-Cal 嘅增強關懷管理同社區支援計劃係為咗為有複雜健康需要嘅 Medi-Cal 受益人提供全面嘅關懷管理服務。呢個計劃嘅重點係提供以人為本嘅護理，同時處理健康嘅醫療同社會決定因素。.

4. 政策聲明

所有職員都有個人同專業責任，保護 PHI 嘅機密性、完整性同可用性。即係話，積極防止所有形式嘅未經授權存取、使用或者披露 PHI 。遵守呢個政策係必須嘅，而職員必須熟悉所有相關程序，以確保 PHI 隨時得到適當處理。.

5. 職員責任

5.1存取控制

職員需要嚴格按照需要知道嘅方式存取 PHI ，直接對應佢哋嘅工作職責。禁止存取超出你角色所需嘅 PHI 。每個職員都要使用獨特嘅用戶識別憑證同強大嘅密碼先可以存取包含 PHI 嘅電子系統。嚴禁同其他人分享登入憑證。當含有 PHI 嘅裝置無人看管嗰陣，職員必須確保佢哋已經鎖定或者登出，以防止未經授權嘅人存取。.

5.2保密同私隱

保持 PHI 嘅機密係至關重要。職員只應該向喺佢哋嘅職責過程中有合法需要呢啲資料嘅授權個人披露 PHI 。喺以電子方式傳送 PHI 嗰陣，職員必須使用核准嘅安全通訊方法，例如加密電郵或者安全入口。涉及 PHI 嘅口頭討論應該喺私人場合進行，以防止無意中披露。避免喺公共場所或者任何可能畀未經授權嘅人聽到對話嘅地方討論 PHI 。.

5.3 PHI 嘅使用同披露

職員只可以用 PHI 喺法律允許嘅目的，例如治療、付款同埋醫療保健運作。任何喺呢啲允許目的之外使用或披露 PHI 都需要個人明確嘅書面授權。職員喺進行呢類披露之前必須獲得呢個授權。另外，職員有責任根據法律要求保留任何披露 PHI 嘅準確記錄，確保 PHI 嘅處理方式透明同問責。.

5.4物理同電子保障

保護 PHI 需要實體同電子安全措施。包含 PHI 嘅實體記錄必須儲存喺上鎖嘅櫃或者有受控存取嘅房間，以防止未經授權嘅人進入。電子 PHI 應該儲存喺有適當安全協議嘅安全伺服器上面，包括適用嘅情況下嘅加密。職員必須確保所有用嚟存取 PHI 嘅裝置，例如電腦同流動裝置，都有最新嘅安全措施，包括防病毒軟件同防火牆。.

5.5數據處理

喺唔再需要資料之後，正確處理 PHI 對於防止未經授權嘅存取係至關重要。含有 PHI 嘅紙質記錄必須喺處理之前碎碎或者焚化。對於電子數據，職員必須用核准嘅方法喺裝置上面永久刪除 PHI ，然後先可以將佢哋處理或者重新用途。單純刪除檔案係唔夠嘅；數據一定要變得唔可以擷取。.

5.6報告同事件應變

如果有疑似或實際違反 PHI 嘅情況，職員需要立即向合規官員或指定機構報告事件。及時報告令到組織可以迅速採取行動嚟減輕任何潛在嘅傷害。職員必須全力配合任何同潛在違規或違規有關嘅調查，並根據要求提供準確同完整嘅資料。.

5.7培訓同合規

所有職員都需要每年完成有關 PHI 保護同 HIPAA 合規嘅強制培訓。呢個培訓係為咗令員工知道最佳做法、法律要求，同埋政策同程序嘅任何更新。員工亦都需要緊貼法律同法規嘅變動，因為呢啲變動可能會影響組織內部嘅 PHI 處理方式。.

5.8對唔合規嘅制裁

如果唔遵守呢個政策，可能會有嚴重後果。違反呢個政策嘅員工可能會面臨紀律處分，包括口頭或書面警告、停職或者終止僱傭，視乎違規嘅嚴重程度而定。另外，未經授權披露 PHI 可能會導致法律罰則，包括罰款同刑事指控。員工要明白呢啲責任嘅嚴重性同埋唔遵守嘅潛在後果係至關重要。.

6. 程序

6.1事件應變計劃

如果發生 PHI 違規，職員必須遵守組織嘅事件應變計劃。呢個包括立即報告，如果可能嘅話，阻止違規行為，同埋記錄所有相關詳情。事件應變計劃概述咗要採取嘅具體步驟去解決違規行為，包括根據法律要求向受影響嘅個人同監管機構通知。.

6.2審計同監控

呢個組織會定期進行審計，確保遵守 PHI 保護政策。職員可能需要參與呢啲審計，方法係提供記錄或者系統嘅存取權，同埋回答有關佢哋做法嘅問題。審計有助識別安全措施嘅潛在弱點，並提供改善機會。.

6.3個人裝置嘅使用

希望用個人裝置存取 PHI 嘅員工必須事先獲得組織嘅授權。授權嘅個人裝置必須符合組織嘅安全標準，包括安裝特定嘅安全軟件、啟用裝置加密，同埋同意遠端擦除功能，以免裝置遺失或者被盜。.

7. 合規同執行

為咗維持最高嘅 PHI 保護標準，呢個組織會定期進行合規檢查同評估。預計職員會全力配合呢啲努力。任何違反呢個政策嘅行為都會根據組織嘅紀律程序及時處理。執法行動唔單止係為咗糾正個人行為，亦都係為咗維護組織對 PHI 保護嘅承諾嘅完整性。.

8. 審查同修訂

呢個政策會每年進行徹底嘅審查，以確保隨住法律、法規同組織做法嘅變動，佢仍然保持最新狀態。鼓勵職員就呢個政策提供意見，並提出改善建議。政策嘅更新會通知所有員工，佢哋有責任熟悉任何變動。.

1. 目的

呢個政策嘅目的係建立全面嘅指引同程序，以處理同懲罰 CalAIM 增強關懷管理同社區支援（ ECM 同 CS ）計劃內疏忽使用或濫用受保護健康資訊（ PHI ）嘅問題。呢個政策旨在確保嚴格遵守所有適用嘅聯邦同州法律，包括醫療保險可移植性同問責法（ HIPAA ）同埋加州醫療資訊保密法（ CMIA ）。我哋透過清楚概述期望同後果，尋求保護 PHI 嘅機密性、完整性同安全性，從而維持我哋服務嘅個人嘅信任。.

2. 範圍

呢個政策適用於所有可以喺 CalAIM ECM 同 CS 計劃入面存取 PHI 嘅個人。呢個包括但唔限於員工、承包商、義工、實習生同埋商業夥伴。佢包括任何以任何身份同 PHI 互動嘅人，無論係透過直接嘅病人護理、行政職能定係支援服務。.

3. 定義

受保護嘅健康資訊（ PHI ）： 係指任何同個人過去、現在或未來嘅身體或精神健康狀況、提供醫療保健或者醫療保健服務嘅付款有關嘅資料，包括人口特性數據，可以用嚟識別個人。 PHI 可以以唔同形式存在，例如電子記錄、紙本文件或者口頭通訊。.

疏忽使用或濫用： 描述任何行動或無行動，證明喺處理 PHI 時未能運用適當程度嘅謹慎，導致未經授權嘅存取、披露、改變或破壞呢類資料。呢個包括有意同無意嘅行為，損害 PHI 嘅機密性同安全性。.

CalAIM ECM 同 CS 計劃： 代表加州推進同創新 Medi-Cal 增強護理管理同社區支援計劃。呢個係一個州嘅計劃，旨在為有複雜需要嘅 Medi-Cal 受益人提供全面嘅護理管理服務，重點係全人護理同改善健康結果。.

4. 政策聲明

所有同 CalAIM ECM & CS 計劃有關嘅人員都應該以最高嘅保密同專業態度處理 PHI 。嚴禁疏忽使用或濫用 PHI 。任何違反呢個政策嘅行為都會導致紀律處分，可能包括再培訓、停職、終止僱傭或合約關係，同埋潛在嘅法律後果。呢個組織致力於一貫同公平噉執行呢個政策，以保護個人嘅權利同私隱，同埋遵守法律同道德義務。.

5. 程序

5.1。存取同使用 PHI

人員有權嚴格根據需要知道嘅情況去存取 PHI ，以執行佢哋嘅特定工作職責。喺處理 PHI 嗰陣，個人必須使用安全嘅方法嚟傳輸同儲存，例如加密電郵、安全檔案轉移同埋鎖定嘅文件櫃嚟存放實體文件。喺披露 PHI 之前，職員必須驗證要求方嘅身分同權威，以確保佢哋有合法嘅存取權。所有用嚟存取 PHI 嘅電子裝置同系統都應該受到密碼保護，同埋遵守組織嘅網絡安全協定。.

5.2。報告違規行為

如果個人懷疑或者知道有任何涉及 PHI 嘅濫用、未經授權存取或者安全違規，佢哋有義務立即向合規官員或者指定機構報告。報告應該包括所有相關詳情，方便徹底調查。員工應該會全力配合任何內部或外部調查，提供真實同完整嘅資料，協助及時解決問題。.

5.3。培訓

所有人員都必須喺受聘嗰陣同之後每年完成有關 PHI 處理、私隱政策同安全協議嘅強制性培訓。培訓將會涵蓋認識 PHI 、理解私隱法、處理同處置 PHI 嘅正確方法，同埋報告違規行為嘅程序等主題。員工亦有責任緊貼相關法律、法規或組織政策嘅任何更新或變更，而呢啲變動可能會影響佢哋嘅職責。.

6. 罰則同紀律處分

疏忽使用或濫用 PHI 嘅罰則會根據違規嘅嚴重性、意圖同情況而決定。呢個組織保留喺決定適當嘅紀律行動嗰陣考慮個人嘅合規歷史嘅權利。.

6.1。輕微違規

輕微違規係指無意中嘅行為，可能唔會造成重大傷害，但係表明遵守適當程序嘅失誤。例子包括唔小心睇到同自己嘅工作職責無關嘅 PHI ，或者唔記得登出工作站，可能會將資料暴露畀未經授權嘅個人。.

• 第一次犯罪： 個人會收到口頭警告，並需要立即接受有關 PHI 政策同程序嘅再培訓。.
• 第二次犯罪： 我哋會發出書面警告，同埋個員工會被授權參加額外嘅培訓班，重點係私隱同安全做法。.
• 之後嘅罪行： 進一步違規可能會導致停職而冇薪或者終止僱傭關係，視乎情況同個人嘅整體表現記錄而定。.

6.2。中度違規

中度違規涉及可能將 PHI 暴露畀未經授權嘅人嘅行為，或者表現出對既定協議嘅無視。例子包括同未經授權嘅人員分享 PHI ，或者留低實體或者電子 PHI 唔安全。.

• 第一次犯罪： 個人會收到書面警告，並需要參加強制再培訓班。視乎嚴重程度，可能會考慮停課。.
• 第二次犯罪： 員工可能會面臨停職停薪，而我哋會重新評估佢哋嘅角色同存取特權，嚟確定係咪有必要作出調整，以防止日後發生事件。.
• 之後嘅罪行： 可能會終止僱傭或合約協議，同埋可能會向專業牌照委員會或監管機構報告個人，以便採取進一步行動。.

6.3。嚴重違規

嚴重違規係指故意行為或反覆疏忽，導致重大傷害或對個人私隱權構成重大風險。例子包括為咗個人利益而故意披露 PHI 、惡意意圖，或者喺收到事先警告之後未能糾正疏忽行為。.

• 即時行動： 個人將面臨立即終止僱傭或合約關係。所有組織系統同設施嘅使用權都會被及時撤銷。.
• 法律後果： 呢個組織會向適當嘅監管機構報告呢件事，例如衛生及公共服務部（ HHS ）嘅民權辦公室（ OCR ），亦可能會對個人提出民事或刑事指控。呢個組織亦都可以喺任何調查或者法律程序中同執法機構合作。.

7. 責任

7.1。員工同承包商

所有員工同承包商都有責任嚴格遵守 PHI 政策同程序。呢個包括積極保護 PHI 、適當使用佢，同埋防止未經授權嘅存取或披露。個人必須及時報告任何疑似或實際違規行為，並充分參與所有必要嘅培訓同教育活動，以保持遵守現行法律同組織標準。.

7.2。管理

經理同主管有責任一貫同公正噉執行呢個政策。佢哋應該確保佢哋嘅團隊明白 PHI 安全嘅重要性，並提供必要嘅資源同支援嚟合規。管理層必須監察佢哋嘅員工遵守政策，主動解決任何問題，同埋喺發生違規行為嗰陣採取適當嘅紀律行動。.

7.3。合規官員

合規官員會監督呢個政策嘅實施同執行。呢個角色包括定期進行審計、調查報告嘅違規行為、維護事件記錄同矯正行動，同埋根據需要更新政策。合規官員係職員嘅資源，幫佢哋解決有關 PHI 處理同合規事宜嘅問題或疑慮。.

8. 監控同審計

為咗確保持續遵守 PHI 處理程序，呢個組織會定期進行監控同審計活動。呢啲可能包括睇返存取記錄、評估安全措施，同埋評估遵守培訓要求。審計期間發現嘅任何差異或者唔合規嘅地方都會立即處理。矯正行動可能包括根據呢個政策進行額外嘅培訓、政策修訂或者紀律措施。.

9. 參考文獻

呢個政策係受以下法律同指引所決定，並符合以下法律同指引：

• 1996年嘅醫療保險可移植性同問責法（ HIPAA ）： 聯邦法律，制定保護個人醫療記錄同其他個人健康資料嘅國家標準。.
• 加州醫療資訊保密法（ CMIA ）： 喺加州，為醫療資料嘅機密性提供額外保護嘅州法律。.
• CalAIM ECM 同 CS 計劃指南： 州特定嘅指引，概述咗 CalAIM 下嘅增強關懷管理同社區支援計劃嘅要求同期望。.

10. 政策審查

由於相關法律、法規或者組織做法嘅變動，呢項政策會每年或者根據需要進行正式審查。審查過程將會包括評估政策嘅成效、納入利益相關者嘅反饋，同埋作出必要嘅更新，以確保繼續遵守同保護 PHI 。.

1. 目的

參與者資料嘅保密係 CalAIM 增強關懷管理同社區支援（ ECM 同 CS ）計劃嘅基本要素。呢個政策係為咗提供清晰嘅指引同程序，以便及時報告任何疑似或實際嘅保密違規行為。透過遵守呢個政策，我哋確保遵守法律要求、保護參與者資料，同埋維護我哋服務嘅個人同社區對我哋嘅信任。.

2. 範圍

呢個政策適用於所有參與 CalAIM ECM & CS 計劃嘅個人，包括處理機密參與者資料嘅員工、承包商、義工同合作夥伴。佢包括所有形式嘅受保護健康資料（ PHI ）同個人識別資料（ PII ），無論係以電子方式、紙本方式定係口頭方式儲存或傳輸。.

3. 定義

違反機密： 違反保密性係指任何未經授權嘅 PHI 或 PII 嘅獲取、存取、使用或披露，而呢啲資料會損害呢啲資料嘅安全性或私隱。呢個包括個人喺未經適當授權嘅情況下存取資料，或者用喺組織政策或者適用法律唔允許嘅目的嘅事件。.

受保護嘅健康資訊（ PHI ）： PHI 包括任何有關個人健康狀況、提供醫療服務或者醫療費用嘅資料，而呢啲資料可以同特定人士連結。呢個包括咗好多唔同嘅數據，例如醫療記錄、健康歷史、測試結果同保險資料。.

個人識別資料（ PII ）： PII 係指任何可以識別、聯絡或者定位單一人嘅數據，或者可以同其他來源一齊用嚟識別單一人嘅數據。例子包括姓名、地址、社會保險號碼同出生日期。.

4. 政策聲明

所有人員都有義務保持有關參與者資料嘅最高保密標準。如果有疑似或實際嘅保密行為，係必須喺發現嗰陣立即報告。及時報告對於及時啟動緩解工作、遵守法律義務同埋將對受影響個人嘅潛在傷害減至最低係至關重要。延遲報告可能會加劇違規嘅影響，並導致唔遵守監管要求。.

5. 報告違規嘅程序

發現後立即採取行動

當懷疑或確認有違規行為時，知道事件嘅個人必須立即採取步驟報告。第一個聯絡點應該係佢哋嘅直接主管。報告應該係口頭同盡快作出，以確保迅速採取行動。如果主管唔喺度，或者如果個人認為唔適當向佢哋報告，就應該直接聯絡指定嘅私隱官員或者合規部門。.

提供詳細資料

喺報告違規行為嗰陣，個人應該提供全面嘅詳情，方便有效嘅回應。呢個包括：

• 事件描述： 清楚同簡潔噉講下發生咩事，包括點樣同幾時發現違規行為。.
• 受到威脅嘅資訊類型： 識別涉及違規行為嘅特定類型嘅 PHI 或 PII 。.
• 受影響嘅個人： 有關呢個號碼嘅資料，同埋如果知道嘅話，資料被盜用嘅個人嘅身分。.
• 即時採取嘅行動： 應該描述任何已經採取咗嚟遏制或者緩解違規行為嘅步驟。.

完成事件報告

喺最初嘅口頭報告之後，個人必須填寫由合規處提供嘅官方事件報告表格。呢份文件應該記錄所有已知嘅違規詳情，並及時提交。準確嘅文件對於遵守法律同埋指導後續嘅調查同回應至關重要。.

喺報告期間保持機密

喺整個報告過程中，嚴格保密係必要嘅。違規嘅詳情唔應該向未經授權嘅個人披露。喺官方報導同調查渠道之外討論事件，可能會導致進一步嘅未經授權披露，亦可能損害調查嘅完整性。.

6. 調查過程

開始調查

私隱官員有責任喺報告違規後24小時內展開調查。調查嘅目的係確定違規嘅範圍、原因同潛在影響。佢亦會評估呢個違規係由系統性問題定係孤立事件引起。.

合作同支持

預計所有人員都會全力配合調查。包括按要求提供額外資料、參與訪問，同埋協助識別導致違規嘅因素。合作係徹底同有效嘅調查嘅必要條件。.

評估同文件化

調查將會評估違規嘅程度，包括受影響嘅個人人數同埋受到威脅嘅資料嘅敏感性。所有發現都會徹底記錄，而文件亦會安全維護，以保護機密同遵守法律要求。.

7. 緩解同通知

即時嘅遏制措施

當確認有違規行為之後，我哋會立即採取步驟去遏制事件，同埋防止進一步嘅未經授權存取或披露。呢個可能包括保護實體記錄、停用受威脅嘅使用者帳戶，或者其他適合違規性質嘅行動。.

法律合規同通知

呢個機構會遵守所有有關違規通知嘅法律義務。呢個包括：

• 通知受影響個人： 根據法律要求，如果個人資料被盜用，我哋會及時通知佢哋。通知會包括有關違規嘅資料、個人可以採取嘅步驟嚟保護自己，同埋組織做緊啲咩嚟解決呢個情況。.
• 向監管機構報告： 如果有需要，呢個組織會根據 HIPAA 嘅規定，向相關嘅監管機構報告呢個違規行為，例如衛生及公共服務部（ HHS ）。.
• 參與執法部門： 如果懷疑有犯罪活動，我哋會通知適當嘅執法機構。.

矯正行動

根據調查結果，呢個組織會實施矯正行動，以防止日後嘅違規行為。呢個可能包括修訂政策同程序、加強安全措施、為人員提供額外培訓，或者其他適當措施。.

8. 培訓同教育

強制性嘅培訓計劃

所有人員都需要參加每年有關保密同資料安全政策嘅培訓。呢個培訓會包括：

• 理解 PHI 同 PII ： 定義同例子，確保清楚咩係機密資料。.
• 法律要求： 保密嘅法律同法規概覽，例如 HIPAA 同埋州特定法律。.
• 識別同報告違規行為： 有關識別潛在違規行為同報告程序嘅指引。.
• 數據安全嘅最佳做法： 喺日常工作活動中保護機密資料嘅策略。.

持續教育

除咗每年嘅培訓之外，呢個組織會透過更新、通訊或者會議提供持續嘅教育，令人員知道政策嘅變動、新興嘅威脅或者新嘅監管要求。.

9. 非報復政策

保護善意報告

呢個組織致力培養一個環境，令到人員可以報告違規行為，而唔使擔心會受到報復。善意報告疑似或實際違規行為嘅個人受到呢項政策嘅保護。嚴禁對任何報告違規行為嘅個人進行報復，亦都唔會容忍。.

報復嘅後果

任何報復行為都會受到紀律處分，最高可包括終止僱傭或合約協議。鼓勵人員向合規部門或人力資源部報告任何有關報復嘅疑慮。.

10. 紀律行動

對唔合規嘅問責

如果人員唔遵守呢個政策，可能會面臨紀律處分。違規包括未能報告違規行為、處理錯誤機密資料或阻礙調查。.

紀律措施嘅範圍

紀律行動將會同違規嘅嚴重程度成正比，可能包括：

• 口頭或書面警告： 對於輕微或者首次犯罪。.
• 強制再培訓： 解決知識或理解上嘅缺口。.
• 懸掛： 暫時免職，等待進一步調查。.
• 終止： 對於嚴重或者重複嘅違規行為。.
• 法律行動： 喺涉及重大疏忽、故意行為不當或者違法嘅案件，可能會開始法律程序。.

11. 政策審查同更新

定期審查程序

呢個政策會每年至少接受一次正式審查，或者如果法律、法規或者組織做法有變動，需要更頻繁咁審查。審查會評估政策嘅成效，同埋納入任何必要嘅更新。.

變化嘅溝通

任何對政策嘅修訂都會及時通知所有人員。更新將會透過官方溝通渠道發佈，亦可能會提供額外嘅培訓或資訊會議，以確保理解同合規。.

1. 目的

呢項政策嘅目的係建立全面嘅指引同程序，以保障實際使用參與加州進步同創新醫療保險（ CalAIM ）增強關懷管理同社區支援（ ECM 同 CS ）計劃嘅設施。保護實體存取對於確保員工、客戶同訪客嘅安全，同埋保護敏感資料同組織資產至關重要。呢項政策旨在減輕同未經授權進入、盜竊同潛在違規行為相關嘅風險，呢啲風險可能會損害我哋嘅營運完整性同埋遵守法律同監管要求。.

2. 範圍

呢個政策適用於所有存取 [ 公司名稱 ] 進行 CalAIM ECM & CS 計劃活動嘅實體設施嘅個人。呢個包括各級員工、承包商、供應商、臨時工、實習生、義工同訪客。呢個政策包括公司擁有、租用或者經營嘅所有實體地點，包括辦公室、診所、數據中心，同埋公司進行業務嘅任何場外地點。.

3. 定義

• 授權人員： 根據佢哋嘅工作責任同埋經過適當嘅核准程序，獲得咗進入設施特定區域嘅許可嘅個人。.
• 敏感區域： 設施內存放機密資料、重要系統或者進行受限制運作嘅位置。例子包括伺服器室、記錄儲存區同埋行政辦公室。.
• 實體存取控制： 安全措施，例如鎖、電子門禁系統、生物識別掃描器、保安人員，同埋用嚟管制進出設施嘅監控設備。.

4. 政策詳情

4.1物理安全控制

所有進入設施嘅入口點都要保護好，以防止未經授權嘅人進入。呢個涉及安裝同維護物理障礙物，例如鎖咗嘅門、安全閘同轉門。設施應該採用先進嘅出入控制系統，包括鎖匙卡、生物識別掃描器或者個人識別號碼（ PIN ），嚟驗證尋求入境嘅個人，特別係進入敏感區域。.

所有限制區域都要放置清晰可見嘅招牌，表明只限授權人員進入，並概述入場要求。喺周圍同所有入口都要保持足夠嘅燈光，以增強能見度同阻止未經授權嘅人進入。保安人員可能會駐守喺重要嘅地點，以監察進入、協助出入控制程序，同埋應對事件。.

應定期對所有實體保安設備進行檢查同維護檢查，以確保最佳功能。任何瑕疵或故障都要立即向設施管理團隊報告，並及時修理，以維持安全措施嘅完整性。.

4.2存取控制程序

設施及其敏感區域嘅使用權係根據最低特權原則授予。個人會獲得執行佢哋特定工作職能所需嘅最低存取權。喺獲得存取權之前，必須提交正式嘅要求，並由個人嘅主管同保安部門核准。呢個核准程序確保只有有合法需要嘅人先可以進入敏感區域。.

嚴禁分享存取憑證，例如鎖匙卡或者 PIN 。每個人都要負責保護佢哋嘅存取憑證，並且必須立即向安全部門報告任何遺失或被盜嘅憑證。即時報告可以停用受威脅嘅憑證，以防止未經授權嘅存取。.

安全部門會定期對存取記錄同授權級別進行審計。呢啲審計有助識別任何未經授權嘅存取嘗試，確保存取權仍然適合目前嘅工作責任，同埋偵測可能表明安全漏洞嘅違規行為。.

4.3訪客管理

所有參觀設施嘅訪客都需要遵守旨在保護設施及其居民安全嘅訪客管理程序。到達後，訪客必須喺接待處登入，並提供有效嘅政府發出嘅身分證明以作驗證。佢哋會獲發臨時身份徽章，而呢啲徽章喺場地入面一定要隨時戴住。.

訪客需要喺整個訪問期間由授權人員陪同。噉樣就可以確保訪客唔會無意中進入受限制或者敏感嘅區域，同埋佢哋喺設施入面嘅活動都會受到監控。訪客一般都係限於非敏感區域，除非佢哋得到管理層嘅明確授權，可以出於合法目的進入特定敏感區域。.

喺佢哋嘅訪問結束嗰陣，訪客必須歸還佢哋嘅臨時身份證，並喺接待處簽出。接待處職員應驗證所有訪客已經離開，並且冇任何臨時徽章係失蹤嘅。.

4.4員工責任

員工喺維持設施嘅實體安全方面發揮住至關重要嘅作用。佢哋需要喺請人嗰陣完成安全意識培訓，同埋每年或者根據需要參加復習培訓班。呢個培訓涵蓋物理安全嘅重要性、進入敏感區域嘅程序，同埋報告安全事件嘅協議。.

員工有責任保護機密材料，無論係實體材料定係電子材料。包括鎖定文件櫃、喺唔使用嗰陣保護文件，同埋確保工作站喺無人照顧嗰陣鎖定。員工必須保持警惕，並立即向主管或保安部門報告任何可疑活動、未經授權嘅個人或安全違規行為。.

如果終止或者工作責任有變動，所有存取權都要立即撤銷或者調整。人力資源部門同保安部門協調，負責確保離職嘅員工歸還所有公司財產，包括存取憑證，同埋終止佢哋對設施同資訊系統嘅存取權。.

4.5監控同監控

呢個設施將會採用一個全面嘅監控同監控系統，以增強安全。所有入口、出口同敏感區域都會安裝監控攝錄機。呢啲攝錄機會遵守所有適用嘅私隱法律同法規運作，確保監控係合乎道德同合法進行。.

監控片段會安全儲存一段由法律要求或者公司政策界定嘅時間，通常最少90日。監控片段只限授權人員存取，而且只係用嚟保安目的。保安部門負責定期檢視片段，偵測同調查任何可疑活動或保安事件。.

警報系統會安裝嚟偵測未經授權嘅存取嘗試、違規或者其他安全事件。呢啲系統會連接到一個由保安人員組成嘅中央監控站，佢哋可以及時回應任何警報。.

4.6緊急同事件應變

呢個組織致力於確保所有人員喺緊急情況下嘅安全。所有緊急出口都要用照明嘅招牌清楚標示，並且隨時保持冇阻礙，以確保安全同迅速嘅疏散。每個設施都要制定疏散計劃，詳細講解各種緊急情況嘅程序，例如火災、天災或者安全威脅。.

呢啲疏散計劃會透過培訓班向所有員工傳達，並喺整個設施嘅可見位置張貼。會定期進行演習，令員工熟悉疏散路線同程序。呢啲演習嘅反饋將會用嚟提升緊急應變計劃嘅成效。.

如果發生安全漏洞或者緊急情況，就要遵守事件應變計劃。呢個計劃概述咗員工嘅角色同責任、溝通協議，同埋緩解事件同恢復正常運作嘅步驟。急救包同緊急聯絡資料會喺整個設施隨時提供，以便喺受傷或者醫療緊急情況下提供協助。.

4.7合規同執行

所有進入設施嘅人員都必須遵守呢個政策。如果唔遵守規定，可能會導致紀律處分，包括口頭或書面警告、停職、終止僱傭或法律行動，視乎違規嘅嚴重程度而定。呢個組織致力於公平同一致噉執行呢個政策。.

公司必須確保所有實體安全做法都遵守適用嘅聯邦、州同地方法規，包括醫療保險可移植性同問責法（ HIPAA ）同埋加州醫療服務部（ DHCS ）發布嘅指引。.

鼓勵員工向佢哋嘅主管或者保安部門報告任何有關實體安全嘅疑慮或建議。呢類反饋對於持續改善安全措施係有價值嘅。.

5. 政策審查

呢個政策會至少每年或者每當監管環境或者組織做法發生重大變化嗰陣進行全面審查。審查過程將會涉及關鍵利益相關者，包括安全、人力資源、法律同營運部門嘅代表。目標係確保政策保持有效、相關，同埋符合所有現行法律同法規。.

任何對政策嘅修訂都會透過官方渠道向所有人員傳達，並且會根據需要提供額外嘅培訓，以確保理解同遵守。.

6. 參考文獻

• 加州衛生保健服務部（ DHCS ）嘅規例： 提供加州嘅醫療服務指引同要求，而呢啲指引同要求係喺 CalAIM ECM 同 CS 計劃嘅運作中必須遵守。.
• 醫療保險可移植性同問責法（ HIPAA ）： 聯邦法律，為保護敏感嘅病人健康資料設定標準。.

1. 目的

呢個政策嘅主要目標係建立全面嘅指引同程序，旨在保護加州先進同創新醫療保險（ CalAIM ）增強關懷管理同社區支援（ ECM 同 CS ）計劃內對敏感病人資料嘅電子存取。透過實施呢個政策，我哋確保遵守所有相關嘅聯邦同州法律，包括《醫療保險可移植性同問責法》（ HIPAA ），從而促進電子健康資訊嘅機密性、完整性同可用性。.

2. 範圍

呢個政策適用於所有參與 CalAIM ECM & CS 計劃嘅個人，包括有任何形式存取電子病人資料同相關系統嘅員工、承包商、義工同合作夥伴。佢包括所有喺計劃範圍內以電子方式創建、儲存、傳輸或者接收嘅電子受保護健康資訊（ ePHI ）。.

3. 定義

為咗呢個政策嘅目的：

• 電子保護健康資訊（ ePHI ）： 呢個係指任何以電子方式處理嘅受保護健康資訊，無論係建立、儲存、傳輸定係接收。.
• 用戶： 任何授權喺同 CalAIM ECM 同 CS 計劃相關嘅系統入面存取 ePHI 嘅個人。.
• 認證： 用嚟驗證用戶或者系統身分嘅過程，確保只授予授權個人存取權。.

4. 政策聲明

4.1遵守法律同法規

所有電子存取病人資料都必須嚴格遵守聯邦同州法律，包括但唔限於：

• 《醫療保險可移植性同問責法》（ HIPAA ）私隱同安全規則，係為保護健康資訊制定國家標準。.
• 加州醫療資料保密法（ CMIA ），管理州內醫療資料嘅保密同披露。.
• 任何其他適用嘅聯邦同州法規，同保護健康資訊有關。.

4.2存取控制

要仔細控制同管理 ePHI 嘅存取權，以防止未經授權嘅存取：

• 基於角色嘅存取： 我哋會根據 CalAIM ECM 同 CS 計劃入面嘅用戶嘅具體角色同責任，授予 ePHI 嘅存取權。噉樣就可以確保個人只可以存取佢哋工作職能所需嘅資料。.
• 最低特權原則： 用戶將會獲得有效執行職責所需嘅最低存取權或者權限。噉樣可以將未經授權嘅存取或者數據洩露嘅風險減到最低。.
• 授權程序： 所有存取權都必須由適當嘅主管或者計劃管理員正式授權。呢個涉及一個有文件嘅核准程序，以確保問責。.

4.3認證措施

為咗防止未經授權嘅存取，將會實施強大嘅認證措施：

• 獨特嘅用戶識別碼： 每個用戶都會被分配一個獨特嘅用戶 ID ，以確保所有活動都可以準確追蹤同歸因。.
• 強大嘅密碼政策： 用戶需要建立符合複雜性要求嘅強大密碼，例如最短長度同埋包含字母、數字同特殊字元嘅組合。為咗保持安全，密碼必須定期更改。.
• 多因素認證（ MFA ）： MFA 將會被採用，特別係喺遠端存取同被視為高風險嘅系統，為咗增加額外嘅安全層面，而唔單止係密碼。.

4.4資料加密

加密係保護 ePHI 喺傳輸同儲存期間免受未經授權存取嘅必要條件：

• 傳輸中嘅加密： 所有透過網絡傳輸嘅 ePHI 都必須使用行業標準嘅加密協定，例如 TLS 或者 SSL 進行加密。噉樣就可以確保喺傳輸期間截取嘅數據唔可以畀未經授權嘅人讀取。.
• 靜止時嘅加密： 儲存喺伺服器、資料庫、手提電腦同其他裝置上面嘅 ePHI 亦都要加密，以便喺實體盜竊或者未經授權存取嘅情況下保護資料。.

4.5物理安全

必須保護儲存 ePHI 嘅硬件同設施嘅實體存取權：

• 安全設施： 伺服器室等區域必須有受控嘅存取，使用鎖、存取卡或者生物識別系統，以防止未經授權嘅進入。.
• 裝置安全性： 手提電腦同平板電腦等便攜裝置應該用鎖固定，或者喺唔使用嗰陣放喺安全嘅地方。使用者必須確保呢啲裝置唔會喺唔安全嘅地方無人看管。.

4.6監控同審計控制

持續監控同審計對於偵測同回應未經授權嘅存取至關重要：

• 活動記錄： 系統必須記錄所有存取 ePHI 嘅詳細記錄，包括用戶 ID 、日期、時間同埋所進行嘅活動性質。噉樣會建立一個問責嘅審計蹤跡。.
• 定期審計： 指定人員會定期檢查系統同存取記錄，以識別任何未經授權嘅存取或者可能表明安全威脅嘅異常活動。.
• 入侵檢測系統： 實施入侵檢測系統（ IDS ）將會有助於監控網絡流量中嘅可疑活動，同埋為潛在嘅安全漏洞提供警報。.

4.7培訓同認識

教育用戶對於維持安全標準至關重要：

• 強制性嘅培訓計劃： 所有用戶都必須完成全面嘅私隱同安全培訓先可以獲得 ePHI 嘅存取權。呢個培訓會涵蓋識別釣魚嘗試、正確處理敏感資料同埋安全事件報告程序等等嘅主題。.
• 年度進修課程： 用戶需要參加年度培訓課程，以便緊貼最新嘅安全政策同做法。.
• 定期溝通： 呢個機構會提供持續嘅更新、通訊或者提醒，嚟將安全做法放喺用戶日常活動嘅最前線。.

4.8事件應變

及時應對安全事件對於減輕風險至關重要：

• 即時報告： 用戶必須立即向指定嘅安全官員或 IT 部門報告任何疑似或實際嘅安全事件，例如遺失裝置或未經授權嘅存取。.
• 事件應變計劃： 一個既定嘅事件應變計劃會指導組織喺解決同緩解安全漏洞方面嘅行動。呢個計劃包括遏制、根除、恢復同埋事件後分析嘅步驟。.
• 通知要求： 如果涉及 ePHI 嘅違規行為，組織會根據法律同監管要求通知受影響嘅個人同相關機構。.

4.9第三方存取權

管理第三方存取權係維持安全性嘅必要條件：

• 商業夥伴協議（ BAA ）： 所有需要存取 ePHI 嘅第三方實體都必須簽訂一份正式協議，概述佢哋保護呢啲資料嘅責任。.
• 盡職調查程序： 喺授予存取權之前，組織會對第三方嘅安全做法進行徹底評估，確保佢哋符合所需嘅標準。.
• 持續監控緊： 呢個組織會持續監察第三方遵守安全要求。.

4.10數據備份同恢復

確保 ePHI 嘅可用性對於持續護理係至關重要：

• 定期數據備份： 呢個組織會定期備份 ePHI 嚟保護位置，以防止因為系統故障、災難或者其他預期唔到嘅事件而導致資料遺失。.
• 安全儲存備份： 備份資料必須安全儲存，加密同存取控制等同於主要系統。.
• 測試恢復程序： 我哋會定期測試備份同恢復程序，確保喺數據遺失嘅情況下，數據可以有效同準確噉恢復。.

4.11 ePHI 嘅處置

喺唔再需要資料之後，適當處理 ePHI 係必要嘅，以防止未經授權嘅存取：

• 安全刪除方法： 含有 ePHI 嘅電子媒體必須用確保資料唔可以重建嘅方法去處理，例如消磁、碎片化，或者用專用嘅軟件工具嚟安全刪除。.
• 處置文件： 所有處置過程都必須徹底記錄，包括日期、方法同涉及嘅人員，以維持合規同問責。.

5. 責任

5.1計劃管理

計劃管理層有責任確保呢個政策嘅有效實施同執行。呢個包括為安全措施同培訓計劃分配必要嘅資源，同埋支持整個組織嘅合規文化同安全意識。.

5.2保安員

指定嘅保安官員負責監督遵守所有保安政策同程序。職責包括定期進行風險評估同審計，以識別潛在漏洞，喺發生安全漏洞嘅情況下協調事件應變工作，同埋緊貼可能影響安全做法嘅法律同技術變動。.

5.3用戶

所有可以存取 ePHI 嘅使用者都需要嚴格遵守本文件所概述嘅安全政策同程序。用戶亦都必須保持警惕，並立即向組織內嘅相關機構報告任何安全事件或者潛在漏洞。.

6. 執法

唔遵守呢個政策係一個嚴重嘅問題，可能會導致紀律處分，當中可能包括終止僱傭或合約協議。另外，個人可能會因為涉及錯誤處理受保護嘅健康資料嘅違規行為而面臨聯邦或州法律嘅法律罰則。.

7. 審查同修訂

呢個政策會每年或者每當相關法規或者技術發生重大變動嗰陣進行正式審查。審查過程會包括評估現時嘅安全措施嘅成效，同埋作出必要嘅更新，以應對新嘅威脅或者合規要求。.

8. 參考文獻

• HIPAA 私隱規則： 45 CFR 第 160 部分同第 164 部分嘅 A 同 E 子部分，呢啲係建立咗保護個人識別健康資料嘅國家標準。.
• HIPAA 安全規則： 45 CFR 第 160 部分同第 164 部分嘅 A 同 C 子部分，呢啲係為電子受保護嘅健康資訊嘅安全性設定標準。.
• 加州醫療資訊保密法（ CMIA ）： 管治醫療資料保密同披露嘅州法律。.
• 美國國家標準與技術研究所（ NIST ）指引： 聯邦指引提供咗一個框架，用嚟改善重要嘅基礎設施網絡安全。.

1. 目的

呢個政策嘅目的係建立全面嘅流程同指引，以確保加州進步同創新 Medi-Cal （ CalAIM ）增強關懷管理同社區支援（ ECM 同 CS ）計劃內嘅媒體同裝置控制安全。呢個政策旨在保護敏感嘅病人資料，維持遵守所有相關法律同法規，同埋防止任何未經授權嘅存取、披露、改變或者破壞資料。透過實施呢啲指引，我哋努力維持最高嘅數據安全同完整性標準，從而培養參與計劃嘅病人、職員同利益相關者之間嘅信任。.

2. 範圍

呢個政策適用於所有同 CalAIM ECM & CS 計劃相關嘅個人，包括但唔限於員工、承包商、顧問、臨時員工，同埋任何其他處理或者可以存取包含敏感資料嘅電子或實體媒體同裝置嘅人員。佢包括所有同使用、儲存、運輸同處置媒體同裝置有關嘅活動，呢啲活動可能包含受保護嘅健康資料（ PHI ）、個人識別資料（ PII ）或者其他同計劃相關嘅敏感數據。.

3. 定義

• 媒體： 係指任何儲存資料嘅實體或電子儲存裝置。包括硬碟、 USB 驅動器、 CD 、 DVD 、磁帶同紙質文件。媒體可以係便攜式或者固定式，用嚟儲存、轉移或者封存資料。.
• 裝置： 包括電子設備，例如桌面電腦、手提電腦、平板電腦、智能手機，同埋任何其他用嚟存取、處理或者儲存程式資料嘅硬件。裝置可能係組織擁有，或者根據「自帶裝置」（ BYOD ）政策允許使用。.
• 敏感資訊： 任何受私隱法律同法規保護嘅資料。呢個包括但唔限於同個人嘅健康狀況或者醫療服務有關嘅受保護健康資料（ PHI ），同埋可以用嚟識別個人身分嘅個人識別資料（ PII ），例如社會保險號碼、地址同財務資料。.

4. 政策聲明

為咗確保 CalAIM ECM & CS 計劃內嘅敏感資料安全，制定咗以下原則：

• 媒體同裝置嘅安全性： 所有包含敏感資料嘅媒體同裝置都必須受到適當保護，以防止未經授權嘅存取。呢個涉及到實行實體同技術保障。.
• 加密： 所有包含敏感資料嘅電子儲存媒體同裝置都必須使用核准嘅加密方法。加密係保護資料完整性同機密性嘅重要防線。.
• 存取限制： 要嚴格限制授權人員存取媒體同裝置。授權級別係根據最低特權原則去分配，確保個人只可以存取佢哋角色所需嘅資訊。.
• 正確處理： 唔再使用嘅媒體同裝置必須按照適當程序處理，以防止任何數據恢復或者未經授權存取嘅可能性。呢個包括安全嘅數據擦除同物理破壞方法。.
• 定期審計： 要定期進行審計同評估，以確保持續遵守呢個政策。呢啲評估會幫助識別潛在嘅漏洞同需要改善嘅地方。.

5. 程序

5.1。媒體同裝置清單

必須維持計劃入面所用嘅所有媒體同裝置嘅準確同最新清單。呢個清單應該包括詳細資料，例如裝置類型、序號、指定嘅使用者同埋儲存嘅資料分類。適當標記媒體同裝置係必要嘅，以顯示佢哋所包含嘅資訊嘅敏感度水平，呢個有助於執行適當嘅處理程序。.

5.2。存取控制

必須有強大嘅認證機制，嚟限制對裝置同埋佢哋保留嘅敏感資料嘅存取。包括實施強大嘅密碼政策、生物識別掃描或者多因素認證方法。應該根據工作責任分配存取權，並定期檢討，以便調整角色或就業狀況嘅任何變動。應該及時記錄同調查未經授權嘅存取嘗試。.

5.3。加密

所有儲存喺電子媒體同裝置嘅敏感資料都必須採用核准嘅加密技術。加密密鑰必須安全管理，並且限制存取權，以防止未經授權嘅數據解密。應該建立密鑰生成、分發、儲存、輪流同銷毀嘅程序，以維持加密過程嘅完整性。.

5.4。物理安全

物理保障對於防止未經授權嘅媒體同裝置存取至關重要。所有實體媒體都應該儲存喺上鎖嘅櫃或者安全嘅房間入面，並且有受控嘅存取措施，例如鎖匙卡或者生物識別掃描器。絕對唔應該將裝置放喺唔安全嘅地方。訪客應該喺可以存取敏感資料嘅地區被護送，同埋應該保留訪客存取記錄。.

5.5。媒體同裝置嘅運輸

喺運送包含敏感資料嘅媒體或者裝置嗰陣，必須使用安全嘅方法嚟保護佢哋免受遺失或者被盜。實體媒體應該放入鎖定嘅容器，而電子數據傳輸應該端對端加密。必須保留所有喺安全區域移除嘅媒體同裝置嘅詳細記錄，記錄移除日期、時間、目的同埋參與運輸嘅人員。.

5.6。處置同破壞

喺處理之前，所有數據都必須用核准嘅數據消毒方法，例如消磁或者覆寫，喺電子媒體同裝置上面不可逆轉咁擦除。對於包含敏感資料嘅物理媒體，必須採用碎片化、焚化或者粉碎等方法，以確保資料唔可以重建。所有處置同破壞活動嘅記錄都要細心維護，包括破壞物品嘅詳情、所用嘅方法同埋參與呢個過程嘅人員。.

5.7。事件報告

任何涉及媒體或裝置遺失、被盜或未經授權存取嘅事件都要立即向指定嘅保安人員報告。及時報告係啟動事件應變計劃嘅必要條件，計劃包括遏制、根除、恢復同埋必要時同受影響方溝通嘅步驟。員工應該接受培訓，認識潛在嘅安全事件，同埋明白及時報告嘅重要性。.

5.8。訓練同認識

必須定期進行培訓，以教育所有人員有關媒體同裝置安全做法。培訓應該包括識別釣魚嘗試、正確處理敏感資料同埋呢個政策所概述嘅程序等等嘅主題。隨住科技同安全威脅嘅發展，培訓材料必須更新，以反映最新嘅最佳做法。應該定期透過評估或者評估去評估員工嘅理解。.

6. 角色同責任

• 計劃經理： 計劃經理有責任確保整體遵守呢個政策。呢個包括分配實施所需嘅資源、培養安全意識文化，同埋解決任何違規問題。.
• 保安員： 安全官監督同媒體同裝置相關嘅安全措施。責任包括定期進行審計、管理事件應變、更新安全協議，同埋為員工提供安全事宜嘅指引。.
• 員工同職員： 所有人員都需要嚴格遵守呢個政策所概述嘅指引同程序。佢哋有責任保護委托畀佢哋嘅媒體同裝置，及時報告任何安全事件或疑慮，同埋參與所需嘅培訓計劃。.

7. 合規同執行

所有同 CalAIM ECM & CS 計劃有關嘅人員都必須遵守呢個政策。如果唔遵守規定，可能會導致紀律處分，包括額外嘅培訓同警告，以至終止僱傭或合約協議。喺違規行為涉及違反法律或法規嘅情況下，可能會採取法律行動。我哋會定期進行合規審計，同埋任何發現嘅缺陷都要及時糾正。.

8. 審查同修訂

呢個政策會至少每年或者每當技術、監管要求或者組織結構發生重大變化嗰陣進行徹底嘅審查。我哋會根據需要作出修訂，以確保呢個政策仍然有效同相關。所有更新都會通知相關人員，培訓材料亦會相應調整。鼓勵職員提供意見，以提升政策嘅成效。.

1. 目的

呢個政策嘅主要目的係建立全面嘅物理保障要求，以保護 CalAIM 增強關懷管理同社區支援（ ECM 同 CS ）計劃內嘅工作站。呢啲保障措施對於防止未經授權嘅存取、盜竊、損壞或者敏感資料遺失係必要嘅，包括電子受保護嘅健康資料（ ePHI ）。透過實施呢啲措施，我哋會努力保持敏感數據嘅機密性、完整性同可用性，確保遵守適用嘅聯邦同州法規。.

2. 範圍

呢個政策普遍適用於所有員工、承包商、義工同埋任何其他可以使用 CalAIM ECM & CS 計劃設施內工作站嘅個人。佢包括所有使用或者儲存工作站嘅實體位置，包括辦公室、會議室同埋同個計劃相關嘅遠端工作環境。.

3. 定義

• 工作站： 任何電子計算裝置，例如桌面電腦、手提電腦、平板電腦或者類似嘅裝置，同埋儲存喺佢嘅直接環境入面嘅電子媒體。呢個包括任何執行處理、儲存或者傳輸數據等功能嘅設備。.
• 身體保障： 為咗保護電子資訊系統同相關建築物同設備免受自然同環境危險，同埋未經授權嘅入侵而實施嘅實體措施、政策同程序。呢啲保障措施係為咗防止未經授權嘅個人實際進入設備同設施。.

4. 政策聲明

4.1工作站嘅安全位置

所有工作站都必須喺安全嘅區域，並且有受控嘅通道，以防止未經授權嘅人睇返或者進入佢哋。即係話工作站應該放喺遠離公共空間嘅地方，而且唔應該容易畀路人睇到或者去到。例如，除非採取適當嘅安全措施，否則唔建議將工作站放喺接待處、走廊或者會議室附近。如果工作站必須喺呢啲區域，就應該實施額外嘅保護措施，例如私隱屏幕、實體障礙物或者受監督嘅存取，以保護屏幕上顯示嘅敏感資料。.

4.2存取控制

必須只限授權人員進入包含工作站嘅區域。呢個涉及實施實體入口控制，例如鎖住嘅門、入口徽章或者生物識別系統，以確保只有獲得適當授權嘅個人先可以進入呢啲區域。喺有工作站嘅地區，訪客或者任何未經授權嘅個人必須隨時有授權人員陪同。呢個護送政策有助防止未經授權嘅人存取敏感資料，同埋確保訪客唔會無意中損害安全協議。.

4.3物理安全措施

為咗保護工作站免受盜竊或者未經授權嘅拆除，必須採取實體安全措施。包括喺無人看管嘅情況下，用實體鎖、安全電纜或者外殼嚟保護裝置。例如，手提電腦應該用安全電纜鎖喺枱面，而桌面電腦應該固定，以免容易拆走。喺共用或者唔安全嘅地區，呢啲措施特別重要。另外，伺服器室同埋重要基礎設施嘅區域應該有加強嘅安全措施，例如監控攝錄機同警報系統，以阻止未經授權嘅存取同埋提供監控能力。.

4.4屏幕保護

為咗防止未經授權嘅人睇返監視器上面顯示嘅敏感資料，應該使用私隱畫面或者篩選器。呢啲裝置限制咗個螢幕嘅觀看角度，令到附近嘅人好難睇到個螢幕，除非佢哋直接喺個螢幕前面。而且，所有工作站都要配置為喺閒置唔超過五分鐘之後自動鎖定。呢個自動鎖定機制確保如果員工離開佢哋嘅工作站，就唔可以畀未經授權嘅人存取。亦都鼓勵員工喺無人照顧嘅工作站嗰陣手動鎖定螢幕，就算係短時間內都係咁。.

4.5清潔書桌政策

必須執行清潔桌面政策，確保所有敏感文件同材料喺唔使用嘅時候都可以安全儲存。員工需要喺每個工作日結束嗰陣喺佢哋嘅工作站度移除所有敏感文件，然後將佢哋儲存喺上鎖嘅抽屜或者櫃入面。包括筆記、列印本、便攜式儲存裝置同埋任何其他包含機密資料嘅材料。透過保持工作站冇敏感材料，我哋可以減低未經授權存取嘅風險，同埋維持專業嘅工作環境。員工亦都應該確保白板同公告板唔會顯示敏感資訊。.

4.6環境控制

工作站必須防止漏水、過熱、塵埃同電浪等環境風險。呢個涉及將裝置放喺遠離易溢出或者漏水嘅地方，例如冷氣機下面或者落雨時可能漏水嘅窗戶附近。應該用電湧保護器同不間斷電源（ UPS ）嚟防止電湧同停電。另外，員工應該避免喺工作站附近飲用食物同飲品，以防止意外溢出，可能會損壞設備或者導致數據丟失。.

4.7設備處理

所有電子裝置喺處置或重新部署之前都必須經過適當嘅數據消毒程序，以確保唔會無意中釋放敏感資料。呢個包括根據行業最佳做法同監管要求安全咁擦除或者銷毀數據儲存媒體。裝置唔應該丟喺普通嘅垃圾桶入面，而係應該按照環保負責任嘅回收做法同埋遵守適用嘅法規去處理，例如美國國家標準與技術研究所（ NIST ）關於媒體消毒嘅指引所概述嘅法規。.

4.8報告同回應

如果工作站被盜、遺失或未經授權進入，必須立即向指定部門報告呢類事件，例如保安官或 IT 部門。及時報告可以迅速採取行動嚟減輕潛在風險，包括未經授權存取敏感數據。應該制定一個事件應變計劃，以解決涉及工作站嘅安全漏洞。呢個計劃應該概述應對事件嘅具體程序，包括遏制、根除、恢復同通知步驟。應該定期進行演習同培訓，確保所有員工都熟悉事件應變程序。.

5. 責任

5.1員工同授權使用者

員工同授權使用者有責任遵守呢份文件所概述嘅所有實體保障政策同程序。佢哋必須保持警惕，保護工作站同敏感資料免受未經授權嘅存取。包括遵循保護裝置嘅最佳做法，例如喺唔使用嗰陣鎖定螢幕，同埋喺旅行嗰陣保護便攜裝置。另外，員工需要及時向相關機構報告任何可疑活動、安全事件或潛在漏洞，以便及時干預。.

5.2管理

管理層有責任確保佢哋嘅團隊完全知道呢個政策同埋遵守佢嘅要求。佢哋應該促進培訓同認識計劃，教育員工身體安全嘅重要性同埋佢哋需要實行嘅具體措施。經理人亦都應該以身作則，嚴格遵守政策，同埋培養團隊內部嘅安全文化。佢哋負責解決任何違規問題，同埋提供必要嘅資源嚟實施所需嘅保障措施。.

5.3保安官/ IT 部門

安全官同 IT 部門嘅任務係監督整個組織嘅實體保障措施嘅實施。佢哋負責制定同維護同物理安全有關嘅政策同程序，同埋確保呢啲政策符合最新嘅監管要求同行業最佳做法。應該定期進行審計同評估，以評估遵守政策嘅情況，同埋確定需要改善嘅地方。如果發生安全事件，安全官員同 IT 部門會協調應變工作，包括調查、緩解同埋同相關利益相關者溝通。.

6. 服從

所有員工同關聯人員都必須遵守呢個政策。如果唔遵守規定，可能會導致紀律處分，包括終止僱傭或合約協議。呢啲行動係必要嘅，以維護組織嘅安全姿態嘅完整性同埋遵守法律義務。另外，個人可能會根據適用嘅聯邦同州法律面臨法律罰則，包括由醫療保險可移植性同問責法（ HIPAA ）同加州醫療資訊保密法（ CMIA ）所規定嘅罰則。呢個機構致力執行呢個政策，以保護敏感資料，同埋維持我哋服務嘅個人嘅信任。.

7. 參考文獻

呢個政策係由幾個重要嘅法規同指引引導：

• 醫療保險可移植性同問責法（ HIPAA ），, 45 CFR 第 164 部分：建立電子受保護健康資訊安全嘅國家標準。.
• 加州醫療資訊保密法（ CMIA ）： 管理加州嘅醫療資料嘅機密性同披露。.
• CalAIM ECM 同 CS 計劃指南： 為增強關懷管理同社區支援計劃提供具體指示同最佳做法。.

呢啲參考資料係我哋實體安全措施嘅基礎框架，同埋確保我哋嘅政策符合法律同監管要求。.

8. 審查同修訂

呢個政策應該每年或者根據需要進行正式審查，以適應法規、技術進步或者組織做法嘅變化。審查過程包括評估目前嘅保障措施嘅有效性、評估合規水平，同埋更新政策，以解決任何發現嘅缺口或者新出現嘅威脅。所有修訂都必須得到指定機構嘅批准，並向所有員工同相關利益相關者傳達，以確保持續遵守同認識。.

1. 目的

呢個政策嘅目的係建立全面嘅指引，嚟保護組織內部嘅口頭、書面同電子機密資料，特別係同加州進步同創新醫療保險（ CalAIM ）增強關懷管理同社區支援（ ECM 同 CS ）計劃有關。透過實施呢個政策，呢個組織旨在確保遵守所有相關嘅聯邦同州法律，包括《醫療保險可移植性同問責法》（ HIPAA ），同埋維持所有敏感資料嘅最高完整性同保密標準。.

2. 範圍

呢個政策適用於所有同組織有關嘅個人，包括員工、承包商、義工、實習生，同埋任何其他可以存取同 CalAIM ECM 同 CS 計劃相關嘅機密資料嘅人士。佢包括所有形式嘅機密資料 —— 口頭、書面同電子 —— 同埋概述咗所有當事人喺保護呢啲資料免受未經授權存取、使用、披露、改變或者破壞嘅責任。.

3. 定義

機密資料係指任何私人、敏感或者專有嘅數據或者資訊。呢個包括但唔限於受保護嘅健康資料（ PHI ）、個人識別資料（ PII ）、財務記錄同埋任何專有嘅組織資料。 PHI 係任何可以同特定人連結嘅有關個人健康狀況、提供醫療服務或者醫療費用嘅資料。電子保護健康資訊（ ePHI ）係指以電子方式建立、儲存、傳輸或者接收嘅 PHI 。勞動力成員係指員工、義工、受訓者同埋任何其他人，佢哋喺為組織執行工作嗰陣嘅行為受到組織嘅直接控制，而唔理佢哋係咪受到組織嘅賠償。.

4. 政策聲明

呢個組織致力保護所有形式嘅機密資料，防止未經授權嘅存取、使用、披露、改變或者破壞。所有員工都需要負責任噉處理機密資料，同埋遵守適用嘅法律同組織政策。機密資料嘅存取權嚴格限於需要呢啲資料嚟執行工作職責嘅個人。任何違反或疑似違反機密資料嘅行為，都必須按照組織嘅事件報告程序立即報告。.

5. 程序

5.1。存取控制

機密資料嘅存取權係根據最低特權原則授予，即係話個人獲得執行工作職能所需嘅最低存取權。員工喺存取包含機密資料嘅電子系統嗰陣，必須使用獨特嘅用戶 ID 同強大嘅密碼。密碼應該保密，唔應該同其他人分享。實體存取儲存機密資料嘅區域，例如文件櫃或者伺服器室，必須透過鎖、存取卡或者其他安全措施去控制。訪客應該喺可以存取機密資料嘅地方被護送。.

5.2。機密資料嘅處理

喺處理口頭資料嗰陣，員工應該確保涉及機密資料嘅對話係喺私人場合進行，以防止未經授權嘅個人偷聽。呢個包括留意開放式辦公室、電梯、自助餐廳或者公共場所嘅環境。.

對於書面資料，包含機密資料嘅實體文件喺唔使用嘅時候應該儲存喺安全嘅地方。呢個可能包括將文件放喺上鎖嘅抽屜或者櫃入面。運送文件嗰陣，佢哋應該放喺安全嘅文件夾或者信封入面，而唔係冇人睇。.

電子資料必須儲存喺安全嘅伺服器上面，並且有適當嘅加密同存取控制。員工應該喺唔使用電腦嗰陣登出或者鎖定電腦，以防止未經授權嘅存取。包含機密資料嘅電子裝置，例如手提電腦、平板電腦同智能手機，應該啟用密碼或者生物識別鎖等安全功能。.

5.3。機密資料嘅傳輸

機密資料應該用安全嘅方法傳送。喺發送電子通訊嗰陣，員工應該使用加密嘅電郵服務或者安全嘅檔案傳輸協議。除非採取適當嘅安全措施，否則唔應該透過標準電郵或者即時通訊等唔安全嘅渠道傳送機密資料。.

喺傳真機密資料嗰陣，工作人員應該喺發送之前確認收件人嘅傳真號碼，同埋使用包含保密聲明嘅封面。佢哋亦都應該驗證收件人係咪可以接收傳真，以防止未經授權嘅存取。.

5.4。機密資料嘅處置

機密文件嘅處理必須安全地進行。實物文件應該用橫切碎紙機碎碎地，或者放入指定用嚟存放機密材料嘅安全處理箱。包含機密資料嘅電子媒體，例如硬碟、 USB 驅動器或者光碟，必須用核准嘅數據銷毀方法進行消毒，或者實際銷毀，以防止數據恢復。.

5.5。個人裝置嘅使用

如果員工獲授權使用個人裝置嚟存取機密資料，呢啲裝置就要遵守組織嘅安全政策。包括安裝安全軟件、啟用裝置加密同埋遵守密碼政策。除非明確授權同保護，否則機密資料唔應該儲存喺個人裝置上面。如果個人裝置遺失或被盜，就要立即報告事件。.

5.6。訓練同認識

所有員工都需要喺受聘嗰陣同埋之後每年參加一次有關保護機密資料嘅培訓。培訓計劃會涵蓋識別機密資料、正確處理程序、法律義務，同埋報告違規或疑似違規嘅協議等主題。當法律、法規或者組織政策有變動嗰陣，可能會提供額外嘅培訓，以確保持續遵守。.

6. 責任

所有員工都有責任理解同遵守呢個政策。佢哋必須適當處理機密資料，同埋及時報告任何疑似或實際嘅違規行為。主管同經理有額外嘅責任，確保佢哋嘅團隊明白呢個政策同埋遵守佢嘅指引。佢哋應該方便接受培訓，並且可以解答有關處理機密資料嘅任何問題或疑慮。.

資訊安全官負責監督旨在保護機密資料嘅安全措施嘅實施。包括監察遵守政策、定期進行安全評估，同埋處理任何涉及機密資料嘅事件。.

7. 監控同合規

呢個組織會定期進行審計同評估，以監察呢個政策嘅遵守情況。呢個可能包括睇返存取記錄、進行實體檢查同埋評估安全控制。唔遵守呢個政策可能會導致紀律處分，最高可包括終止僱傭關係。如果有需要，組織保留採取法律行動嘅權利。.

8. 違規通知

如果機密資料被侵犯，組織會遵守所有適用嘅法律同法規，以便通知受影響嘅個人同當局。呢個包括進行徹底嘅調查，嚟確定違規嘅範圍，減輕任何傷害，同埋實施措施嚟防止日後嘅事件。受影響嘅個人會及時收到通知，而組織會根據需要同監管機構合作。.

9. 審查同修訂

呢個政策會每年審查一次，並根據需要更新，以反映法律、法規或者組織做法嘅變動。喺審查過程中，我哋會考慮勞動力成員嘅意見同事件中嘅教訓，以提升政策嘅成效。.

10. 參考文獻

呢份保單係受醫療保險可移植性同問責法（ HIPAA ）、加州醫療資訊保密法（ CMIA ）同埋其他相關嘅聯邦同州法律所提供，並且符合呢個政策。佢亦都符合組織嘅內部資訊安全同私隱政策。.

介紹

CalAIM 增強護理管理同社區支援（ ECM 同 CS ）計劃致力於提供高質素嘅護理管理服務，同時維持最高嘅保密同資料保護標準。喺一個經常處理敏感資料嘅環境入面，必須有強大嘅政策去管理機密資料嘅存取權。呢個存取控制政策建立咗一個全面嘅框架，用嚟根據計劃內嘅角色就業，授予、修改同撤銷機密資料嘅存取權。呢個政策係為咗確保所有人員都有適當嘅存取權，符合佢哋嘅工作責任，同埋遵守所有適用嘅法律同法規，保持敏感資料嘅機密性。.

範圍

呢個政策適用於所有可以存取 CalAIM ECM & CS 計劃內機密資料嘅個人，包括但唔限於員工、承包商、義工、實習生同顧問。佢涵蓋所有形式嘅機密資料，無論係以電子方式儲存、紙上方式定係口頭方式傳遞。呢個政策包括所有儲存或者存取機密資料嘅組織系統、網絡、資料庫同埋實體位置。.

政策聲明

存取機密資料係一個特權，但係亦都需要承擔重大責任。 CalAIM ECM & CS 計劃採用最低特權同基於角色嘅存取控制（ RBAC ）原則嚟管理對敏感數據嘅存取。根據呢個政策，存取權會被仔細分配，以確保個人只有執行佢哋特定工作職能所需嘅最低存取權。根據個人角色或者就業狀況嘅任何變化，包括升職、橫向調職、降職或者解僱，必須立即調整存取權。呢個方法可以將未經授權嘅存取風險降至最低，亦有助保護敏感資料嘅完整性同機密性。.

角色同責任

計劃總監

計劃主任對呢個存取控制政策嘅實施同執行負有最終責任。呢個包括核准角色定義、確定唔同職位嘅適當存取水平，同埋確保政策符合組織目標同監管要求。計劃主任亦會同其他部門合作，解決任何同存取控制同資料保護有關嘅問題。.

人力資源部

人力資源（ HR ）部門喺管理存取權方面發揮住至關重要嘅作用。 HR 負責通知資訊科技（ IT ）部門同合規官所有人事變動，包括新聘用、角色變動同解約。呢個通知必須及時發出，以確保及時調整存取權。人力資源部嘅任務亦都係確保工作描述準確反映同每個角色相關嘅存取要求同責任，從而促進適當嘅存取控制措施。.

資訊科技係

IT 部門負責管理存取控制嘅技術方面。呢個包括配置同維護執行存取權嘅系統，處理授權嘅授權請求，以授予、修改或者撤銷存取權，同埋確保存取控制正常運作。 IT 部門會維護機密資料嘅詳細審計記錄，呢啲記錄對於監控合規同調查潛在嘅安全事件係至關重要。另外， IT 會同人力資源部同主管合作，確保存取權同現時嘅工作責任一致。.

合規官員

合規官員會監督遵守呢個政策，同埋確保組織遵守所有相關嘅法律同法規，例如 HIPAA 。呢個角色包括定期進行審計同存取權審查，以驗證存取權係咪已經適當分配，同埋冇發生過未經授權嘅存取權。合規官員亦都負責制定同埋提供有關保密、資料保護同監管合規嘅培訓計劃，以教育員工佢哋喺呢個政策下嘅責任。.

監督同經理

主管同經理直接負責為佢哋嘅團隊成員發起存取請求。佢哋必須確保呢啲要求準確反映每個團隊成員角色所需嘅存取權。主管亦都有責任監察佢哋團隊遵守存取政策嘅情況，解決任何唔遵守嘅問題，同埋及時向人力資源部同 IT 報告任何就業狀況或角色嘅變動。佢哋喺加強團隊內部資料保護同保密嘅重要性方面發揮咗關鍵作用。.

員工同授權使用者

每個獲得機密資料存取權嘅員工同授權使用者都必須負責任噉使用呢啲存取權。用戶應該只會存取佢哋明確授權嘅資料，同埋保密佢哋處理嘅任何資料。佢哋唔可以同其他人分享佢哋嘅存取憑證，而且應該立即向佢哋嘅主管、 IT 部門或者合規官員報告任何疑似未經授權嘅存取或者安全性違規。員工亦都需要參加所需嘅培訓課程，以便緊貼同資料保護有關嘅政策同最佳做法。.

程序

新員工嘅存取授權

當有新員工加入組織嗰陣，人力資源部會啟動存取授權程序。 HR 必須向 IT 部門提交正式嘅存取權要求，詳細講明新聘用嘅角色同埋所需嘅具體存取權。呢個要求應該係基於預先定義嘅存取設定檔，而呢啲設定檔同員工嘅職位相對應。喺獲得任何存取權之前，新員工必須完成有關保密、資料保護政策同埋 HIPAA 等相關法規嘅強制性培訓。然後 IT 部門會配置必要嘅存取權，確保員工有有效執行工作所需嘅工具，同時保持遵守最低特權原則。.

角色變更嘅存取權修改

喺員工角色改變嘅情況下 —— 無論係因為升職、調職定係重組 —— 主管都要及時通知人力資源部同 IT 部門。必須提交存取權修改要求，概述責任嘅變動同埋存取權所需嘅相應調整。 IT 部門會審查個要求，並根據要求修改員工嘅存取權。如果新角色涉及處理唔同類型嘅機密資料，或者需要額外嘅安全通過，員工必須喺獲得新嘅存取權之前完成任何必要嘅額外培訓。.

存取權喺終止嗰陣移除

當員工被解僱，無論係自願定非自願，人力資源部門都有責任啟動存取權移除程序。 HR 收到解約通知後，必須立即通知 IT 部門。 IT 部門需要喺員工最後一個工作天結束前撤銷所有員工嘅存取權。包括停用網絡帳戶、撤銷應用程式同資料庫嘅存取權，同埋擷取任何組織擁有嘅裝置。人力資源部亦都要向離職嘅員工收集所有實體存取裝置，例如身份證、鎖匙同存取卡，以防止未經授權嘅實體存取組織設施。.

定期存取審查

為咗確保持續遵守存取控制政策，合規官員同 IT 部門每半年都會對所有存取權進行審查。喺呢啲審查期間，佢哋會驗證每個人嘅存取權係咪仍然適合佢哋而家嘅角色同責任。審查過程包括檢查存取記錄、確認角色分配，同埋確保冇授予未經授權嘅存取權。任何發現嘅差異都會記錄低，並報告畀計劃主任，以便立即採取矯正行動。呢個主動嘅方法有助防止安全漏洞同埋維持機密資料嘅完整性。.

審計記錄同監控

IT 部門會維護全面嘅審計記錄，記錄所有存取機密資料嘅情況。呢啲記錄會捕捉用戶身分、存取過嘅資料、存取時間同埋執行過嘅操作等等嘅詳情。每季都會檢討審計記錄，以偵測任何未經授權存取或可疑活動嘅模式。如果發現任何違規行為， IT 部門會同合規官員合作，徹底調查呢件事。然後會採取適當措施去解決任何安全問題，包括對違反政策嘅個人採取紀律行動。.

緊急存取協定

喺特殊情況下，如果需要立即存取機密資料，以解決緊急情況，可以授予暫時存取權。呢類存取需要得到計劃主任或者授權代表嘅明確批准。緊急存取嘅要求必須記錄低，包括存取嘅理由同埋所需嘅具體資料。 IT 部門會授予臨時存取權，並監控根據呢個條文進行嘅所有活動。緊急存取權會喺唔再需要嘅時候立即撤銷，並且會進行事件後審查，以評估存取權嘅適當性，同埋喺必要嘅情況下更新政策或程序。.

合規同執行

所有喺呢個政策範圍內嘅個人都必須遵守呢個存取控制政策。如果唔遵守，可能會導致紀律處分，包括譴責、停職、終止僱傭或合約，如果違反法律，可能會採取法律行動。由於違規行為對客戶、合作夥伴同埋組織嘅名聲帶來潛在風險，所以組織會認真處理違規行為。所有員工都應該向佢哋嘅主管、合規官或者透過既定嘅報告渠道報告任何疑似違反呢個政策嘅行為，而唔使擔心會受到報復。.

定義

機密資料

機密資料係指任何受法律或監管框架保護嘅資料，包括但唔限於《醫療保險可移植性同問責法》（ HIPAA ）。呢啲包括個人健康資料（ PHI ）、個人識別資料（ PII ）、財務記錄、專有商業資料，同埋任何其他組織有義務保護免受未經授權披露嘅資料。.

基於角色嘅存取控制（ RBAC ）

基於角色嘅存取控制係一種安全方法，將存取權限分配畀組織內嘅特定角色，而唔係分配畀個別用戶。然後，用戶會根據佢哋嘅工作職能分配角色，呢個職能決定咗佢哋對系統同資訊嘅存取權水平。呢個方法可以確保用戶只可以存取佢哋角色所需嘅資料，從而簡化存取管理同埋增強安全性。.

最低特權原則

最低特權原則係一個安全概念，規定用戶應該獲得執行佢哋工作職能所需嘅最低級別存取權 —— 或者權限。透過限制存取權，組織可以減低未經授權存取敏感資料嘅風險，同埋將安全漏洞嘅潛在影響減至最低。.

相關政策

呢個存取控制政策係一套全面嘅政策嘅一部分，旨在保護機密資料同埋確保合規。其他相關政策包括：

• 數據私隱政策： 概述組織對保護個人資料嘅承諾，同埋指明處理呢啲資料嘅程序。.
• 資訊安全政策： 定義咗為咗保護組織嘅資訊資產免受未經授權嘅存取、網絡攻擊同埋數據洩露等威脅而採取嘅措施。.
• HIPAA 合規政策： 詳細講解遵守 HIPAA 法規處理受保護嘅健康資訊嘅具體要求同程序。.
• 員工保密協議： 所有員工都必須簽署嘅有約束力嘅協議，承認佢哋有責任保護機密資料。.

員工應該熟悉呢啲政策，同埋將佢哋嘅指引整合到佢哋嘅日常工作做法入面。.

參考文獻

醫療保險可移植性同問責法（ HIPAA ）

一項聯邦法律，係為咗保護敏感嘅病人健康資料，以免喺未經病人同意或者知情嘅情況下披露。處理 PHI 嘅組織需要實施行政、實體同技術保障措施，以確保電子受保護嘅健康資訊（ ePHI ）嘅機密性、完整性同安全性。.

CalAIM ECM 同 CS 計劃指南

州特定嘅指引，概述咗增強關懷管理同社區支援計劃嘅實施要求。呢啲指引提供咗有關計劃運作、參與者資格、數據報告同埋其他影響機密資料管理方式嘅重要方面嘅指示。.

組織嘅員工手冊

一個全面嘅資源，包含同員工行為、職場期望、保密義務同埋處理違規行為嘅程序有關嘅額外政策。呢本手冊補充咗呢個政策，提供咗更廣泛嘅背景同組織標準嘅指引。.

核准同審查

呢個存取控制政策由開始生效 [ 插入生效日期 ]. 。呢個政策會每年審查一次，或者根據監管要求、組織結構或者營運需要嘅變動而需要。政策嘅修訂必須得到計劃主任嘅批准，以確保同組織目標同合規任務一致。.

感謝

所有獲准存取機密資料嘅個人都需要簽署一份確認表格，確認佢哋已經閱讀、理解同埋同意遵守呢個存取控制政策。簽署嘅確認書會保留喺個人嘅人事檔案或者承包商記錄入面。透過簽署，個人確認咗佢哋承諾維護組織嘅數據保護同保密標準。.

結論

遵守呢個存取控制政策對於維持 CalAIM ECM 同 CS 計劃內敏感資料嘅機密性、完整性同可用性至關重要。透過遵循所概述嘅程序同指引，組織確保遵守法律同監管要求，保護個人私隱，同埋維護客戶、合作夥伴同社群對我哋嘅信任。所有人員都有集體責任，為一個安全同道德嘅工作環境作出貢獻，令機密資料以最高水平嘅細心同專業處理。.

1. 目的

呢個政策嘅目的係建立全面嘅程序，以便喺加州進步同創新醫療保險（ CalAIM ）增強關懷管理同社區支援（ ECM 同 CS ）計劃入面安全處理機密資料。透過實施呢啲程序，我哋嘅目標係確保完全遵守所有適用嘅聯邦同州法律，包括醫療保險可移植性同問責法（ HIPAA ）同埋加州私隱法規。安全處置對於防止未經授權嘅存取、披露或濫用敏感資料至關重要，從而保護個人私隱同維持 ECM & CS 計劃嘅完整性。.

2. 範圍

呢個政策適用於所有同 CalAIM ECM 同 CS 計劃相關嘅個人。呢個包括員工、承包商、義工同埋任何以任何身份處理機密資料嘅第三方夥伴。呢個範圍內嘅每個人都有責任理解同遵守呢個政策所概述嘅程序，以確保機密資料嘅安全處理。.

3. 定義

機密資料 係指任何受聯邦或州法律保護嘅資料。呢個包括但唔限於受保護嘅健康資料（ PHI ）、個人識別資料（ PII ）同埋敏感嘅組織資料。. 棄置 定義為以防止未經授權存取或重建資料嘅方式棄置或破壞包含機密資料嘅資料或媒體嘅行為。.

4. 政策聲明

所有機密資料都必須安全處理，以防止任何未經授權存取、披露或濫用嘅可能性。所採用嘅處置方法必須令到資料無法擷取同讀取。呢個政策要求嚴格遵守實體同電子記錄嘅安全處置做法，確保所有人員都明白同實施必要嘅程序。.

5. 程序

5.1實物記錄

所有包含機密資料嘅實物文件都必須喺處置過程中極度小心處理。喺處理之前，呢啲文件應該儲存喺安全嘅地方。特別係，佢哋應該放入鎖定嘅容器入面，用嚟儲存等待碎碎嘅機密材料。呢啲容器必須清楚標示為「機密 — 用於碎紙」，以防止意外存取或者處理錯誤。.

喺處理呢啲文件嗰陣，必須用橫切碎紙機喺現場破壞。橫切碎片可以確保文件被碎片化成唔可以重新組裝嘅小碎片，噉樣就可以保護入面所包含嘅資料。如果使用第三方碎片服務，必須要驗證服務供應商係咪經過認證同埋遵守嚴格嘅保密標準。服務供應商必須為每批被銷毀嘅文件提供一份銷毀證書，作為可驗證嘅合規記錄。.

主管有責任監督碎片化過程。佢哋必須驗證碎片係咪定期完成，並相應記錄。呢種監督確保處置過程係一致嘅，同埋冇任何機密資料會因為延誤或者程序失誤而仍然容易受到攻擊。.

5.2電子記錄

電子記錄需要特別注意，因為即使刪除之後，仍然有可能恢復資料。喺處理電子記錄嗰陣，必須使用安全嘅數據刪除軟件。軟件應該符合國防部嘅數據消毒標準（ DoD 5220.22-M ），呢個標準涉及多次覆寫數據，以防止任何恢復嘅可能性。.

對於無法安全擦拭嘅電子媒體，例如損壞嘅硬碟或者非功能性裝置，必須採用物理破壞方法。物理破壞可能包括消磁（將儲存媒介消磁）、碎裂或者焚化。呢啲方法確保數據唔可以用任何方法重建。.

對於處理伺服器、電腦、流動裝置同其他電子設備嚟講，同 IT 部門嘅協調係至關重要。 IT 部門負責確保喺處理、重新分配或者回收設備之前，所有資料都被安全擦除。佢哋必須遵循行業最佳做法，同埋保留處置過程嘅記錄。.

5.3便攜式儲存裝置

便攜式儲存裝置，例如 USB 驅動器、 CD 同 DVD ，由於佢哋嘅大小同便攜性，帶嚟一個獨特嘅風險。所有包含機密資料嘅便攜式儲存裝置嘅清單都要勤力維護。呢個清單應該包括詳細資料，例如裝置類型、包含嘅資料同埋目前嘅保管人。.

當唔再需要便攜式儲存裝置嗰陣，就要安全咁處理。物理破壞係首選方法，確保唔可以擷取數據。方法可能包括將裝置碎碎或者焚化，視乎所涉及嘅材料而定。.

5.4傳真機、打印機同复印機

好多現代傳真機、打印機同复印機都有內部記憶體，用嚟儲存裝置處理嘅文件副本。喺處理或者重新分配呢類設備之前，所有儲存咗嘅數據都要喺內部記憶體入面清除。如果唔咁做，可能會導致未經授權嘅人存取機密資料。.

如果設備係租用，並且會退回供應商，就必須確保供應商有合約義務安全地從設備記憶體中擦除所有資料。呢份協議應該以書面形式記錄，提供法律保護同確保合規。.

5.5第三方承包商

當第三方承包商參與處理機密資料嗰陣，需要進行嚴格審查，以驗證佢哋遵守呢個政策同所有法律要求。包括檢討佢哋處理機密資料嘅程序、認證同埋記錄。.

必須同所有第三方承包商簽訂書面協議，明確概述佢哋嘅保密義務同埋佢哋必須遵循嘅程序，以便安全處置。呢啲協議應該包括審計同驗證合規性嘅條文，確保承包商維持同組織一樣嘅高標準。.

6. 責任

所有員工都有責任遵守呢個政策，同埋立即向佢哋嘅主管或者合規官員報告任何違規或者潛在風險。警惕係防止未經授權存取機密資料嘅必要條件。.

主管必須確保佢哋嘅團隊成員遵守呢個政策。佢哋負責為安全處置做法提供必要嘅資源同支援，同埋及時報告任何問題或疑慮。.

IT 部門喺管理電子設備嘅安全處置方面發揮住至關重要嘅作用。佢哋嘅任務係實施數據破壞嘅技術解決方案，並根據需要向其他部門提供指導同支援。.

合規官員會監督整個組織嘅呢個政策嘅實施。呢個包括定期進行審計嚟評估合規性、解決任何確定嘅問題，同埋根據需要更新政策，以反映法律或者組織做法嘅變化。.

7. 培訓

為咗確保有效實施，所有員工同同事都必須接受有關安全處理機密資料嘅強制培訓。呢個培訓會喺請人嗰陣提供，之後每年都會提供。培訓將會涵蓋安全處置嘅重要性、要遵循嘅具體程序，同埋唔遵守嘅法律影響。持續嘅教育加強咗組織對保密嘅承諾，並且為人員提供有效履行佢哋責任嘅知識。.

8. 合規同執行

遵守呢個政策係必須嘅。如果唔遵守規定，可能會導致紀律處分，最高包括終止僱傭或合約。喺故意行為不當或者重大疏忽嘅情況下，亦都可能會採取法律行動。呢個組織致力執行呢個政策，以保護資料嘅機密性，同埋同客戶、合作夥伴同監管機構保持信任。.

9. 參考文獻

呢個政策係由幾項重要嘅法例同監管指引所提供，包括：

• 醫療保險可移植性同問責法（ HIPAA ）： 建立健康資訊保護嘅國家標準。.
• 加州醫療資訊保密法（ CMIA ）： 管理州內醫療資料嘅私隱。.
• 加州消費者私隱法（ CCPA ）： 為消費者提供有關佢哋個人資料嘅權利。.
• 衛生保健服務署（ DHCS ）嘅規例： 監督醫療保險同相關計劃。.

呢啲參考文獻提供咗呢個政策運作嘅法律框架，同埋強調咗合規嘅重要性。.

10. 審查同修訂

呢個政策會每年審查一次，以確保佢仍然符合法律要求同最佳做法。佢會根據需要修訂，以應對法例、技術或者組織程序嘅變化。人員嘅反饋同合規審計嘅結果將會提供任何必要嘅更新，確保政策可以不斷發展，以應對新出現嘅挑戰。.