有一个 HIPAA 安全规则建立了总体目标。

http://www.hhs.gov/ocr/privacy/hipaa/administrative/securityrule/index.html

除此之外，还有一个即将出台的 ONC NwHIN 治理规则，该规则应该建立额外的互操作性和信任条件，我首先指出 PCI 是安全标准的一个很好的模型。（该治理规则将适用于 NwHIN 认证的实体，而 HHS 民权办公室制定的规则适用于所有符合 HIPAA 的组织）。

我已经通过健康计划和医院的通用“HIPAA”审核（吓人的引号是因为在 OCR 操作之外，没有什么可以称为官方 HIPAA 认证或审核）和 PCI 合规性审核，而 PCI 合规性是更严格的过程。

一般来说，如果您遵守 PCI（由于不同的风险而进行了合理的调整 - 持卡人数据的披露与 PHI 的披露），您将远远超过 HIPAA 涵盖实体和 BA 的通常做法。

HIPAA 描述了（在高层次上）一些要遵循的政策，而 HITECH 立法进一步定义了其中的一些规定。您可以查看Wikipedia HIPAA 文章以了解有关这些规定的更多详细信息。

这些规定在美国是必需的，我不确定其他国家。没有像 PCI 这样的全球标准，因为医疗保健往往会因国家而异。

PCI 具有总体要求（目标）和有关如何完成这些要求（控制）的详细信息。HIPAA 仅限于总体要求，并没有指定审核具体细节以被认证为安全合规。

在 HIPAA 安全合规性的世界中，实施最佳实践以防止信息的不当披露是存在的。