据消息称，医疗机构应该执行“差距分析”以找出HIPAA合规中的薄弱问题。这个主意行得通吗？我们又该如何执行合规差距分析呢？

Mike Chapple：这绝对是个好主意。安全差距分析是经过时间检验的合规技术，非常适合受HIPAA、PCI DSS和其他安全及隐私法规监管的企业。差距分析或评估主要包括测量IT资产，看看它们是否符合预期的性能指标。安全或合规差距分析则会根据监管机构或标准组织规定的要求来衡量企业当前的合规工作。

企业在执行安全差距分析时，首先应该确定谁来执行评估。如果评估是供内部使用，则可让内部人员来执行评估—这里需要有资格来评估合规性的人员。在另一方面，如果评估将与外部利益相关方共享，企业可能希望聘请第三方审计公司来执行评估。

安全差距分析主要是评估企业的合规性与HIPAA规则是否相符。评估者应该记录企业如何遵守法规的各个部分，然后确定企业需要作出哪些修复以完全遵守法规。此外，这种差距评估可向企业领导层提供实现全面合规性的路线图。