HIPAA Requisiti di registrazione

The Health Information Portability e Accountability Act ( HIPAA ) Regola di sicurezza entrate in vigore definitiva nel 2006 a 18 norme di salvaguardia che regolano come gli operatori sanitari e gli assicuratori gestire le informazioni sul paziente . Tutti i soggetti contemplati devono essere pienamente conformi o possono affrontare cause legali , perdita di affari e - per i partecipanti Medicare - sanzioni da parte i Centri per Medicare Services. Nel 2009 , la legge Recovery and Reinvestment rafforzato la spinta per la conformità HIPAA , dando il Dipartimento di Salute e Servizi Umani degli Stati Uniti il mandato di promuovere lo sviluppo di una nazione Provider infrastruttura IT Salute interoperabile Flessibilità

HIPAA Audit Controls regole stabilire che , " Enti hanno la flessibilità per implementare lo standard in maniera adeguata alle loro esigenze , come ritenuto necessario da analisi proprio rischio e pericolo . " Questo lascia qualche zona grigia che ogni partito o organizzazione interessata deve decidere da sé quando lo sviluppo di procedure di login del computer e logout , tra le altre procedure informatiche . Tuttavia, con tanti servizi e aziende che lavorano con il governo federale a rispettare , sono emerse standard comuni .
Eventi generali

server del sistema di informazioni devono essere in grado di catturare e registrare i dati di registrazione per registrazioni a lungo termine. In particolare , gli eventi legati alla registrazione dovrebbero comprendere tentativi riusciti e falliti di login , logout , modifiche agli account utente , modifiche ai livelli di privilegio , l'uso di account privilegiati e utilità , i timeout , i casi di eccessivi accessi non riusciti e gli eventi in cui un utente si disconnette e un altro tronchi in subito dopo .
amministratori monitoraggio Attività

sistema hanno responsabilità particolari per garantire la conformità registrazione. Eventi sospetti come molteplici accessi non riusciti o tutti gli attacchi contro il sistema di accesso richiedono follow -up con l'inchiesta . Gli utenti dovrebbero essere tenuti ad avere le password molto forte e generalmente complesse . Eventi sospetti devono essere riesaminati con i funzionari di gestione . I sistemi devono correlare i cambiamenti nei sistemi e file all'utente che li esegue . Controlli
Generale

organizzazioni devono avere un registro dettagliato di quale sistema è in grado di logging quali pezzi di informazioni . Hanno anche bisogno di tenere traccia accurata degli utenti che eseguono compiti quello in cui i sistemi . Accessi dovrebbero fornire agli amministratori di sistema e responsabili dell'organizzazione con una pista di controllo che mostra ciò che ogni utente ha fatto in ogni sistema.