审计跟踪和实施HIPAA最佳实践

Question

从数据库设计开始，HIPPA的审计跟踪实施是否有任何最佳做法？

Answer 1

HIPAA合规性要求访问控制，信息完整性，审计控制，用户身份验证和传输安全性。与其他合规条例类似，有必要使用软件，硬件或其他方法来监控和捕获包含或使用电子PHI的信息系统中的用户活动。电子PHI的安全性和完整性，必须防止任何未经授权的访问，修改和删除确保

“作为HIPAA要求国会，隐私规则包括：

•健康计划

•保健清算所

•以电子方式进行某些财务和行政交易的医疗保健提供者。这些电子交易是秘书根据HIPAA采用的标准，例如电子帐单和资金转账“

为了能够满足HIPAA要求，实体必须不断审计和报告所有访问尝试和事件与包含敏感PHI记录的数据库和对象相关 根据医疗机构实体的结构，监管人员定期执行HIPAA合规性验证以确保其有效性。验证频率取决于上次验证报告，并且在先前或持续正面的HIPAA合规 HIPAA行为要求并不严格规定数据库和IT安全的方法，但根据提供完整性的法规要求，con fidentiality，隐私，以及病人的健康信息的可用性，下面的步骤提供符合HIPAA：

•定义和数据库对象记录每个卫生机构员工

•定期审查许可配置所需的权限和修改权限为了保持完整性，保密性和PHI的准确性权利记录

•审计，保持并提供使用PHI的记录

•分析，显示RELAT事件的审计信息系统ED的PHI定期记录，并根据需要

下面的一般操作是为了遵守HIPAA法规建议采取行动：

•SQL Server环境那是安全的，并不断控制。提供SQL Server系统安全性，持续审计系统事件，无论事件是内部还是外部事件。通过执行严格的规则来确保这一点，未经授权的方不可更改。将规则应用于与机密PHI数据（登录名，数据库，用户，表格等）相关的所有SQL Server对象

设置规则后，审计并定期分析所有与安全相关的事件 - 特别注意权限SQL Server对象上的更改以及对PHI记录的数据库/表的访问

•无论用户来自何处（内部或外部），必须在与数据库/数据库相关的适当审计报告中监视和记录他/表访问权限更改。管理人员行为也必须记录在案 - 在审计时，常规用户和管理员之间不得有任何区别

•使用安全且经过正式验证的硬件和软件。请注意常见的安全配置遗漏，如默认登录名和密码，入侵者经常在攻击尝试中使用

修改SQL Server上所有默认系统提供的安全参数。如果可能，请不要使用混合模式（启用Windows和SQL Server身份验证），只切换到Windows身份验证。用于访问SQL Server时，Windows身份验证将确保Windows密码策略 - 检查密码历史记录以及密码长度和使用期限。 Windows密码策略最重要的功能是登录锁定 - 在多次连续失败的登录尝试后被锁定以供进一步使用

•捕获的审计信息的任何更改或篡改必须明显，无论它是由外部或内部聚会。在合规性规定，入侵预防和潜在的安全漏洞调查方面需要进行篡改尝试监控