从数据库设计开始,HIPPA的审计跟踪实施是否有任何最佳做法?审计跟踪和实施HIPAA最佳实践
回答
HIPAA合规性要求访问控制,信息完整性,审计控制,用户身份验证和传输安全性。与其他合规条例类似,有必要使用软件,硬件或其他方法来监控和捕获包含或使用电子PHI的信息系统中的用户活动。电子PHI的安全性和完整性,必须防止任何未经授权的访问,修改和删除确保
“作为HIPAA要求国会,隐私规则包括:
•健康计划
•保健清算所
•以电子方式进行某些财务和行政交易的医疗保健提供者。这些电子交易是秘书根据HIPAA采用的标准,例如电子帐单和资金转账“
为了能够满足HIPAA要求,实体必须不断审计和报告所有访问尝试和事件与包含敏感PHI记录的数据库和对象相关 根据医疗机构实体的结构,监管人员定期执行HIPAA合规性验证以确保其有效性。验证频率取决于上次验证报告,并且在先前或持续正面的HIPAA合规 HIPAA行为要求并不严格规定数据库和IT安全的方法,但根据提供完整性的法规要求,con fidentiality,隐私,以及病人的健康信息的可用性,下面的步骤提供符合HIPAA:
•定义和数据库对象记录每个卫生机构员工
•定期审查许可配置所需的权限和修改权限为了保持完整性,保密性和PHI的准确性权利记录
•审计,保持并提供使用PHI的记录
•分析,显示RELAT事件的审计信息系统ED的PHI定期记录,并根据需要
下面的一般操作是为了遵守HIPAA法规建议采取行动:
•SQL Server环境那是安全的,并不断控制。提供SQL Server系统安全性,持续审计系统事件,无论事件是内部还是外部事件。通过执行严格的规则来确保这一点,未经授权的方不可更改。将规则应用于与机密PHI数据(登录名,数据库,用户,表格等)相关的所有SQL Server对象
设置规则后,审计并定期分析所有与安全相关的事件 - 特别注意权限SQL Server对象上的更改以及对PHI记录的数据库/表的访问
•无论用户来自何处(内部或外部),必须在与数据库/数据库相关的适当审计报告中监视和记录他/表访问权限更改。管理人员行为也必须记录在案 - 在审计时,常规用户和管理员之间不得有任何区别
•使用安全且经过正式验证的硬件和软件。请注意常见的安全配置遗漏,如默认登录名和密码,入侵者经常在攻击尝试中使用
修改SQL Server上所有默认系统提供的安全参数。如果可能,请不要使用混合模式(启用Windows和SQL Server身份验证),只切换到Windows身份验证。用于访问SQL Server时,Windows身份验证将确保Windows密码策略 - 检查密码历史记录以及密码长度和使用期限。 Windows密码策略最重要的功能是登录锁定 - 在多次连续失败的登录尝试后被锁定以供进一步使用
•捕获的审计信息的任何更改或篡改必须明显,无论它是由外部或内部聚会。在合规性规定,入侵预防和潜在的安全漏洞调查方面需要进行篡改尝试监控
- 1. 审计跟踪和实施SOX/HIPAA /等敏感数据的最佳实践
- 2. 最佳实践:跟踪横幅印象
- 3. Bug跟踪的最佳实践
- 4. 跟踪PRISM/CAL事件(最佳实践?)
- 5. Symfony的审计日志,最佳实践
- 6. 最佳实践:iAds到iPhone的实施
- 7. 实施IModelBinder时的最佳实践
- 8. 实施哈希的最佳实践?
- 9. Azure ACS - 最佳实践实施
- 10. 缓存实施的最佳实践
- 11. NoSql/Raven DB实施最佳实践
- 12. X509证书实施最佳实践
- 13. 最佳实践实施时copyWithZone:
- 14. 多货币最佳实践与实施
- 15. 执行定期审计和最佳实践
- 16. 用户登录审核 - 最佳实践
- 17. 最佳VHDL设计实践
- 18. VB.NET最佳实践和设计类
- 19. modalPanel和设计最佳实践
- 20. 最佳实践
- 21. 最佳实践
- 22. 最佳实践
- 23. 最佳实践
- 24. 最佳实践
- 25. 最佳实践
- 26. 最佳实践
- 27. 最佳实践
- 28. 最佳实践
- 29. 最佳实践
- 30. 最佳实践?
这是对HIPAA要求的清晰和简洁的定义,并且比接受的答案更为全面地回答了问题,该答案不会将HIPAA变为帐户。这也可以作为社区维基内容,因此可以随着法律的变化而更新 – 2015-11-30 22:57:49