HIPAA krav til logning

HIPAA Audit Controls regler fastslår, at " Virksomheder har fleksibilitet til at implementere standarden på en måde, der passer til deres behov , som det skønnes nødvendigt af deres egne risikoanalyser ". Dette efterlader nogle gråzone , at hver berørt part eller organisation skal beslutte for sig selv , når de udvikler computer login og logout procedurer , blandt andet informationsteknologi procedurer. Men med så mange faciliteter og virksomheder, der arbejder med den føderale regering til at overholde , har fælles standarder opstået.
Generelle hændelser

Information systemserverne skal være i stand til at fange og optage logning af data for langsigtede optegnelser. Især bør hændelser relateret til logning omfatte vellykkede og mislykkede login-forsøg , logouts , ændringer i brugerkonti, ændringer privilegieniveauer , brug af privilegerede konti og forsyningsselskaber, timeouts tilfælde af overdreven mislykkede logins og eventuelle begivenheder, hvor en bruger logger ud og en anden logger på umiddelbart derefter.
overvågningsaktiviteter

Systemadministratorer har et særligt ansvar for at sikre logning overholdelse. Mistænkelige begivenheder såsom flere mislykkede logins eller enhver login angreb mod systemet kræve opfølgning med undersøgelsen. Brugerne bør være forpligtet til at have meget stærke og generelt komplekse passwords. Mistænkelige hændelser bør gennemgås med embedsmænd ledelse . Systemerne bør korrelere ændringer i systemer og filer til den bruger, der udførte dem.
General Controls

Organisationer har brug for at have detaljerede optegnelser af hvilket system der er i stand til logning hvilke stykker information. De skal også holde omhyggelig styr på, hvilke brugere udføre hvilke opgaver i hvilke systemer . Logins bør give systemadministratorer og organisationens ledere med et revisionsspor , der viser, hvad den enkelte bruger har gjort i hvert eneste system .
Hoteltilbud