HIPAA krav til logning

The Health Information Mobilitet og Accountability Act ( HIPAA ) Sikkerhed regel trådte i endelige effekt i 2006 til 18 beskyttelsesforanstaltninger standarder for , hvordan sundhedspersonale og forsikringsselskaber styre patientoplysninger. Alle omfattede enheder skal være i fuld overensstemmelse eller de kan stå over for retssager , tab af forretning og - for Medicare deltagere - sanktioner fra Centers for Medicare Services. I 2009 Den amerikanske Nyttiggørelse og Reinvestering Act styrkede fremstød for HIPAA overholdelse ved at give det amerikanske Department of Health and Human Services mandat til at fremme udviklingen af ​​en landsdækkende interoperable Sundheds IT-infrastruktur Provider Fleksibilitet

HIPAA Audit Controls regler fastslår, at " Virksomheder har fleksibilitet til at implementere standarden på en måde, der passer til deres behov , som det skønnes nødvendigt af deres egne risikoanalyser ". Dette efterlader nogle gråzone , at hver berørt part eller organisation skal beslutte for sig selv , når de udvikler computer login og logout procedurer , blandt andet informationsteknologi procedurer. Men med så mange faciliteter og virksomheder, der arbejder med den føderale regering til at overholde , har fælles standarder opstået.
Generelle hændelser

Information systemserverne skal være i stand til at fange og optage logning af data for langsigtede optegnelser. Især bør hændelser relateret til logning omfatte vellykkede og mislykkede login-forsøg , logouts , ændringer i brugerkonti, ændringer privilegieniveauer , brug af privilegerede konti og forsyningsselskaber, timeouts tilfælde af overdreven mislykkede logins og eventuelle begivenheder, hvor en bruger logger ud og en anden logger på umiddelbart derefter.
overvågningsaktiviteter

Systemadministratorer har et særligt ansvar for at sikre logning overholdelse. Mistænkelige begivenheder såsom flere mislykkede logins eller enhver login angreb mod systemet kræve opfølgning med undersøgelsen. Brugerne bør være forpligtet til at have meget stærke og generelt komplekse passwords. Mistænkelige hændelser bør gennemgås med embedsmænd ledelse . Systemerne bør korrelere ændringer i systemer og filer til den bruger, der udførte dem.
General Controls

Organisationer har brug for at have detaljerede optegnelser af hvilket system der er i stand til logning hvilke stykker information. De skal også holde omhyggelig styr på, hvilke brugere udføre hvilke opgaver i hvilke systemer . Logins bør give systemadministratorer og organisationens ledere med et revisionsspor , der viser, hvad den enkelte bruger har gjort i hvert eneste system .
Hoteltilbud

Medicare