監査証跡とHIPAAベストプラクティスの実装

Question

データベース設計から始まるHIPPAの監査証跡実装のベストプラクティスはありますか？

Answer 1

HIPAAに準拠するには、アクセス制御、情報の完全性、監査制御、ユーザー認証、および伝送セキュリティが必要です。他のコンプライアンス規制と同様に、電子PHIを使用または使用する情報システムでのユーザー活動の監視および取得を提供するソフトウェア、ハードウェア、またはその他の方法を使用する必要があります。セキュリティと整合性の電子PHIの不正アクセスに対して保証されなければならない、変更、削除

「HIPAAに議会で要求されているように、個人情報保護ルールがカバー：

を健康ヘルスケア•

を計画していますクリアリングハウス

•電子的に特定の財務上および取引上の取引を行うヘルスケア提供者。これらの電子取引は、HIPAAの長官がHIPAAの電子決済や資金移動などの標準を採用したものである。

HIPAAの要件を満たすには、エンティティは常にすべてのアクセス試行とイベント機密性の高いPHIレコードを含むデータベースとオブジェクトに関連しています 医療機関の組織に応じて、監督者はHIPAA準拠の検証を定期的に実施し、その有効性を確認します。または一定の正のHIPAA準拠 HIPAAの行動要件は、データベースおよびITセキュリティのための方法に厳密に対処していませんが、整合性を提供するための規則要件に従って、 fidentiality、プライバシー、および患者の健康情報の可用性、次の手順は、HIPAAのコンプライアンスを提供します。

••定期的にデータベースオブジェクトのアクセス許可の設定を確認し、アクセスを変更

を定義し、各保健機関の従業員のために必要な権限を文書化PHIの完全性、機密性、および精度を維持するために権利が

•監査保持し、PHIの使用は

•はrelatイベントを表示、監査情報を分析し記録し提供するシステムを記録しますPHIへのedは、定期的に記録し、必要な場合に行動を取る

次の一般的なアクションは、HIPAAの規制を遵守するために推奨されています：

安全で一定に制御だSQL Server環境ます。イベントが内部であれ外部であれ、システムイベントの継続的な監査でSQL Serverシステムセキュリティを提供します。権限のない当事者によって厳格な規則を変更することによってこれを確実にしてください。

ルールが設定された後、セキュリティに関連するすべてのイベントを監査し、定期的に分析します。特に、許可に注意してください（特に、セキュリティに関連するすべてのイベントを監査します）。 SQL Serverオブジェクトの変更、およびPHIレコードを使用したデータベース/テーブルへのアクセス

•ユーザーの起源が何であっても（内部または外部）、データベース/データベースに関連する場合、テーブルのアクセス権が変更されます。管理者の操作も文書化する必要があります。監査に関しては、通常のユーザーと管理者に違いはありません。

•安全で正式に検証されたハードウェアとソフトウェアを使用してください。攻撃の試みで侵入者によって頻繁に使用される、デフォルトのログインやパスワードなどの一般的なセキュリティ構成の省略に注意してください。

SQL Serverのすべての既定のシステム提供のセキュリティパラメータを変更します。可能であれば、混在モード（Windows認証とSQL Server認証の両方を有効にする）を使用せず、Windows認証のみに切り替えます。 SQL Serverにアクセスするために使用される場合、Windows認証は、パスワードの履歴とパスワードの長さと寿命を確認するWindowsパスワードポリシーを保証します。 Windowsパスワードポリシーの最も重要な機能は、ログインロックアウトです。連続して失敗したログオン試行が数回続いた場合には、ロックされます。

•キャプチャされた監査情報の変更や改ざんは、外部または内部の当事者。