HIPAA Logging Eisen

De Gezondheid Informatie Draagbaarheid en Accountability Act ( HIPAA ) Veiligheid Rule kwam in uiteindelijke effect in 2006 waarbij 18 waarborg normen voor hoe zorgverleners en verzekeraars beheren patiëntinformatie . Alle betrokken instanties moeten in volledige overeenstemming of ze kunnen rechtszaken geconfronteerd , verlies van het bedrijfsleven en - voor Medicare deelnemers - sancties door de Centers for Medicare Services. In 2009 , The American Recovery and Reinvestment Act versterkt de duw voor HIPAA naleving door het geven van het Amerikaanse ministerie van Volksgezondheid en Human Services de opdracht om de ontwikkeling van een landelijk interoperabele Gezondheid IT -infrastructuur Provider Flexibiliteit

bevorderen The HIPAA Audit Controls regels vast te stellen dat , " Entiteiten moeten flexibiliteit om de uitvoering van de standaard in een wijze die past bij hun behoeften als door hun eigen risicoanalyses noodzakelijk wordt geacht. " Dit laat een aantal grijze gebied dat elke betrokken partij of organisatie moet beslissen voor zichzelf bij het ontwikkelen van computer login en logout procedures , onder andere informatietechnologie procedures. Echter, met zo veel faciliteiten en bedrijven die werken met de federale overheid te voldoen , gemeenschappelijke normen naar voren zijn gekomen .
Algemeen Evenementen

Informatiesysteem servers moeten in staat zijn om vast te leggen en opnemen logging data voor de lange termijn verslagen . In het bijzonder moet gebeurtenissen met betrekking tot houtkap omvatten succesvolle en mislukte login pogingen , afmeldingen , wijzigingen in gebruikersaccounts , wijzigingen in privileges van , gebruik van bevoorrechte rekeningen en nutsbedrijven, time-outs , gevallen van overmatige mislukte aanmeldingen en alle evenementen waaraan een gebruiker uitlogt en een ander programma opent onmiddellijk daarna
.
Monitoring Activiteiten

Systeembeheerders hebben een speciale verantwoordelijkheid om logging naleving te waarborgen. Verdachte gebeurtenissen zoals meerdere mislukte aanmeldingen of login aanvallen op het systeem nodig follow-up onderzoek. Gebruikers moeten worden verplicht om zeer sterk en over het algemeen complexe wachtwoorden . Verdachte gebeurtenissen moeten worden beoordeeld met het management ambtenaren . Systemen moeten wijzigingen in systemen en bestanden koppelen aan een gebruiker die ze verricht .
General Controls

Organisaties moeten gedetailleerde verslagen bij van welk systeem in staat is om logging hebben die stukken informatie . Ze moeten ook voorzichtig zijn bij te houden welke gebruikers uitvoeren houden welke taken in welke systemen . Logins moeten systeembeheerders en organisatie managers te voorzien van een audit trail die laat zien wat elke gebruiker heeft gedaan in elk systeem .