从数据库设计开始,是否有针对HIPPA的审计跟踪实施的最佳实践。
答案 0 :(得分:3)
HIPAA合规性要求访问控制,信息完整性,审计控制,用户身份验证和传输安全性。与其他合规性规定类似,有必要使用软件,硬件或其他方法来监控和捕获包含或使用电子PHI的信息系统中的用户活动。必须确保电子PHI的安全性和完整性,以防止任何未经授权的访问,修改和删除
“根据国会在HIPAA的要求,隐私规则包括:
•健康计划
•医疗保健信息中心
•以电子方式进行某些财务和行政交易的医疗服务提供者。这些电子交易是秘书根据HIPAA采用的标准,如电子账单和资金转账“
为了能够满足HIPAA要求,实体必须不断审核并报告与包含敏感PHI记录的数据库和对象相关的所有访问尝试和事件 根据卫生机构实体的结构,主管定期对HIPAA合规性进行验证,以确保其有效性。验证频率取决于上一次验证报告,并且在HIPAA先前或持续正面的情况下,验证频率较低 HIPAA法案要求并未严格涉及数据库和IT安全性的方法。但是,根据有关提供患者健康信息的完整性,机密性,隐私性和可用性的法规要求,以下步骤符合HIPAA:
•定义并记录每个医疗机构员工所需的权限
•定期检查数据库对象的权限配置并修改访问权限,以保持PHI记录的完整性,机密性和准确性
•审核保留并提供PHI记录使用的系统
•分析定期显示与PHI记录相关的事件的审核信息,并在需要时采取措施
为了符合HIPAA规定,建议采取以下一般措施:
•一个安全且持续控制的SQL Server环境。提供SQL Server系统安全性,不断审核系统事件,无论事件是内部事件还是外部事件。通过强制执行未经授权方不可更改的严格规则来确保这一点。将规则应用于与机密PHI数据(登录,数据库,用户,表等)相关的所有SQL Server对象。
设置规则后,审核并定期分析与安全性相关的所有事件 - 特别注意对SQL Server对象的权限更改以及对具有PHI记录的数据库/表的访问
•无论用户来源(内部还是外部),在与数据库/表访问权限更改相关时,必须在适当的审计报告中监视并记录他/她的操作。管理人员的行为也必须记录在案 - 审计
时,常规用户和管理员之间必须没有区别•使用安全且经过官方验证的硬件和软件。注意入侵者在攻击尝试中经常使用的常见安全配置遗漏,如默认登录和密码
修改SQL Server上所有默认系统提供的安全性参数。如果可能,请不要使用混合模式(启用Windows和SQL Server身份验证),仅切换到Windows身份验证。当用于访问SQL Server时,Windows身份验证可确保Windows密码策略 - 检查密码历史记录,密码长度和生命周期。 Windows密码策略最重要的功能是登录锁定 - 在连续多次登录尝试失败后,它会被锁定以供进一步使用
•对捕获的审计信息的任何更改或篡改都必须明确,无论是由外部方还是内部方完成。在合规性法规,入侵防御和潜在的安全漏洞调查方面,需要进行篡改企图监控