審計跟蹤和實施HIPAA最佳實踐

Question

從數據庫設計開始，HIPPA的審計跟蹤實施是否有任何最佳做法？

Answer 1

HIPAA合規性要求訪問控制，信息完整性，審計控制，用戶身份驗證和傳輸安全性。與其他合規條例類似，有必要使用軟件，硬件或其他方法來監控和捕獲包含或使用電子PHI的信息系統中的用戶活動。電子PHI的安全性和完整性，必須防止任何未經授權的訪問，修改和刪除確保

「作爲HIPAA要求國會，隱私規則包括：

•健康計劃

•保健清算所

•以電子方式進行某些財務和行政交易的醫療保健提供者。這些電子交易是祕書根據HIPAA採用的標準，例如電子帳單和資金轉賬「

爲了能夠滿足HIPAA要求，實體必須不斷審計和報告所有訪問嘗試和事件與包含敏感PHI記錄的數據庫和對象相關 根據醫療機構實體的結構，監管人員定期執行HIPAA合規性驗證以確保其有效性。驗證頻率取決於上次驗證報告，並且在先前或持續正面的HIPAA合規 HIPAA行爲要求並不嚴格規定數據庫和IT安全的方法，但根據提供完整性的法規要求，con fidentiality，隱私，以及病人的健康信息的可用性，下面的步驟提供符合HIPAA：

•定義和數據庫對象記錄每個衛生機構員工

•定期審查許可配置所需的權限和修改權限爲了保持完整性，保密性和PHI的準確性權利記錄

•審計，保持並提供使用PHI的記錄

•分析，顯示RELAT事件的審計信息系統ED的PHI定期記錄，並根據需要

下面的一般操作是爲了遵守HIPAA法規建議採取行動：

•SQL Server環境那是安全的，並不斷控制。提供SQL Server系統安全性，持續審計系統事件，無論事件是內部還是外部事件。通過執行嚴格的規則來確保這一點，未經授權的方不可更改。將規則應用於與機密PHI數據（登錄名，數據庫，用戶，表格等）相關的所有SQL Server對象

設置規則後，審計並定期分析所有與安全相關的事件 - 特別注意權限SQL Server對象上的更改以及對PHI記錄的數據庫/表的訪問

•無論用戶來自何處（內部或外部），必須在與數據庫/數據庫相關的適當審計報告中監視和記錄他/表訪問權限更改。管理人員行爲也必須記錄在案 - 在審計時，常規用戶和管理員之間不得有任何區別

•使用安全且經過正式驗證的硬件和軟件。請注意常見的安全配置遺漏，如默認登錄名和密碼，入侵者經常在攻擊嘗試中使用

修改SQL Server上所有默認系統提供的安全參數。如果可能，請不要使用混合模式（啓用Windows和SQL Server身份驗證），只切換到Windows身份驗證。用於訪問SQL Server時，Windows身份驗證將確保Windows密碼策略 - 檢查密碼歷史記錄以及密碼長度和使用期限。 Windows密碼策略最重要的功能是登錄鎖定 - 在多次連續失敗的登錄嘗試後被鎖定以供進一步使用

•捕獲的審計信息的任何更改或篡改必須明顯，無論它是由外部或內部聚會。在合規性規定，入侵預防和潛在的安全漏洞調查方面需要進行篡改嘗試監控