2009-07-02 88 views

回答

3

HIPAA合規性要求訪問控制,信息完整性,審計控制,用戶身份驗證和傳輸安全性。與其他合規條例類似,有必要使用軟件,硬件或其他方法來監控和捕獲包含或使用電子PHI的信息系統中的用戶活動。電子PHI的安全性和完整性,必須防止任何未經授權的訪問,修改和刪除確保

「作爲HIPAA要求國會,隱私規則包括:

•健康計劃

•保健清算所

•以電子方式進行某些財務和行政交易的醫療保健提供者。這些電子交易是祕書根據HIPAA採用的標準,例如電子帳單和資金轉賬「

爲了能夠滿足HIPAA要求,實體必須不斷審計和報告所有訪問嘗試和事件與包含敏感PHI記錄的數據庫和對象相關 根據醫療機構實體的結構,監管人員定期執行HIPAA合規性驗證以確保其有效性。驗證頻率取決於上次驗證報告,並且在先前或持續正面的HIPAA合規 HIPAA行爲要求並不嚴格規定數據庫和IT安全的方法,但根據提供完整性的法規要求,con fidentiality,隱私,以及病人的健康信息的可用性,下面的步驟提供符合HIPAA:

•定義和數據庫對象記錄每個衛生機構員工

•定期審查許可配置所需的權限和修改權限爲了保持完整性,保密性和PHI的準確性權利記錄

•審計,保持並提供使用PHI的記錄

•分析,顯示RELAT事件的審計信息系統ED的PHI定期記錄,並根據需要

下面的一般操作是爲了遵守HIPAA法規建議採取行動:

•SQL Server環境那是安全的,並不斷控制。提供SQL Server系統安全性,持續審計系統事件,無論事件是內部還是外部事件。通過執行嚴格的規則來確保這一點,未經授權的方不可更改。將規則應用於與機密PHI數據(登錄名,數據庫,用戶,表格等)相關的所有SQL Server對象

設置規則後,審計並定期分析所有與安全相關的事件 - 特別注意權限SQL Server對象上的更改以及對PHI記錄的數據庫/表的訪問

•無論用戶來自何處(內部或外部),必須在與數據庫/數據庫相關的適當審計報告中監視和記錄他/表訪問權限更改。管理人員行爲也必須記錄在案 - 在審計時,常規用戶和管理員之間不得有任何區別

•使用安全且經過正式驗證的硬件和軟件。請注意常見的安全配置遺漏,如默認登錄名和密碼,入侵者經常在攻擊嘗試中使用

修改SQL Server上所有默認系統提供的安全參數。如果可能,請不要使用混合模式(啓用Windows和SQL Server身份驗證),只切換到Windows身份驗證。用於訪問SQL Server時,Windows身份驗證將確保Windows密碼策略 - 檢查密碼歷史記錄以及密碼長度和使用期限。 Windows密碼策略最重要的功能是登錄鎖定 - 在多次連續失敗的登錄嘗試後被鎖定以供進一步使用

•捕獲的審計信息的任何更改或篡改必須明顯,無論它是由外部或內部聚會。在合規性規定,入侵預防和潛在的安全漏洞調查方面需要進行篡改嘗試監控

+0

這是對HIPAA要求的清晰和簡潔的定義,並且比接受的答案更爲全面地回答了問題,該答案不會將HIPAA變爲帳戶。這也可以作爲社區維基內容,因此可以隨着法律的變化而更新 – 2015-11-30 22:57:49