HIPAA Wymagania pozyskujących
Zdrowie Informacje przenoszenia i Accountability Act ( HIPAA ) Reguła Bezpieczeństwa weszła w życie w 2006 r. wymagające ostatecznego 18 standardów ochronnych dotyczących służby zdrowia , jak i ubezpieczycieli zarządzać informacji o pacjencie . Wszystkie objęte podmioty muszą być w pełni zgodne i można je zmierzyć sprawy sądowe , utratę biznesu i - dla Medicare uczestników - sankcje nałożone przez Centers for Medicare Services. W 2009 r., UstawaAmerykański wyzdrowienia i Reinvestment wzmocnił dążyć do zgodności HIPAA , dając amerykańskiego Departamentu Zdrowia i Usług Społecznych mandatu do wspierania rozwoju ogólnopolskiej elastyczność infrastruktury IT interoperacyjne Zdrowie Dostawcy
Kontrola zasady HIPAA Audyt ustalenie , że " podmioty mają swobodę w zakresie wdrażania standardów w sposób właściwy do ich potrzeb , jak uzna to za konieczne analizuje własne ryzyko . " To pozostawia pewien , że każdy szary obszar dotyczy partia lub organizacja musi decydować za siebie przy opracowywaniu procedury logowania i wylogowania komputera , między innymi procedur informatycznych . Jednak z tak wielu udogodnień i firm współpracujących z rządem federalnym , aby spełniać wspólne normy pojawiły.
Ogólne Wydarzenia
serwery systemu informacji muszą być w stanie uchwycić i zapis danych logowania do ewidencji długoterminowych. W szczególności , zdarzenia związane z pozyskiwaniem drewna powinna zawierać udanych i nieudanych prób logowania , wylogowania , zmiany kont użytkowników , zmiany w poziomach przywilej korzystania z uprzywilejowanych kont i narzędzi , limity czasu , wystąpienia nadmiernych nieudanych logowań i żadnych wydarzeń , w której jeden użytkownik loguje się i kolejne dzienniki w niezwłocznie. Imperium administratorom monitorowanie czynności
systemowe mają szczególne obowiązki w celu zapewnienia zgodności rejestrowania. Podejrzane wydarzenia , takie jak wielu nieudanych logowań logowania lub jakichkolwiek ataków przeciwko systemu wymaga również kontynuowanie dochodzenia . Użytkownicy powinni być zobowiązani do uzyskania bardzo silne i zwykle skomplikowanych haseł . Podejrzane wydarzenia powinny być recenzja z urzędników zarządzających. Systemy powinny korelować zmiany w systemach i plikach do użytkownika, który je w wykonaniu . Kontroluje
Ogólne
Organizacje muszą mieć szczegółowe zapisy , których układ jest zdolny do rejestrowania , które kawałki informacji . Muszą także prowadzić dokładny zapis z których użytkownicy wykonywać jakie zadania , w których systemy . Loginy powinny zapewnić administratorom systemów i menedżerów organizacji z audytu , który pokazuje , co każdy użytkownik dokonał w każdej i każdego systemu . Imperium