从数据库设计开始,是否有任何 HIPPA 审计跟踪实施的最佳实践。
问问题
3192 次
1 回答
3
HIPAA 合规性要求访问控制、信息完整性、审计控制、用户身份验证和传输安全。与其他合规性法规类似,有必要使用软件、硬件或其他方法来监控和捕获包含或使用电子 PHI 的信息系统中的用户活动。必须确保电子 PHI 的安全性和完整性,以防止任何未经授权的访问、修改和删除
“根据国会在 HIPAA 中的要求,隐私规则涵盖:
• 健康计划
• 医疗保健信息交换所
• 以电子方式进行某些财务和行政交易的医疗保健提供者。这些电子交易是部长根据 HIPAA 采用的标准,例如电子账单和资金转账”
为了能够满足 HIPAA 要求,实体必须不断审计和报告与包含敏感 PHI 记录的数据库和对象相关的所有访问尝试和事件 根据卫生机构实体的结构,主管定期执行 HIPAA 合规性验证,以确保其有效性。验证频率取决于最后的验证报告,并且在以前或持续积极的 HIPAA 合规性的情况下频率较低 HIPAA 法案要求并未严格解决数据库和 IT 安全的方法。但是,根据有关提供患者健康信息的完整性、机密性、隐私性和可用性的法规要求,以下步骤可确保符合 HIPAA:
• 定义并记录每个医疗机构员工所需的权限
• 定期审查数据库对象的权限配置并修改访问权限,以维护 PHI 记录的完整性、机密性和准确性
• 审核保存并提供 PHI 记录使用的系统
• 定期分析显示与 PHI 记录相关的事件的审计信息,并在需要时采取措施
为了遵守 HIPAA 法规,建议采取以下一般措施:
• 安全且持续受控的 SQL Server 环境。通过对系统事件(无论是内部事件还是外部事件)的持续审核,为 SQL Server 系统提供安全性。通过执行未经授权方不可更改的严格规则来确保这一点。将规则应用于与机密 PHI 数据(登录名、数据库、用户、表等)相关的所有 SQL Server 对象
设置规则后,审核并定期分析所有与安全相关的事件 - 特别注意 SQL Server 对象的权限更改,以及对具有 PHI 记录的数据库/表的访问
• 无论用户来源是什么(内部或外部),当与数据库/表访问权限更改相关时,必须监控他/她的行为并将其记录在适当的审计报告中。管理人员的行为也必须记录在案——在审计方面,普通用户和管理员之间必须没有区别
• 使用安全且经过官方验证的硬件和软件。注意常见的安全配置遗漏,例如默认登录名和密码,入侵者在攻击尝试中经常使用这些遗漏
修改 SQL Server 上所有默认系统提供的安全参数。如果可能,不要使用混合模式(同时启用 Windows 和 SQL Server 身份验证),仅切换到 Windows 身份验证。当用于访问 SQL Server 时,Windows 身份验证可确保 Windows 密码策略 - 检查密码历史记录、密码长度和有效期。Windows 密码策略最重要的功能是登录锁定 - 在多次连续登录尝试失败后,它会被锁定以供进一步使用
• 任何对捕获的审计信息的更改或篡改都必须是显而易见的,无论是由外部还是内部方进行。在合规性法规、入侵预防和潜在安全漏洞调查方面需要对篡改尝试进行监控
于 2014-03-10T15:15:53.180 回答