감사 추적 및 HIPAA 모범 사례 구현

Question

데이터베이스 디자인으로 시작하는 HIPPA의 감사 추적 구현을위한 모범 사례가 있습니까?

Answer 1

HIPAA 준수에는 액세스 제어, 정보 무결성, 감사 제어, 사용자 인증 및 전송 보안이 필요합니다. 다른 규정 준수 규정과 마찬가지로 전자 PHI를 포함하거나 사용하는 정보 시스템에서 사용자 활동을 모니터링하고 캡처하는 소프트웨어, 하드웨어 또는 기타 방법을 사용해야합니다. 전자 건강 정보의 보안 및 무결성이 무단 액세스, 변경, 삭제에 대해 보장되어야

"HIPAA 의회에서 요구하는 바와 같이, 개인 정보 보호 규칙 커버 :

건강 •

건강 관리 •

계획 클리어링 하우스

• 특정 재정 및 행정 거래를 전자 방식으로 수행하는 의료 서비스 제공자. 이러한 전자 거래는 HIPAA의 장관이 HIPAA에서 전자 청구서 및 자금 이체와 같은 표준을 채택한 거래입니다. "

HIPAA 요구 사항을 충족하려면 기업은 지속적으로 모든 액세스 시도 및 이벤트를 감사하고보고해야합니다 민감한 PHI 기록을 포함하는 데이터베이스와 객체 관련 감독 기관은 건강 기관 실체의 구조에 따라 HIPAA 준수 검증을 정기적으로 수행하여 효력을 보장합니다. 검증 빈도는 마지막 검증 보고서에 따라 다르며 이전의 경우 빈도가 적습니다 또는 지속적으로 긍정적 인 HIPAA 준수 HIPAA 행동 요구 사항은 데이터베이스 및 IT 보안 방법을 엄격하게 다루지는 않지만 무결성 제공에 대한 규정 요구 사항에 따라

• 정의 및 데이터베이스 오브젝트에 각 보건 기관 직원 주기적으로 검토 권한 구성 •

에 필요한 권한을 문서화하고 액세스를 수정 fidentiality은, 개인 정보 보호 및 환자의 건강 정보의 가용성, 다음 단계는 HIPAA 준수를 제공 파이의 무결성, 기밀성 및 정확성을 유지하기 위해 권한

• 감사 유지하고 PHI의 사용

•이 relat 이벤트를 표시 감사 정보를 분석 기록 제공 시스템을 기록 피 에드는 주기적으로 기록하고, 다음과 같은 일반 작업이 HIPAA 규정을 준수하기 위해 권장

를 필요한 경우 조치를 취할 : 안전하고 지속적으로 관리의 SQL 서버 환경 •

. 내부 또는 외부의 시스템 이벤트를 지속적으로 감사하여 SQL Server 시스템 보안을 제공하십시오. 허가받지 않은 당사자가 엄격한 규칙을 변경하지 않아도되도록하십시오. 기밀 PHI 데이터 (로그인, 데이터베이스, 사용자, 테이블 등)와 관련된 모든 SQL Server 개체에 규칙을 적용하십시오.

규칙을 설정하면 보안과 관련된 모든 이벤트를 감사하고 주기적으로 분석합니다. 특히 권한에주의하십시오 SQL Server 개체 변경 및 PHI 레코드가있는 데이터베이스/테이블에 대한 액세스

• 사용자 출처가 (내부 또는 외부) 어떤 것이 든 데이터베이스/데이터베이스와 관련된 경우 해당 감사 보고서에서 해당 작업을 모니터링하고 문서화해야합니다. 테이블 액세스 권한이 변경됩니다.관리자의 작업도 문서화해야합니다. 일반 사용자와 관리자는 감사 할 때 차이가 없어야합니다.

• 안전하고 공식적으로 확인 된 하드웨어 및 소프트웨어를 사용하십시오. 공격 시도에서 침입자가 자주 사용하는 기본 로그인 및 암호와 같은 일반적인 보안 구성 생략에주의하십시오.

SQL Server의 모든 기본 시스템 보안 매개 변수를 수정하십시오. 가능하면 Windows와 SQL Server 인증을 모두 사용하는 혼합 모드를 사용하지 말고 Windows 인증 만 사용하십시오. Windows 인증을 사용하면 SQL Server에 액세스 할 때 Windows 암호 정책, 즉 암호 기록 및 암호 길이와 수명을 확인할 수 있습니다. Windows 암호 정책의 가장 중요한 기능은 로그인 잠금입니다. 로그온 시도 횟수가 연속적으로 초과되면 추가로 잠김니다.

• 캡처 된 감사 정보가 변경되었거나 변경되면 외부 또는 내부 당사자. 침해 시도 모니터링은 규정 준수, 침입 방지 및 잠재적 인 보안 침해 조사의 측면에서 필요합니다.