HIPAA Audit Controls regler fastställa att , " Enheter som har möjlighet att genomföra standarden på ett sätt som är lämpligt för deras behov som bedöms nödvändigt av sina egna riskanalyser . " Detta lämnar en del gråzon som varje berörd part eller organisation måste bestämma sig när de utvecklar dator inloggning och utloggning rutiner , bland annat IT- förfaranden . Men med så många anläggningar och företag som arbetar med den federala regeringen att följa , har gemensamma standarder uppstått .
Allmänt Kommande
informationssystem servrar behöver kunna fånga och spela in loggning uppgifter för långsiktiga rekord . I synnerhet bör händelser relaterade till loggning inkludera lyckade och misslyckade inloggningsförsök , utloggningar , ändringar av användarkonton, ändringar av behörighetsnivåer, användning av privilegierade konton och verktyg , tidsgränser, fall av överdriven misslyckade inloggningar och alla händelser där en användare loggar ut och en annan loggar in omedelbart därefter . Addera övervakningsverksamhet
Systemadministratörer har ett särskilt ansvar för att se till loggning efterlevs . Misstänkta evenemang såsom flera misslyckade inloggningar eller några inloggnings attacker mot systemet kräver uppföljning med utredningen . Användarna bör åläggas att ha mycket starka och allmänt komplicerade lösenord . Misstänkta händelser bör ses över med förvaltningstjänstemän. System bör korrelera förändringar av system och filer till den användare som utförde dem .
General Controls
organisationer måste ha detaljerade register av vilket system som är i stånd att avverkning som bitar av information. De måste också hålla noggrann koll på vilka användare som utför vilka uppgifter i vilka system . Inloggningar bör ge systemadministratörer och organisationschefermed en verifieringskedja som visar vad varje användare har gjort i varje systemet . Addera
Upphovsrätt © Hälsa och Sjukdom