Buat Spiceworks compliant HIPAA - Bagaimana Untuk

Buat Spiceworks compliant HIPAA

Undang-undang HIPAA telah ditulis untuk sengaja samar-samar supaya dapat diterapkan kepada semua orang. Pada pendapat saya ia juga meninggalkan kita semua terdedah kepada pendapat dan pada rahmat seorang juruaudit HIPAA. Spiceworks oleh diri sendiri sebenarnya tidak berada di bawah bidang HIPAA, tetapi dalam keadaan tertentu mungkin mengandungi data yang dilakukan. Satu contoh yang baik ialah apabila jururawat membuat tiket yang berkaitan dengan rekod pesakit dalam sistem EHR. Mereka mungkin tidak menyedari bahawa mereka memaparkan maklumat yang tidak seharusnya berada di luar sistem EHR. Pada ketika ini ia menjadi tanggungjawab IT untuk melindungi data ini.

Ini adalah Kaedah Keselamatan. Senarai ini tidak termasuk Peraturan Privasi atau Pemberitahuan Pelanggaran. Kaedah-kaedah yang diselaraskan menjadi 'Diperlukan' (20 peraturan) dan 'Addressable' (22 peraturan). Addressable tidak bermaksud pilihan. Anda masih perlu menangani isu ini, tetapi ia mungkin tidak memerlukan tindakan selain mengakui ia wujud. Peraturan yang diperlukan, baik mereka diperlukan.

Penafian: Saya bukan ahli HIPAA. Saya tidak pernah melalui audit HIPAA. Ini hanyalah sekumpulan tindakan yang kita ambil.

Jadi dengan semua itu berkata, berikut adalah setiap peraturan HIPAA kerana ia digunakan untuk pemasangan Spiceworks seperti ditafsirkan oleh philipmjr.

44 langkah total

Langkah 1: § 164.308 (a) (1) (ii) (A) - ANALISA RISIKO (R) Peraturan yang Dikehendaki 1

Sertakan pemasangan Spiceworks anda dalam analisis risiko anda.

Langkah 2: §164.308 (a) (1) (ii) (B) - PENGURUSAN RISIKO (R) Dikehendaki 2 Peraturan

Sertakan pemasangan Spiceworks anda dalam rancangan yang anda buat selepas analisis risiko anda.

Langkah 3: § 164.308 (a) (1) (ii) (C) - POLISI SAKIT (R) Peraturan 3 yang Diperlukan

Sesi pengguna yang tidak mematuhi dasar anda mengenai penggunaan Spiceworks.

Langkah 4: §164.308 (a) (1) (ii) (D) - ULASAN AKTIVITI SISTEM MAKLUMAT (R) Peraturan yang Dikehendaki 4

Sertakan Spiceworks pelayan dipasang di dalam syslog anda.

Langkah 5: § 164.308 (a) (2) - TANGGUNGJAWAB KESELAMATAN KESELAMATAN (R) Dikehendaki Peraturan 5

Mempunyai pegawai Keselamatan HIPAA yang diberikan, sebaiknya doktor.

Langkah 6: § 164.308 (a) (3) (ii) (A) - PENGUKURAN DAN / ATAU PENGAWASAN (A) Aturan yang Boleh Ditangani 1

Hanya membenarkan pengguna yang dibenarkan untuk mengakses Spikeworks pada kedua-dua pengguna dan bahagian admin.

Langkah 7: § 164.308 (a) (3) (B) - PROSEDUR PELANGGAN KERJA KERJA (A) Kaedah yang Boleh Ditangani 2

Memeriksa secara berkala ke Spiceworks

Langkah 8: § 164.308 (a) (3) (C) - PROSEDUR PENAMATAN (A) Peraturan yang Boleh Ditangani 3

Apabila pengguna Spiceworks yang dibenarkan keluar / dipecat / meninggalkan syarikat, membuang atau melumpuhkan pengguna tersebut dalam Spiceworks / Active Directory.

Langkah 9: § 164.308 (a) (4) (ii) (A) - FUNGSI CLEARINGHOUSE PENGELUARAN KESIHATAN (R) Peraturan yang Dikehendaki 6

Spikeworks bukan perisian penjagaan rumah penjagaan kesihatan dan kemungkinan besar syarikat anda bukan penjagaan kesihatan. Sekiranya syarikat anda adalah pusat penjagaan kesihatan, nasib baik menafsirkan peraturan ini.

Langkah 10: § 164.308 (a) (4) (ii) (B) - PEMULIHAN AKSES (A) Aturan yang dapat dikendalikan 4

Apabila anda mengupah pekerja baru, beri mereka tahap akses yang sesuai untuk Spiceworks seperti yang diperlukan oleh pekerjaan mereka.

Langkah 11: § 164.308 (a) (4) (ii) (C) - PENUBUHAN DAN PENGUKURAN AKSES (A) Kaedah yang Boleh Ditangani 5

Sekiranya keperluan pengguna berubah (iaitu kedudukan atau promosi baru), ubah suai akses mereka dengan sewajarnya.

Langkah 12: § 164.308 (a) (5) (ii) (A) - PERINGATAN KESELAMATAN (A) Kaedah yang Boleh Diatasi 6

Memohon kemas kini keselamatan dan patch ke Spiceworks pelayan dipasang dan menaik taraf Spiceworks apabila pelepas baharu tersedia.

Langkah 13: § 164.308 (a) (5) (ii) (B) - PERLINDUNGAN DARI PERISIAN MALIKO (A) Aturan yang Boleh Diatasi 7

Pasang perisian Anti-Virus / Anti-Spyware / Anti-Malware / Anti-anyelse pada pelayan Spiceworks anda.

Langkah 14: § 164.308 (a) (5) (ii) (C) - PEMANTAUAN LOG IN (A) Aturan yang dapat dikendalikan 8

Pada Spiceworks Install anda, hidupkan GPO 'Configuration Computer Policies Windows Settings Security Settings Local Policies Audit ...' seperti yang diperlukan. Kemudian log acara ID 4648 atau acara lain yang diperlukan. Berikut adalah rujukan yang baik, walaupun ia mungkin agak bertarikh. http://www.windowsecurity.com/articles/event-ids-windows-server-2008-vista-revealed.html

Langkah 15: § 164.308 (a) (5) (ii) (D) - PENGURUS LATIHAN (A) Aturan yang dapat dikendalikan 9

Menetapkan dan menguatkuasakan dasar kata laluan di AD dan Spiceworks.

Langkah 16: § 164.308 (a) (6) (ii) - RESPONSE DAN PELAPORAN (R) Peraturan yang Dikehendaki 7

Apabila anda membuat dasar kejadian keselamatan anda, masukkan Spiceworks Install anda sebagai titik pelanggaran yang berpotensi.

Langkah 17: § 164.308 (a) (7) (ii) (A) - RANG UNDANG-UNDANG BANDAR DATA (R) Peraturan 8

Sandarkan pemasangan Spiceworks anda dan pelayan yang dipasang padanya.

Langkah 18: § 164.308 (a) (7) (ii) (B) - RANCANGAN PEMULIHAN BERSIH (R) Peraturan 9 yang Diperlukan

Sertakan pelayan Spiceworks anda di DRP anda.

Langkah 19: § 164.308 (a) (7) (ii) (C) - RANCANGAN OPERASI MODEL EMERGENSI (R) Peraturan yang Dikehendaki 10

Sertakan pelayan Spiceworks anda di EMOP anda. Orang masih akan menghadapi masalah IT semasa dalam mod kecemasan.

Langkah 20: § 164.308 (a) (7) (ii) (D) - PROSEDUR PENGUJIAN DAN PENYEMAKAN (A) Kaedah yang dapat dikendalikan 10

Sertakan pelayan Spiceworks anda semasa menguji DRP dan EMOP.

Langkah 21: § 164.308 (a) (7) (ii) (E) - ANALISIS KRITIKALITAS DATA DAN DATA (A) Aturan yang dapat diatasi 11

Bagaimanakah kritikal bahawa pengguna dapat memaklumkan kepada IT mengenai masalah semasa krisis DRP atau EMOP? Sangat! Dapatkan Spiceworks awal dalam proses. Saya cadangkan AD / DNS kemudian e-mel kemudian Spiceworks kemudian yang lain.

Langkah 22: § 164.308 (a) (8) - EVALUASI (R) Peraturan yang Dikehendaki 11

Ahh, hadiah HIPAA yang terus memberi. Apabila anda berfikir anda telah selesai dengan pematuhan HIPAA, anda tidak. Kembali ke permulaan dan semak semula apa yang telah anda lakukan. Kemudian apabila anda fikir anda selesai selepas itu, lakukan lagi dan lagi dan lagi dan lagi ...

Langkah 23: § 164.308 (b) (4) - KONTRAK TERTULIS ATAU PERUBAHAN LAIN (R) Peraturan yang Dikehendaki 12

Sekiranya anda mendapat Jim Kubicek untuk mengendalikan pemasangan Spiceworks anda, dapatkan dia menandatangani Kontrak Perniagaan Associate. Lakukan perkara yang sama untuk sesiapa sahaja yang menyentuh apa-apa dalam rangkaian anda yang mungkin akan menghubungi mereka dengan EPHI (maklumat kesihatan dilindungi elektronik).

Langkah 24: § 164.310 (a) (2) (i) - OPERASI KONDISI (A) Peraturan yang Boleh Diatasi 12

Apabila anda berada dalam mod DRP atau EMOP, benarkan akses kemudahan untuk memulihkan data. Biarkan orang yang diperlukan di ruang pelayan supaya mereka boleh memulihkan pelayan Spiceworks anda.

Langkah 25: § 164.310 (a) (2) (ii) - RANCANGAN KESELAMATAN KEMUDAHAN (A) Peraturan yang Boleh Diatasi 13

Kunci bilik pelayan anda dan hanya membenarkan kakitangan diberi kuasa untuk mendapat akses. Lindungi pelayan Spiceworks dari zombi.

Langkah 26: § 164.310 (a) (2) (iii) - PROSEDUR KAWALAN DAN PENGENDALIAN AKSES (A) Aturan yang Boleh Diatasi 14

Tulis prosedur untuk menentukan siapa yang mempunyai akses ke bilik pelayan. Jika perlu, laksanakan sistem akses laluan kunci atau RFID. Tiada akses tanpa izin ke pelayan Spikeworks.

Langkah 27: § 164.310 (a) (2) (iv) - RENCANA PEMELIHARAAN (A) Aturan yang Boleh Ditangani 15

Jika ruang di mana pelayan Spiceworks terletak diubahsuai (iaitu pintu baru, dinding, kunci, dan lain-lain) menyimpan rekod kerja.

Langkah 28: § 164.310 (b) - PENGGUNAAN KERJA PENGGUNAAN (R) yang Dikehendaki 13

Sekiranya memasang Spiceworks anda pada mesin yang dapat dilihat secara umum, gunakan skrin privasi dan log keluar automatik. Kemudian pertimbangkan kesilapan jika cara anda dan masuk ke ruang pelayan.

Langkah 29: § 164.310 (c) - KESELAMATAN PEKERJAAN (R) Peraturan yang Dikehendaki 14

Memasang Spiceworks harus berada di server di ruang pelayan. Jika atas sebab tertentu anda telah memasangnya di stesen kerja (mungkin di stesen jururawat, pejabat pengebilan atau di mana pengguna fana boleh mendapatkannya) pastikan tiada siapa yang boleh berjalan dengannya. Kemudian pertimbangkan kesilapan jika cara anda dan masuk ke ruang pelayan.

Langkah 30: § 164.310 (d) (2) (i) - PENDEDAHAN (R) Peraturan yang Dikehendaki 15

Sekiranya anda membuang cakera keras yang dipasang Spiceworks secara fizikal memusnahkan pemacu.

Langkah 31: § 164.310 (d) (2) (ii) - Peraturan yang Dikehendaki MEDIA RE-USE (R) 16

Sekiranya anda memecahkan cakera keras yang dipasang Spiceworks dan anda merancang untuk menggunakan semula pemacu, DoD lap terlebih dahulu.

Langkah 32: § 164.310 (d) (2) (iii) - AKAUNTABILITI (A) Aturan yang Boleh Ditangani 16

Gunakan Spikeworks untuk mengesan Spiceworks pelayan dipasang pada.

Langkah 33: § 164.310 (d) (2) (iv) - BELAKANG DAN PENYIMPANAN DATA (A) Aturan yang Boleh Diatasi 17

Sandarkan pemasangan Spiceworks anda. Saya cadangkan Unitrends.

Langkah 34: § 164.312 (A) (2) (I) - PENGENALAN PENGGUNA UNIK (R) Peraturan yang Dikehendaki 17

Berikan setiap pengguna ID pengguna unik. Gunakan Direktori Aktif untuk pengguna dan akaun pentadbir individu dalam Spiceworks.

Langkah 35: § 164.312 (a) (2) (ii) - PROSES AKSES KECEMASAN (R) Peraturan yang Dikehendaki 18

Jika boleh, pasangkan Spiceworks dalam persekitaran maya. Jika tidak, pastikan sistem cadangan / pemulihan logam terdedah. Jika anda tidak boleh melakukannya, simpan pelayan fizikal ganti yang sesuai untuk kegunaan apabila kotak pengeluaran gagal.

Langkah 36: § 164.312 (a) (2) (iii) - LOGOFF AUTOMATIK (A) Peraturan yang Boleh Diatasi 18

Adakah ini benar-benar memerlukan penjelasan?

Langkah 37: § 164.312 (a) (2) (iv) - ENKRIPTION DAN DECRIPTION (A) Peraturan yang Boleh Diatasi 19

Jika Spiceworks anda dipasang dengan mudah untuk dicuri secara fizikal (iaitu ia tidak terkunci di bilik pelayan anda), menyulitkan pemacu. Bitlocker atau Truecrypt akan berfungsi.

Langkah 38: § 164.312 (b) - KAWALAN AUDIT (R) yang Dikehendaki 19

Hidupkan pengauditan pada pelayan Spikeworks dengan GPO.

Langkah 39: § 164.312 (c) (1) - MEKANISME UNTUK MENGENAI MAKLUMAT KESIHATAN ELEKTRONIK (A) Aturan yang Boleh Diatasi 20

Kredensial admin Direktori / Spiceworks Aktif anda dan Backup Data meliputi perkara ini. Kredensial AD / Spiceworks menghalang capaian tanpa izin dan sandaran boleh memulihkan data yang dimusnahkan.

Langkah 40: § 164.312 (d) - ORANG YANG MEMENUHI ORGANISASI (R) Diperlukan Peraturan 20

Kredensial admin dan Spiceworks Active Directory meliputi perkara ini.

Langkah 41: § 164.312 (e) (2) (i) - KAWALAN INTEGRITI (A) Peraturan yang Boleh Ditangani 21

Gunakan port 443 untuk akses kepada Spiceworks.

Langkah 42: § 164.312 (e) (2) (ii) - ENKRIPTION (A) Aturan yang Boleh Diatasi 22

Gunakan VPN atau SSL / VPN untuk mengakses Spiceworks dari luar rangkaian anda, sekurang-kurangnya menggunakan port 443 dan SSL jika meneruskan melalui firewall.

Langkah 43: GO VOTE !!!!

Peraturan-peraturan ini benar-benar gila! Kos untuk melaksanakan semua keperluan HIPAA adalah mengejutkan. Undi orang ke pejabat yang akan mengembalikan sistem penjagaan kesihatan kembali kepada beberapa aspek kewajaran. Jalan yang sedang kami jalankan (sehingga 8/15/2012) tidak akan membawa kepada penjagaan kesihatan yang lebih baik, sebaliknya.

Jika anda fikir penjagaan kesihatan adalah mahal sekarang, tunggu sehingga ia bebas.

Langkah 44: Undi lagi pada 2016 !!!

Kami memilih lelaki yang salah untuk membetulkannya.

Jadi di sana anda memilikinya. Peraturan dengan penjelasan peraturan tentang bagaimana saya berfikir peraturan HIPAA berkaitan dengan pemasangan Spiceworks. Nasib baik dengan awak.