誰かがHIPAAコンプライアンスについて簡単に説明できますか?
私は数年間ウェブホスティング、特にセキュリティに携わっていました。私はPCIコンプライアンスに精通しており、eコマースストア向けのPCIの「短くて甘い」ガイドは次のとおりです。
- クライアントは銀行に行き、商人のアカウントを取得します。
- マーチャントは、サーバーとサイトをスキャンするために、ランダムな「認定スキャンベンダー」(ASV)(つまり、TrustWave)を使用するようにクライアントに指示します。
- ASVは自動スキャンを実行して、古いバージョンのソフトウェアやディレクトリを一覧表示する機能など、ランダムな「脆弱性」の束を見つけます。より良いものは実際にXSSや他のウェブの脆弱性についてサイトをスキャンします。
- クライアントは私にすべての脆弱性を描いたPDF)を送信します。
- サーバーをロックダウンし、すべてのバックポートを報告します。
- ASVはスキャナーを再度実行し、サインオフします。
- 利益!
私がPCIを見る方法は、「CoverYourAss」タイプのものです。承認されたASVは、サイトが「安全」であるとサインオフするため、クライアントから一部の責任を逸らします。
そうは言っても、HIPAAコンプライアンスはどのように機能しますか?医者のジョーが私のところに来て、「私のオフィスをHIPAAに準拠させる」と言ったとしましょう。私はセキュリティを知っていますが、法的な意味からどこから始めればよいでしょうか?スキャンを実行し、組織が安全であることを承認する「承認された」HIPAA組織はありますか?ハードコードされたルールはありますか(つまり、パスワードはn日前に期限切れになる必要があります)?ジョーを助けることさえできますか、それとも何らかの方法で認定を受ける必要がありますか?
実用的な意味でのHIPAAコンプライアンスについて簡単に説明してください。
私はクライアントのために何もしていません。このトピックは非常に曖昧で、経験がないので、興味があります。
HIPAAコンプライアンスはもう少し複雑です。ネットワーク、システム、および物理的セキュリティドメインの構成に関しては、組織が「HIPAA準拠」として認定される前に満たす必要のある、最低限のセキュリティ基準があります。ここにリストするには多すぎますが、アイデアを与えるために、ここにいくつかの項目があります。
ネットワーク側では、このような最小セキュリティ標準には次のものが含まれます。
- 個別のVLAN医療記録/医療機器トラフィック用
- デフォルトのアクセス制御リスト-拒否、医療VLANへのアクセスを制限
- デフォルト-アクセスポリシーを拒否します(ユーザーには明示的にアクセスを許可する必要があります)
システム側:
- ワークステーションは、X分後に画面を自動ロックします(通常は<15)
- ユーザーはX日ごと(通常は90日)にパスワードを変更する必要があります
- デフォルトで拒否される、ネットワーク共有のきめ細かいアクセス許可
物理的な側面:
- ネットワーク/システムメンテナンスエリアへの物理的アクセスは、少なくともロックとキーを介して保護する必要があり、2要素が望ましい
- セキュリティカメラは、建物の入り口とサーバー/ネットワークルームを監視する必要があります
管理側:
- 解雇された従業員の資格情報は、当日取り消す必要があります
- 従業員の身元調査は、精査された機関によって実施される必要があります
...そしてリストはどんどん増えていきます。それは氷山の一角にすぎません。
一般に、ネットワーク/システムのセキュリティ要件は、NIST SCAPガイドに従います。「ベストプラクティス」のセキュリティチェックリスト。 ここ :
注:これらのウェブサイトの大部分は、政府の閉鎖期間中は利用できません。
追加するために編集:
法的な意味では、すべてのガイドラインに従っていることを確認する必要があります。これは、HIPAAコンプライアンスの「デューデリジェンス」です。 ここ を参照してください
保健福祉省があなたを監査し、セキュリティコンプライアンスの問題を発見した場合、あなたの組織は複数の規制機関の反対側にいる可能性があることに注意してください。
編集2:第三者による「認証」は ない HIPAAコンプライアンスに関連する責任から事業体を免除します。