Normes de sécurité HIPAA pour les entités couvertes

Normes de sécurité HIPAA pour les entités couvertes

Normes de sécurité HIPAA pour les entités couvertes ou associé d'affairesHIPAA garanties administratives

HIPAA &# 167; 164.308 garanties administratives.

(A) Une entité visée ou associé d’affaires doit, en conformité avec §164.306:

(1) (i) Standard: processus de gestion de la sécurité. Mettre en œuvre des politiques et des procédures pour prévenir, détecter, contenir, et violations de sécurité correctes.

(Ii) spécifications de mise en œuvre:

(UNE) L’analyse des risques (obligatoire). Procéder à une évaluation précise et approfondie des risques potentiels et les vulnérabilités à la confidentialité. intégrité. et la disponibilité des informations de santé protégées électronique détenue par l’entité visée ou associé d’affaires.

(B) La gestion des risques (obligatoire). Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié de se conformer à &# 167; 164,306 (a).


(C) politique de sanction (obligatoire). Appliquer des sanctions appropriées contre les salariés qui ne respectent pas les politiques et procédures de sécurité de l’entité ou d’une entreprise associée couverte.

(RÉ) Informations sur l’activité du système (obligatoire). Mettre en œuvre des procédures d’examiner régulièrement les dossiers de l’activité du système d’information, tels que les journaux d’audit, des rapports d’accès, et les rapports de suivi des incidents de sécurité.

(3) (i) Standard: la sécurité des effectifs. Mettre en œuvre des politiques et des procédures pour veiller à ce que tous les membres de son personnel ont accès aux informations de santé protégées électronique, tel que prévu en vertu du paragraphe (a) (4) du présent article, et pour empêcher les membres de la main-d’œuvre qui n’ont pas accès en vertu du paragraphe (a ) (4) du présent article d’avoir accès à l’information de santé protégée électronique.

(Ii) spécifications de mise en œuvre:

(UNE) Autorisation et / ou supervision (adressable). Mettre en œuvre les procédures d’autorisation et / ou la supervision des membres de la main-d’œuvre qui travaillent avec des informations de santé protégées électronique ou dans des endroits où il pourrait être accédé.

(B) procédure d’apurement de la main-d’œuvre (adressable). Mettre en œuvre des procédures pour déterminer que l’accès d’un membre du personnel à l’information de santé protégée électronique est appropriée.

(C) procédures de résiliation (adressables). Mettre en œuvre des procédures pour mettre fin à l’accès aux informations de santé protégées électronique lorsque l’emploi de, ou tout autre arrangement avec un membre du personnel se termine ou tel que requis par les décisions prises comme spécifié au paragraphe (a) (3) (ii) (B) du présent article.

(4) (i) Standard: gestion de l’accès à l’information. Mettre en œuvre des politiques et des procédures pour autoriser l’accès à l’information électronique de santé protégées qui sont compatibles avec les exigences applicables de la sous-partie E de cette partie.

(Ii) spécifications de mise en œuvre:

(UNE) Isoler les fonctions de soins de santé de chambre de compensation (obligatoire). Si un centre de soins de santé fait partie d’une organisation plus grande, la chambre de compensation doit mettre en œuvre des politiques et des procédures qui protègent l’information électronique de santé protégée du centre d’échange d’un accès non autorisé par la plus grande organisation.

(B) Autorisation d’accès (adressable). Mettre en œuvre des politiques et des procédures pour l’octroi de l’accès aux informations de santé protégées électronique, par exemple, par l’accès à un poste de travail. transaction, programme, processus, ou un autre mécanisme.

(C) mise en place d’accès et de modification (adressable). Mettre en œuvre des politiques et des procédures qui, sur la base de l’entité de couvert ou les politiques d’autorisation d’accès de l’entreprise associée de l’entreprise, établir, documenter, examiner et modifier le droit d’accès d’un utilisateur à un poste de travail, transaction, programme ou processus.

(5) (i) Standard: la sensibilisation et la formation de sécurité. Mettre en œuvre une sensibilisation à la sécurité et le programme de formation pour tous les membres de son personnel (y compris la gestion).

(Ii) spécifications de mise en œuvre. Mettre en place:

(UNE) rappels de sécurité (adressables). mises à jour de sécurité périodiques.

(B) Protection contre les logiciels malveillants (adressable). Procédures pour se prémunir contre, la détection et la déclaration des logiciels malveillants.

(C) Log-in suivi (adressable). Les procédures de suivi des tentatives de connexion et les écarts de déclaration.

(RÉ) gestion de mot de passe (adressable). Procédures pour la création, la modification et la sauvegarde des mots de passe.

(6) (i) procédures d’incidents de sécurité: Standard. Mettre en œuvre des politiques et des procédures pour faire face des incidents de sécurité.

(7) (i) Standard: plan d’urgence. Mettre en place (et mettre en œuvre au besoin) des politiques et des procédures pour répondre à une situation d’urgence ou autre événement (par exemple, le feu, le vandalisme, la défaillance du système, et les catastrophes naturelles) que les systèmes de dommages qui contiennent électroniques protégés information sur la santé.

(Ii) spécifications de mise en œuvre:

(UNE) plan de sauvegarde de données (obligatoire). Établir et mettre en œuvre des procédures pour créer et maintenir des copies exactes accessibles des informations de santé protégées électronique.

(B) plan de reprise après sinistre (obligatoire). Mettre en place (et mettre en œuvre selon les besoins) des procédures pour restaurer toute perte de données.

(C) plan de fonctionnement en mode d’urgence (obligatoire). Mettre en place (et mettre en œuvre au besoin) des procédures permettant la poursuite des processus d’affaires critiques pour la protection de la sécurité des informations de santé protégées électronique tout en fonctionnant en mode d’urgence.

(RÉ) Les procédures d’essai et de révision (adressables). Mettre en œuvre des procédures de contrôle périodique et la révision des plans d’urgence.

(E) Applications et analyse de la criticité des données (adressable). Évaluer la criticité relative des applications et des données spécifiques à l’appui des autres composantes du plan d’urgence.

(8) Standard: Évaluation. Effectuer une évaluation technique et non technique périodique, basée initialement sur les normes mises en œuvre en vertu de cette règle et, par la suite, en réponse aux changements environnementaux ou opérationnels affectant la sécurité des informations de santé protégées électronique, qui établit la mesure dans laquelle la sécurité de l’entité visée ou d’un associé les politiques et les procédures sont conformes aux exigences de la présente sous.

(B) (1) contrats associés d’affaires et autres arrangements. Une entité visée peut permettre à un associé d’affaires pour créer, recevoir, conserver ou transmettre l’information électronique de santé protégées au nom de l’entité visée uniquement si l’entité visée obtient des assurances satisfaisantes, conformément à §164.314 (a), que l’associé d’affaires sera appropriée protéger les informations. Une entité visée n’a pas à obtenir de telles garanties satisfaisantes d’un associé d’affaires qui est un sous-traitant.

(2) Un associé d’affaires peut permettre à un associé d’affaires qui est un sous-traitant pour créer, recevoir, conserver ou transmettre des informations de santé protégées électroniques en son nom que si l’associé d’affaires obtient des assurances satisfaisantes, conformément à §164.314 (a), que le sous-traitant se préserver de manière appropriée les informations.

(3) spécifications de mise en œuvre: contrat écrit ou autre arrangement (obligatoire). Documenter les assurances satisfaisantes imposées par le paragraphe (b) (1) ou (b) (2) du présent article par un contrat écrit ou autre arrangement avec l’associé d’affaires qui répond aux exigences applicables de §164.314 (a).

Source: www.hipaasurvivalguide.com

Lire la suite

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

4 × 1 =