Salute e malattia
HIPAA Audit Controls regole stabilire che , " Enti hanno la flessibilità per implementare lo standard in maniera adeguata alle loro esigenze , come ritenuto necessario da analisi proprio rischio e pericolo . " Questo lascia qualche zona grigia che ogni partito o organizzazione interessata deve decidere da sé quando lo sviluppo di procedure di login del computer e logout , tra le altre procedure informatiche . Tuttavia, con tanti servizi e aziende che lavorano con il governo federale a rispettare , sono emerse standard comuni .
Eventi generali
server del sistema di informazioni devono essere in grado di catturare e registrare i dati di registrazione per registrazioni a lungo termine. In particolare , gli eventi legati alla registrazione dovrebbero comprendere tentativi riusciti e falliti di login , logout , modifiche agli account utente , modifiche ai livelli di privilegio , l'uso di account privilegiati e utilità , i timeout , i casi di eccessivi accessi non riusciti e gli eventi in cui un utente si disconnette e un altro tronchi in subito dopo .
amministratori monitoraggio Attività
sistema hanno responsabilità particolari per garantire la conformità registrazione. Eventi sospetti come molteplici accessi non riusciti o tutti gli attacchi contro il sistema di accesso richiedono follow -up con l'inchiesta . Gli utenti dovrebbero essere tenuti ad avere le password molto forte e generalmente complesse . Eventi sospetti devono essere riesaminati con i funzionari di gestione . I sistemi devono correlare i cambiamenti nei sistemi e file all'utente che li esegue . Controlli
Generale
organizzazioni devono avere un registro dettagliato di quale sistema è in grado di logging quali pezzi di informazioni . Hanno anche bisogno di tenere traccia accurata degli utenti che eseguono compiti quello in cui i sistemi . Accessi dovrebbero fornire agli amministratori di sistema e responsabili dell'organizzazione con una pista di controllo che mostra ciò che ogni utente ha fatto in ogni sistema.
Medicare