У 1996 році Конгрес США ухвалив Закон про портативність і відповідальність за медичне страхування - HIPAA - для регулювання того, як медичні заклади розкривають медичну інформацію пацієнтів. Департамент охорони здоров'я та соціальних служб контролює, яким чином медичні організації дотримуються закону. Аудитори використовують контрольний перелік при тестуванні процесів запису медичних даних компаній.
Аналіз та оцінка ризиків
HIPAA вимагає, щоб усі медичні організації, особливо установи, що беруть участь у зборі, зберіганні та передачі медичної інформації, проводили періодичні аналізи ризиків та оцінювання. Аудитор, який перевіряє відповідність HIPAA, гарантує, що всі бізнес-підрозділи контролюють ризики, які можуть призвести до втрати фірмою збитків через порушення даних. Аналіз ризиків ідентифікує корпоративні області, що становлять основні операційні загрози для дотримання вимог безпеки HIPAA. Оцінка ризику визначає ступінь збитків, які може зазнати установа в разі інсайдерських або аутсайдерських атак.
Аналіз розривів
У термінології HIPAA аналіз розривів стосується процедур, необхідних для відображення вимог безпеки до існуючої інфраструктури безпеки медичної організації. Іншими словами, аудитори аналізують регуляторні вказівки та порівнюють їх з корпоративними системами безпеки, перевіряючи, чи дотримуються ці системи. Аналіз розривів слідує за чотирма етапами: ідентифікація розривів, визначення заходів з відновлення, визначення пріоритетів проектів та розподіл ресурсів. Після виявлення недоліків у сфері безпеки аудитори гарантують, що керівники департаментів мають відповідні рішення. Тоді рецензенти переконаються, що керівники сегментів виділяють достатні ресурси для проектів по зменшенню впливу.
Відновлення
Виправлення є важливим пунктом контрольного списку аудиту для HIPAA. Аудитори покладаються на директиви HHS, щоб забезпечити наявність у організації достатніх ресурсів для усунення потенційних порушень безпеки. Сучасні технологічні засоби є невід'ємною частиною процедур відновлення. Ці інструменти включають програмне забезпечення для управління відносинами з клієнтами, програми для планування ресурсів підприємства, програмне забезпечення для реінжинірингу процесів та програмне забезпечення для відстеження дефектів. Інші засоби, які використовуються для усунення потенційних загроз безпеці, включають програмне забезпечення для класифікації або класифікації, програмне забезпечення для календаря та планування, програми управління відносинами з пацієнтами та програмне забезпечення для управління проектами.
Планування непередбачених обставин
Компанії здійснюють планування на випадок надзвичайних ситуацій, щоб гарантувати, що корпоративна діяльність не зупинена внаслідок надзвичайної ситуації, аварії або інших операційних збоїв. Щоб запобігти значним втратам, які можуть виникнути внаслідок експлуатації, фірми розробляють плани надзвичайних ситуацій, також відомі як плани безперервності бізнесу. Аудитори HIPAA перевіряють плани безперервності бізнесу медичної організації, щоб гарантувати, що плани вирішують важливі операційні питання, які можуть виникнути в надзвичайних ситуаціях. Зокрема, аудитори перевіряють, як компанії можуть відновлювати операції на альтернативному сайті та відновлювати операції, використовуючи альтернативне обладнання, у разі аварії.
Політика персоналу
Аудитори HIPAA проходять через корпоративні кадрові політики, щоб забезпечити, щоб персонал, який веде медичні записи, мав технічні знання та відповідні навички для роботи. До складу цього персоналу входять технічні працівники охорони здоров'я, медичні записи та медичні інформаційні спеціалісти, службовці медичної інформації та кодери, згідно з галузевими дослідженнями O * Net Online, відділом професійних досліджень американського Департаменту праці.
