HIPAA和高科技的合规不一定是一样的质量201 CMR 17合规,但有共同的过程来实现“法律上站得住脚”安全。
合规医疗行业的挑战并不是什么新鲜事。多年来,医院,保险公司和相关的供应商一直在探寻的HIPAA而且,在使用信用卡数据的情况下,电脑DSS。同时,质量201 CMR 17了合规更复杂,任何人在马萨诸塞州和与公司做生意。
IT安全从业者和合规官员一般都习惯了这一过程提供了数据安全法规和隐私标准要求。但依从专题讨论会在波士顿的办公室明茨莱文周二早上,法律,隐私和安全专家指出,挑战依然存在一些棘手,特别是当涉及到找出差异法规和雕刻出一个安全计划,涵盖所有基地。
“尽管这些东西并不是新的,还有困惑是否你需要担心的一套规定如果你已经符合另一组,”Mike灌木林说波耐蒙研究所高级分析师隐私和SixWeight咨询公司的老板。
组成的一个小组灌木林的辛西娅•拉罗斯明莱文,马特Pettine MFA的基石咨询有限责任公司和Nagraj安全厂商Sophos瑟哈德里,试图理清混乱和现在的共同构建块计划将至少确保“合法防守安全”。
女子提供了法律的角度看,他指出,有一些重叠HIPAA和CMR 17。但也有一些明显的差异,HIPAA法规遵循不自由组织从听从CMR 17的要求。具体规则的差异之一是,加密不需要直接在HIPAA,但这是根据CMR 17。
尽管HIPAA过去被批评缺乏执法,高科技增加了牙齿的东西HIPAA首先概述。全封闭的一篇文章中,专家指出以下里克锦的ID的例子高科技补充道混合:
- 新的需求在受保护的健康信息管理(φ)信息,包括问责制从卫生保健提供者延伸到他们的商业伙伴;
- 新的数据违反通知联邦法规,包括特定通知阈值、时间和方法;和
- 立即生效,增加,有时强制性处罚罚金上限从25000美元到150万美元。
至于处罚,然而,说,最糟糕的一个组织所能做的就是无法发现这样做违反了他们第二个。公司不采取行动并通知30天内面临的最激烈的处罚。她还指出,在高科技,当局通知违反60天内的公共事件。持续增长和检查列表最常见的失效点列表可以是非常有用的,她说。
“持续增长,这是相当令人震惊,”她说。“大多数事件涉及失去了笔记本电脑和USB驱动器。”
经常被忽视的规则是物理安全;特别是那些涉及到纸上。“纸上的损失是一个很大的问题,正如我们最近看到的情况下,医疗记录被发现在一个垃圾填埋场,”她说。“我不能说这就足够了:保护你的论文记录。”
这种保护包括锁在文件柜和限制谁能和不能访问的房间纸质记录。女子说,CMR 17一样清楚需要保护纸记录是关于电子记录。
小组成员之间日益增长的安全问题经常提到的一个组织及其业务合作伙伴。最近的全球信息安全调查指出,IT安全从业者越来越担心他们的业务伙伴在做什么,以确保安全在他们结束。
困惑的一点是如果一个存储公司丧失你的数据磁带。“备份磁带在运输过程中保持你的责任,不是第三方公司处理它,”她说。“如果一个司机树叶在拐角处一盒录音带,可能存在违反合同供应商的一部分,但它仍然是你的背。”
为此,她说,这里有一个小贴士:当进入一个与第三方供应商合作,让他们签署一项协议,列出所有的特定的安全需求,他们会响应,按照CMR的17岁。
瑟哈德里集中在技术需求满足的各种规定。他建议人们查看国家标准与技术研究院(NIST)的网站组织必须有,列举了一些常见的技术。考虑加密时,无论监管,瑟哈德里建议观众思考可移动媒体等更明显地区数据通过电子邮件和数据网络上的静止。
NIST”有一个很好的模板所需要的技术控制和各种法规涵盖了许多常见的需求,”他说。
Pettine了审计师的角度来看,主要集中于风险评估和差距分析的重要性。他第一次提示:写下来,记录所有你正在收集,什么样的数据存储和你在做什么来保护它。
“做一个风险评估从库存开始,”他说。“你需要库存你的电子数据和你的论文。写下你所做的一切,这样你就可以比较规则。这是一个差距分析。找到你做什么之间的差距和不同的规定,和可控的操作项的列表。”
当然,这些事情将帮助如果组织未能注意日志想告诉他们什么。Pettine•拉罗斯指出,如果你的id开始报告不寻常的活动,没有人看着它,这是技术上突破开始时。
你只有60天从违反开始通知相关部门。
阅读更多关于pci和遵从性CSOonline PCI和遵从性的部分。
这个故事,“法律上站得住脚安全HIPAA, CMR 17”最初发表的方案 。