五月
2017
他的挑战:OCR把审计控制放在首位
作者:Rick L. Hindmand, JD
郑重声明
第29卷第5页
在2017年的头两个月,民权办公室(OCR)发布了指导意见并宣布了一项和解协议,明确表示审计控制是网络安全和HIPAA合规性的重要组成部分。beplay最新备用网站
HIPAA安全规则规定了信息系统审查和审计控制条款,要求所覆盖的实体和业务伙伴实施程序,定期审查信息系统活动记录(例如,审计日志、访问报告和安全事件跟踪报告),以及记录和检查包含或使用电子保护健康信息(ePHI)的信息系统活动的硬件、软件和/或程序机制。
OCR 1月份的指导和2月份的解决方案阐明了其对审计控制的期望,以及未能有效维护和审查审计日志和跟踪的一些风险。
网络意识简讯
在2017年1月的网络意识通讯“了解审计控制的重要性”中,OCR建议受hipaa保护的实体和业务伙伴使用适当的审计控制工具来收集、监控和审查审计跟踪,保护审计记录的完整性,防止篡改。
OCR观察到审计控制与审计日志和审计跟踪一起工作,OCR根据国家标准与技术研究所的标准对其进行了描述。审计日志是基于应用、用户和系统的事件记录。审计跟踪包括应用程序、用户和系统的审计日志,它根据系统和应用程序中的应用程序流程和用户活动维护系统活动的记录。
OCR注意到几个审计跟踪的例子,包括:
•应用程序审计跟踪,监视和记录用户在给定应用程序中的活动,例如打开和关闭数据文件以及创建,读取,编辑和删除应用程序记录;
•系统级审计跟踪,通常捕获登录尝试(成功和不成功),以及登录标识、日期和时间、使用的设备和访问的应用程序;和
•用户审计跟踪,通常通过记录用户发起的事件来监视和记录用户活动。
必须对审计控制进行定制,以适应所覆盖实体或业务伙伴的需求和环境。OCR通讯建议,所涵盖的实体和业务伙伴应考虑哪种审计工具在减少无用信息和提取有用信息方面最有帮助。委员会还注意到,《安全规则》没有规定应收集哪些信息或多久审查一次审计报告。
OCR期望所覆盖的实体和业务伙伴在为组织的信息系统确定合理和适当的审计控制时考虑其风险分析结果和组织因素。这再次提醒了风险分析的重要性,这是近年来OCR HIPAA执行活动的重点。
OCR认为,对于受保护的实体和业务伙伴来说,定期审查其审计跟踪是“必要的”——不仅在安全事件和违规之后,而且在实时操作期间。该通讯还指出,进入审计跟踪应“严格限制”,仅限于授权人员。
该通讯可在以下网址查阅www.hhs.gov网站/违约/文件/ 1 - 2017 -网络- newsletter.pdf.
550万美元的HIPAA和解
2017年2月16日,OCR宣布,纪念医疗保健系统(MHS)因未能对其信息系统实施有效的审计控制,可能违反了HIPAA隐私和安全规则,因此向其支付了550万美元。MHS在南佛罗里达州经营各种设施,包括六家医院,是美国第三大公共卫生保健系统。
2012年4月,MHS向OCR报告称,两名MHS员工不当获取了患者信息。三个月后,MHS通知OCR,在其内部调查中,它发现附属医生办公室的12名用户获得了不允许的PHI访问权限。特别值得关注的是,一名附属医生办公室的前雇员的登录凭证被用来在超过12个月的时间里每天从MHS访问ePHI而没有被发现。这些事件影响了11.5万人,并导致联邦指控他们出售PHI和提交欺诈性纳税申报表。
基于MHS未能做到以下几点,OCR发现违反了安全规则:
•维护审核、修改和终止用户访问权限的程序(即使MHS维护其他劳动力访问政策和程序);和
•实施程序,定期审查MHS员工内部用户和附属医生的信息系统活动记录(如审计日志、访问报告和安全事件跟踪报告),即使MHS在2007年至2012年的多次风险分析中确定了此类访问的风险。
除了支付550万美元(OCR迄今为止第二大HIPAA和解金额)之外,解决协议还要求MHS实施并维持一项强有力的纠正行动计划,为期三年。
OCR代理主任Robinsue Frohboese在一份新闻稿中说:“组织必须实施审计控制并定期审查审计日志。正如这个案例所表明的那样,缺乏访问控制和对审计日志的定期审查有助于黑客或恶意的内部人员掩盖他们的电子踪迹,这使得被保护的实体和商业伙伴不仅难以从漏洞中恢复,而且难以在漏洞发生之前进行预防。”
OCR的新闻稿、解决协议和纠正措施计划可在以下网站获得www.hhs.gov hipaa /人员/法定/协议/纪念/ indebeplay最新备用网站x . html.
更广泛的影响
访问控制对于实现更广泛的目标至关重要,这些目标包括保护ePHI的隐私和安全,以及维护合法健康记录和EHR的完整性。OCR在其简报中指出,审计日志和审计跟踪是帮助受保护实体和业务伙伴审查不当访问、跟踪未经授权的披露、检测性能问题和恶意活动,以及在安全事件和违规调查期间提供法医证据的工具。审计控制特别与确保对ePHI的访问仅限于授权用户以及访问权限被终止或以其他方式修改以反映状态的变化(如雇佣终止或责任变更)交织在一起。
最近的OCR指南和MHS解决方案应该为实施有效的审计控制和监控ePHI访问的必要性敲响警钟。所覆盖的实体和业务伙伴必须通过审计跟踪、访问报告和安全事件跟踪报告来检查信息系统活动,以发现不适当访问或威胁的迹象。当不再需要或不再合理时,应终止用户的访问。
不采取这些措施可能会造成严重后果,包括误用和不当披露患者信息,导致OCR和州检察长采取强制行动,以及集体诉讼和信誉损失。
Rick L. Hindmand,法学博士,芝加哥麦当劳霍普金斯有限责任公司的医疗保健律师,与供应商和组织合作,处理监管、数据隐私、网络安全、企业、交易和报销事宜。
