Machen Sie Spiceworks HIPAA-kompatibel - Wie Man

Machen Sie Spiceworks HIPAA-kompatibel

Die HIPAA-Gesetze wurden absichtlich vage formuliert, um auf jeden angewendet werden zu können. Meiner Meinung nach sind wir alle anfällig für die Meinung und das Erbarmen eines HIPAA-Auditors. Spiceworks von sich aus fallen nicht in den Zuständigkeitsbereich von HIPAA, können aber unter Umständen Daten enthalten, die dies tun. Ein gutes Beispiel dafür ist, wenn eine Krankenschwester ein Ticket erstellt, das sich auf eine Patientenakte in einem EHR-System bezieht. Sie stellen möglicherweise nicht einmal fest, dass sie Informationen veröffentlichen, die sich nicht außerhalb des EHR-Systems befinden sollten. An dieser Stelle ist die IT für den Schutz dieser Daten verantwortlich.

Dies sind die Sicherheitsregeln. Diese Liste enthält keine Datenschutzbestimmungen oder Benachrichtigung über Verstöße. Die Regeln werden in 'Erforderlich' (20 Regeln) und 'Adressierbar' (22 Regeln) eingeteilt. Adressierbar bedeutet nicht optional. Sie müssen sich immer noch mit dem Problem befassen, aber es muss möglicherweise nichts weiter unternommen werden, als zu bestätigen, dass es existiert. Erforderliche Regeln, na ja, sie sind erforderlich.

Haftungsausschluss: Ich bin kein HIPAA-Experte. Ich habe kein HIPAA-Audit durchlaufen. Dies ist nur eine Sammlung der Maßnahmen, die wir ergreifen.

Nach all dem gesagt, hier sind alle HIPAA-Regeln, wie sie für eine Spiceworks-Installation gelten, wie von philipmjr interpretiert.

44 Schritte insgesamt

Schritt 1: § 164.308 (a) (1) (ii) (A) - RISIKOANALYSE (R) Erforderliche Regel 1

Binden Sie Ihre Spiceworks-Installation in Ihre Risikoanalyse ein.

Schritt 2: §164.308 (a) (1) (ii) (B) - RISIKOMANAGEMENT (R) Erforderliche Regel 2

Fügen Sie Ihre Spiceworks-Installation in den Plan ein, den Sie nach der Risikoanalyse erstellen.

Schritt 3: § 164.308 (a) (1) (ii) (C) - SANKTIONSPOLITIK (R) Erforderliche Regel 3

Sanktionieren Sie Benutzer, die Ihre Richtlinien bezüglich der Verwendung von Spiceworks nicht einhalten.

Schritt 4: §164.308 (a) (1) (ii) (D) - ÜBERPRÜFUNG DES INFORMATIONSYSTEMS (R) Erforderliche Regel 4

Schließen Sie den Server ein, auf dem Spiceworks in Ihrem Syslog installiert ist.

Schritt 5: § 164.308 (a) (2) - ZUGEORDNETE VERANTWORTUNG FÜR DIE SICHERHEIT (R) Erforderliche Regel 5

Lassen Sie einen HIPAA-Sicherheitsbeauftragten beauftragen, vorzugsweise einen Arzt.

Schritt 6: § 164.308 (a) (3) (ii) (A) - ZULASSUNG UND / ODER ÜBERWACHUNG (A) Adressierbare Regel 1

Erlauben Sie nur autorisierten Benutzern den Zugriff auf Spiceworks sowohl auf der Benutzer- als auch auf der Administratorseite.

Schritt 7: § 164.308 (a) (3) (B) - ARBEITSKRAFTVERFAHREN (A) Adressierbare Regel 2

Überprüfen Sie regelmäßig die Berechtigungen für Spiceworks

Schritt 8: § 164.308 (a) (3) (C) - KÜNDIGUNGSVERFAHREN (A) Adressierbare Regel 3

Wenn ein autorisierter Benutzer von Spiceworks gekündigt wird / aus dem Unternehmen ausscheidet, entfernen oder deaktivieren Sie dieses Benutzerkonto in Spiceworks / Active Directory.

Schritt 9: § 164.308 (a) (4) (ii) (A) - ISOLIERENDE GESUNDHEITSPFLEGEHILFEFUNKTIONEN (R) Erforderliche Regel 6

Spiceworks ist keine Software für das Clearinghaus im Gesundheitswesen. Die Chancen stehen gut, dass Ihr Unternehmen kein Clearinghaus für das Gesundheitswesen ist. Wenn Ihr Unternehmen eine Clearing-Stelle für das Gesundheitswesen ist, können Sie diese Regel gut interpretieren.

Schritt 10: § 164.308 (a) (4) (ii) (B) - ZUGANGSERLAUBNIS (A) Adressierbare Regel 4

Wenn Sie einen neuen Mitarbeiter einstellen, geben Sie ihm den geeigneten Zugang zu Spiceworks, der für Ihre Arbeit erforderlich ist.

Schritt 11: § 164.308 (a) (4) (ii) (C) - ZUGANGSBESTIMMUNG UND ÄNDERUNG (A) Adressierbare Regel 5

Wenn sich die Anforderungen eines Benutzers ändern (d. H. Eine neue Position oder Beförderung erhalten), ändern Sie den Zugriff entsprechend.

Schritt 12: § 164.308 (a) (5) (ii) (A) - SICHERHEITSERKENNZEICHNEN (A) Adressierbare Regel 6

Anwenden von Sicherheitsupdates und Patches auf den Server, auf dem Spiceworks installiert ist, und ein Upgrade von Spiceworks durchführen, wenn eine neue Version verfügbar ist.

Schritt 13: § 164.308 (a) (5) (ii) (B) - SCHUTZ VOR MALIZIELLER SOFTWARE (A) Adressierbare Regel 7

Installieren Sie auf Ihrem Spiceworks-Server eine Anti-Virus- / Anti-Spyware- / Anti-Malware- / Anti-wasel-Software.

Schritt 14: § 164.308 (a) (5) (ii) (C) - LOG-IN-ÜBERWACHUNG (A) Adressierbare Regel 8

Aktivieren Sie in Ihrer Spiceworks-Installation die Einstellungen für das Gruppenrichtlinienobjekt "Computerkonfiguration Richtlinien Windows-Einstellungen Sicherheitseinstellungen Lokale Richtlinien Überwachung ...". Dann protokollieren Sie die Ereignis-ID 4648 oder andere Ereignisse nach Bedarf. Hier ist eine gute Referenz, obwohl es ein bisschen veraltet sein kann. http://www.windowsecurity.com/articles/event-ids-windows-server-2008-vista-revealed.html

Schritt 15: § 164.308 (a) (5) (ii) (D) - PASSWORTVERWALTUNG (A) Adressierbare Regel 9

Legen Sie eine Kennwortrichtlinie in AD und Spiceworks fest und setzen Sie diese durch.

Schritt 16: § 164.308 (a) (6) (ii) - ANTWORT UND BERICHTERSTATTUNG (R) Erforderliche Regel 7

Wenn Sie Ihre Sicherheitsvorfallsrichtlinie erstellen, schließen Sie Ihre Spiceworks-Installation als potenziellen Verstoßpunkt ein.

Schritt 17: § 164.308 (a) (7) (ii) (A) - DATENSICHERUNGSPLAN (R) Erforderliche Regel 8

Sichern Sie Ihre Spiceworks-Installation und den Server, auf dem sie installiert ist.

Schritt 18: § 164.308 (a) (7) (ii) (B) - DESASTER RECOVERY PLAN (R) Erforderliche Regel 9

Binden Sie Ihren Spiceworks-Server in Ihr DRP ein.

Schritt 19: § 164.308 (a) (7) (ii) (C) - NOT-BETRIEBSPLAN (R) Erforderliche Regel 10

Binden Sie Ihren Spiceworks-Server in Ihr EMOP ein. Im Notfall haben die Leute immer noch IT-Probleme.

Schritt 20: § 164.308 (a) (7) (ii) (D) - PRÜFUNGS- UND ÜBERARBEITUNGSVERFAHREN (A) Adressierbare Regel 10

Schließen Sie Ihren Spiceworks-Server ein, wenn Sie DRP und EMOP testen.

Schritt 21: § 164.308 (a) (7) (ii) (E) - ANWENDUNGEN UND DATENKRITICALITY-ANALYSE (A) Adressierbare Regel 11

Wie wichtig ist es, dass Benutzer die IT während einer DRP- oder EMOP-Krise über Probleme informieren können? Sehr! Holen Sie sich Spiceworks frühzeitig im Prozess. Ich schlage AD / DNS vor und maile dann Spiceworks, dann den Rest.

Schritt 22: § 164.308 (a) (8) - BEWERTUNG (R) Erforderliche Regel 11

Ahh, das Geschenk der HIPAA, das immer weiter gibt. Wenn Sie der Meinung sind, dass Sie mit der HIPAA-Konformität fertig sind, ist dies nicht der Fall. Gehen Sie zurück zum Anfang und überprüfen Sie, was Sie getan haben. Dann, wenn Sie denken, dass Sie danach fertig sind, tun Sie es immer wieder und wieder und wieder und wieder…

Schritt 23: § 164.308 (b) (4) - SCHRIFTLICHER VERTRAG ODER ANDERE REGELUNGEN (R) Erforderliche Regel 12

Wenn Sie Jim Kubicek dazu bringen, an Ihrer Spiceworks-Installation zu arbeiten, bitten Sie ihn, einen Business Associate-Vertrag zu unterzeichnen. Machen Sie dasselbe für alle, die irgendetwas in Ihrem Netzwerk berühren, durch das sie möglicherweise mit EPHI (elektronische geschützte Gesundheitsinformationen) in Kontakt kommen.

Schritt 24: § 164.310 (a) (2) (i) - CONTINGENCY-OPERATIONEN (A) Adressierbare Regel 12

Erlauben Sie im DRP- oder EMOP-Modus den Zugriff auf die Einrichtung, um Daten wiederherzustellen. Lassen Sie die erforderlichen Personen im Serverraum, damit sie Ihren Spiceworks-Server wiederherstellen können.

Schritt 25: § 164.310 (a) (2) (ii) - FACILITY-SICHERHEITSPLAN (A) Adressierbare Regel 13

Schließen Sie Ihren Serverraum ab und gewähren Sie nur autorisierten Mitarbeitern den Zugriff. Schützen Sie den Spiceworks-Server vor Zombies.

Schritt 26: § 164.310 (a) (2) (iii) - ZUGRIFFSSTEUERUNGS- UND VALIDIERUNGSVERFAHREN (A) Adressierbare Regel 14

Schreiben Sie eine Prozedur, um zu ermitteln, wer Zugriff auf den Serverraum hat. Falls erforderlich, implementieren Sie ein Passkey- oder RFID-Zugriffssystem. Kein unberechtigter Zugriff auf den Spiceworks-Server.

Schritt 27: § 164.310 (a) (2) (iv) - WARTUNGSAUFNAHMEN (A) Adressierbare Regel 15

Wenn der Raum, in dem sich der Spiceworks-Server befindet, geändert wird (z. B. neue Türen, Wände, Schlösser usw.), führen Sie Aufzeichnungen über die Arbeit.

Schritt 28: § 164.310 (b) - WORKSTATION USE (R) Erforderliche Regel 13

Wenn sich Ihre Spiceworks-Installation auf einem Computer befindet, der öffentlich angezeigt werden kann, verwenden Sie einen Bildschirm zum Schutz der Privatsphäre und melden Sie sich automatisch ab. Dann überlege dir den Fehler wenn du willst und bring ihn in den Serverraum.

Schritt 29: § 164.310 (c) - WORKSTATION SECURITY (R) Erforderliche Regel 14

Die Installation von Spiceworks sollte sich auf einem Server im Serverraum befinden. Wenn Sie es aus irgendeinem Grund auf einer Workstation installiert haben (wahrscheinlich in der Schwesternstation, im Abrechnungsbüro oder an einem Ort, an dem sterbliche Benutzer darauf zugreifen können), stellen Sie sicher, dass niemand damit davonkommen kann. Dann überlege dir den Fehler wenn du willst und bring ihn in den Serverraum.

Schritt 30: § 164.310 (d) (2) (i) - ENTSORGUNG (R) Erforderliche Regel 15

Wenn Sie das Festplattenlaufwerk außer Betrieb setzen, auf dem Spiceworks installiert ist, zerstören Sie das Laufwerk physisch.

Schritt 31: § 164.310 (d) (2) (ii) - MEDIENWIEDERVERWENDUNG (R) Erforderliche Regel 16

Wenn Sie das von Spiceworks installierte Festplattenlaufwerk außer Betrieb nehmen und das Laufwerk wiederverwenden möchten, löschen Sie es zuerst mit DoD.

Schritt 32: § 164.310 (d) (2) (iii) - VERANTWORTLICHKEIT (A) Adressierbare Regel 16

Verwenden Sie Spiceworks, um den Server zu verfolgen, auf dem Spiceworks installiert ist.

Schritt 33: § 164.310 (d) (2) (iv) - DATENSICHERUNG UND LAGERUNG (A) Adressierbare Regel 17

Sichern Sie Ihre Spiceworks-Installation. Ich schlage Unitrends vor.

Schritt 34: § 164.312 (A) (2) (I) - UNIQUE USER IDENTIFICATION (R) Erforderliche Regel 17

Geben Sie jedem Benutzer eine eindeutige Benutzer-ID. Verwenden Sie Active Directory für Benutzer und einzelne Administratorkonten in Spiceworks.

Schritt 35: § 164.312 (a) (2) (ii) - NOTFALLZUGRIFFSVERFAHREN (R) Erforderliche Regel 18

Installieren Sie Spiceworks nach Möglichkeit in einer virtuellen Umgebung. Wenn nicht, sollten Sie ein Bare-Metal-Backup / Restore-System haben. Wenn dies nicht möglich ist, halten Sie einen identischen physischen Ersatzserver für den Fall bereit, dass die Produktionsbox ausfällt.

Schritt 36: § 164.312 (a) (2) (iii) - AUTOMATIC LOGOFF (A) Adressierbare Regel 18

Braucht das wirklich eine Erklärung?

Schritt 37: § 164.312 (a) (2) (iv) - ENCRYPTION UND DECRYPTION (A) Adressierbare Regel 19

Wenn Ihre Spiceworks-Installation anfällig für physische Diebstahl ist (d. H. Sie ist nicht in Ihrem Serverraum gesperrt), verschlüsseln Sie das Laufwerk. Bitlocker oder Truecrypt funktionieren.

Schritt 38: § 164.312 (b) - AUDIT CONTROLS (R) Erforderliche Regel 19

Aktivieren Sie die Überwachung auf dem Spiceworks-Server mit einem Gruppenrichtlinienobjekt.

Schritt 39: § 164.312 (c) (1) - MECHANISMUS ZUR AUTHENTIFIZIERUNG VON ELEKTRONISCH GESCHÜTZTEN GESUNDHEITSINFORMATIONEN (A) Adressierbare Regel 20

Ihre Active Directory / Spiceworks-Anmeldeinformationen und Datensicherungen behandeln dies. AD / Spiceworks-Berechtigungsnachweis verhindert unberechtigten Zugriff, und Backups können zerstörte Daten wiederherstellen.

Schritt 40: § 164.312 (d) - PERSON ODER ENTZÜNDUNG (R) Erforderliche Regel 20

Active Directory- und Spiceworks-Administratoranmeldeinformationen behandeln dies.

Schritt 41: § 164.312 (e) (2) (i) - INTEGRITÄTSKONTROLLEN (A) Adressierbare Regel 21

Verwenden Sie Port 443 für den Zugriff auf Spiceworks.

Schritt 42: § 164.312 (e) (2) (ii) - VERSCHLÜSSELUNG (A) Adressierbare Regel 22

Verwenden Sie VPN oder SSL / VPN, um auf Spiceworks von außerhalb Ihres Netzwerks zuzugreifen. Verwenden Sie mindestens Port 443 und SSL, wenn Sie über eine Firewall weiterleiten.

Schritt 43: GO VOTE !!!!

Diese Regeln sind total verrückt! Die Kosten für die vollständige Implementierung aller HIPAA-Anforderungen sind erstaunlich. Stimmen Sie die Leute ins Amt, die das Gesundheitssystem wieder in ein vernünftiges Verhältnis bringen. Der derzeitige Weg (Stand 15.08.2012) wird nicht zu einer besseren Gesundheitsversorgung führen, im Gegenteil.

Wenn Sie glauben, dass die Gesundheitsfürsorge jetzt teuer ist, warten Sie, bis sie kostenlos ist.

Schritt 44: Nochmals abstimmen in 2016 !!!

Wir haben den Falschen ausgewählt, um das Problem zu beheben.

Also da hast du es. Eine Regel für Regel, die erläutert, wie sich die HIPAA-Regeln auf eine Spiceworks-Installation beziehen. Viel Glück mit dir.