Jag kommer att ta ett nytt jobb inom vårdbranschen som systemadministratör i början av nästa år, och under intervjuprocessen var min blivande chef mycket tydlig med att få vår infrastruktur att uppnå PCI- och HIPAA-efterlevnad. Om någon har bra läsmaterial, böcker eller utmaningar som jag bör se upp för, lyssnar jag gärna. Eller ögon, snarare, eftersom detta är ett textinlägg.
Jag hoppas att du får bra betalt.
Jag skulle föreslå att du försöker hitta ett mycket bra säkerhetskonsultföretag som fokuserar på PCI och HIPAA.
PCI handlar om att göra bedömningar för den relevanta kategorin och sedan checka av rutor för allt från policies till infrastruktursäkerhet till penetreringstester. HIPAA kommer att innebära mycket problem, inklusive policyutveckling, riskanalys och kontinuerlig efterlevnadsdokumentation.
Bli vän med efterlevnadsansvarig. (Jag hoppas att det inte är meningen att det ska vara du)
Om du är ansvarig för efterlevnad måste du låta dina överordnade veta att du behöver anlita ett konsultföretag. Inte för att du är dum eller så, utan för att folk gör karriärer av certifieringar, ackrediteringar och efterlevnad, och det är inte ett “kockjobb” att göra bakverk.
Jag har varit där, jag skulle definitivt kontakta praktikledning eller EHR/EMR-leverantör. De brukar ha en “checklista” över vad du behöver för att uppnå efterlevnad. Det största jag minns för att få min tidigare arbetsgivare redo för EHR/EMR och vidare HIPAA-efterlevnad var att göra en självutvärdering. Detta frågar i princip dig att överskåda infrastrukturen och se om det finns tydliga brister. Inga antivirus på datorer? Ingen ordentlig brandvägg? E-postfiltrering? Utrustning som inte längre är patchad, som Windows XP-maskiner?
Detta var för 2-3 år sedan, så saker kan ha förändrats sedan dess, men det vore en bra utgångspunkt. Om du vill läsa något innan du börjar det nya jobbet, kan webbplatser för Medicare/Medicaid ha riktlinjer för att bli HIPAA-efterlevande.
Det finns några väl recenserade böcker på Amazon. Det verkar som att PCI för dumma människor kan vara föråldrad, men om den inte är det skulle jag slå till.
Allt jag vet är att hantera PCI-efterlevnad ensam är en värld av smärta, så jag tycker synd om dig. Å andra sidan kommer du att vara en liten gud när du är klar.
Lycka till.
Börja med en självutvärdering. Ett verktyg vi använder är från Rapid Fire Tools. Jag hävdar inte att det är den definitiva källan, men det hjälper specifikt med IT-sidan och skannar nätverket och producerar lättförståeliga rapporter. Använd resultaten från detta verktyg eller något liknande och börja bocka av saker på listan. Kontakta sedan en tredje part för en bedömning. Deras värde är att hitta många överträdelser och detta är fint. Därefter definiera en förbättringsplan. 100 % efterlevnad kanske inte är möjlig första året på grund av kostnad och arbetsinsats för att implementera rekommendationer, men det är viktigare att visa granskning, kortsiktiga förbättringar och en långsiktig plan för att åtgärda de återstående problemen.
Det finns ingen riktig HIPAA-certifiering, men man kan uppnå HITRUST-certifiering, som strävar efter att vara kompatibel med alla HIPAA-krav och ofta går längre än så. Mycket av denna certifiering är dock inte teknisk. Organisationen måste stödja den eftersom det finns omfattande policy- och affärsprocesskrav.
Jag önskar dig lycka till.
Vänta, hur länge har den här organisationen varit i drift utan PCI och HIPAA-efterlevnad?
HIPAA-efterlevnad ska inte vara ett IT-ansvar. Det är en policy-makars ansvar. HIPAA-efterlevnadsgivaren skapar policyn och IT följer den. IT kan hjälpa till att ge rekommendationer för policyn, men bör inte skapa den själva.
PCI-efterlevnad faller lite mer under IT tack vare att det finns mer specifika riktlinjer för hur man gör saker. Prata mer med ledningen om detta istället för att ge dig direkt in i det.
För allt du vet kan det finnas ett 300-sidigt manual skrivet av HR om HIPAA-efterlevnad som täcker deras rövar på alla sätt och vis.
Redigering: Det som behöver göras först är att ta reda på vad som faller under PCI-efterlevnadskrav och vad som gäller för HIPAA-efterlevnad. För allt du vet kan det finnas en enda betalningspunkt som krävs för PCI-efterlevnad. Om det är så enkelt kan det handla om att säkra och följa policys för den punkten, och jobbet är gjort.
Jag är sysadmin för en organisation för mental hälsa. Jag måste också följa regler för utbildning som CIPA osv. Det är ärligt talat inte så “läskigt” som vissa skulle tro. Det som de flesta inte inser och där de ofta blir fängslade är brist på pappersspår. De flesta dataintrång sker på grund av användarfel eller social ingenjörskonst. Sällan sker intrång i nätverket för att erhålla någons medicinska information, låt oss vara ärliga, ingen bryr sig om dina klienters herpes. Om något är det betalningsinformation som bör vara isolerad från patientregister.
Mitt bästa råd är att följa protokoll för att säkra ditt nätverk precis som du skulle göra för vilken verksamhet som helst, dvs. ordentlig huvudnätverksskydd, krypterad överföring, lokal filkryptering, nätverkssegmentering, lagerbaserad autentisering osv. Fokusera på att se till att du kan logga allt som händer i ditt nätverk. Du vill kunna visa i händelse av ett intrång varje steg hur det inträffade. Ditt företag kommer fortfarande att bötfällas vid en överträdelse på grund av en användare som skickar information till fel person eller ovillkorligen ger den informationen till obehöriga. Men sedan blir det en användarfråga, inte ett IT-fråga, eftersom du kan tillhandahålla hela pappersspåret till var intrånget inträffade. Att säkra data för varje kund är viktigt oavsett verksamhetstyp. Spårning av data är det som verkligen skiljer medicinindustrin.
Vem är personuppgiftsskyddschefen?
Vem är säkerhetsansvarig?
Har en riskanalys utförts?
Vilka policies och rutiner finns för närvarande?
Ur ett rent tekniskt perspektiv kan några nyckelinitiativ vara:
Systemuppdateringar
Intrångsdetektering (IDS)
Portskanning
Fjärråtkomstkontroll, autentisering och granskning, t.ex. SecureLink
Leverantörsriktlinjer för förbättrad säkerhet, t.ex. DIACAP, NIST SP800-53
HIPAA-säkerhetsregelverket (Security Final Rule)
NIST SP 800-66
IHS HIPAA-säkerhetschecklista
https://www.ihs.gov/hipaa/documents/IHS_HIPAA_Security_Checklist.pdf