HIPAAロギング要件
-
プロバイダーの柔軟性
-
HIPAA監査制御規則は、「エンティティは、自分のリスク分析によって必要と思われるニーズに適した方法で標準を実装する柔軟性を持っている」と確立しています。これにより、他の情報技術手順の中でも、それぞれの影響を受ける当事者または組織がコンピューターログインおよびログアウト手順を開発する際にそれ自体を決定しなければならない灰色の領域が残ります。しかし、非常に多くの施設や企業が連邦政府と協力して遵守しているため、一般的な基準が登場しました。
一般的なイベント
-
情報システムサーバーは、長期レコードのロギングデータをキャプチャして記録できる必要があります。特に、ロギングに関連するイベントには、成功したログインの試みと失敗のログイン試行、ログアウト、ユーザーアカウントの変更、特権レベルの変更、特権アカウントとユーティリティの使用、過度の失敗のログインのインスタンス、および1人のユーザーがすぐにログアウトするイベントのインスタンスを含める必要があります。
監視活動
-
システム管理者には、ロギングコンプライアンスを確保するための特別な責任があります。複数の失敗したログインやシステムに対するログイン攻撃などの疑わしいイベントには、調査のフォローアップが必要です。ユーザーは、非常に強力で一般的に複雑なパスワードを持つ必要があります。疑わしいイベントは、管理職員と一緒にレビューする必要があります。システムは、システムとファイルの変更を実行したユーザーに相関させる必要があります。
一般的なコントロール
-
組織には、どのシステムがどの情報を記録できるかについての詳細な記録が必要です。また、どのユーザーがどのシステムでどのようなタスクを実行するかを慎重に追跡する必要があります。ログインは、各ユーザーがすべてのシステムで行ったことを示す監査証跡をシステム管理者と組織マネージャーに提供する必要があります。
-