ב -1996 העביר הקונגרס האמריקני את חוק ביטוח בריאות ומדיניות ביטוח - HIPAA - כדי להסדיר כיצד מוסדות הבריאות חושפים מידע רפואי של חולים. מחלקת הבריאות ושירותי האנוש עוקבת אחר האופן שבו ארגונים רפואיים עומדים בדרישות החוק. רואי חשבון משתמשים ברשימת בדיקה בעת בדיקת תהליכי רישום נתונים רפואיים של חברות.
ניתוח סיכונים והערכה
HIPAA דורש כי כל הארגונים הרפואיים - במיוחד המוסדות המעורבים באיסוף, שימור והעברת מידע רפואי - מבצעים ניתוח סיכונים תקופתיים ומבדקי הערכה. מבקר המתבונן בתאימות HIPAA מבטיח שכל היחידות העסקיות יפקחו על הסיכונים העלולים לגרום לחברה להפסדים עקב הפרות נתונים. ניתוח סיכונים מזהה אזורים עסקיים המהווים איומים תפעוליים משמעותיים עבור תאימות האבטחה של HIPAA. הערכת הסיכון קובעת את היקף ההפסדים שעלולים להיגרם למוסד במקרה של התקפות פנימיות או מבחוץ.
ניתוח פערים
במינוח HIPAA, ניתוח פערים מתייחס להליכים הדרושים למפות דרישות אבטחה לתשתית האבטחה הקיימת של הארגון הרפואי. במילים אחרות, רואי החשבון מנתחים הנחיות רגולטוריות ומשווים אותם עם מערכות אבטחה ארגוניות, ומאמתים אם מערכות אלו עומדות על פי המעשה. ניתוח הפער עוקב אחר ארבעה שלבים: זיהוי פערים, קביעת פעילויות תיקון, הקצאת פרויקטים והקצאת משאבים. לאחר זיהוי חולשות הביטחון, המבקר מבטיח כי מנהלי מחלקות יש פתרונות מקלים במקום. אז סוקרים לוודא מקצבים קטע להקצות משאבים מספיקים לפרויקטים הקלה.
תיקון
תיקון הוא פריט חשוב ברשימת ביקורת עבור HIPAA. רואי החשבון להסתמך על הנחיות HHS כדי להבטיח לארגון יש משאבים נאותים כדי לתקן את הפרות אבטחה פוטנציאליים. הכלים הטכנולוגיים החדישים ביותר הם חלק בלתי נפרד מהליכי התיקון. כלים אלה כוללים תוכנת ניהול קשרי לקוחות, יישומי תכנון משאבים ארגוניים, תוכנה להנדסת תהליכים ותוכנות למעקב אחר פגם. כלים אחרים המשמשים לתיקון איומי אבטחה פוטנציאליים כוללים סיווג או סיווג תוכנה, לוח שנה ותזמון תוכנה, תוכניות ניהול קשרי המטופל ותוכנה לניהול פרויקטים.
תכנון מגירה
חברות עוסקות בתכנון מגירה על מנת להבטיח כי הפעילות העסקית לא יופסקו על ידי חירום, תאונה או שיבושים תפעוליים אחרים. כדי למנוע את ההפסדים המשמעותיים שעשויים להגיע עם קיפאון תפעולי, חברות לצייר תוכניות מגירה, הידוע גם תוכניות המשכיות עסקית. מומחי HIPAA בודקים את תוכניות ההמשכיות העסקית של הארגון הרפואי כדי לוודא שהתכניות מתייחסות לנושאים תפעוליים חשובים שעשויים להתעורר במצבי חירום. באופן ספציפי, המבקרים בודקים כיצד חברות יכולות לשחזר פעולות באתר חלופי ולשחזר פעולות באמצעות ציוד חלופי, צריך להכות אסון.
מדיניות כוח אדם
HIPAA אודיטורים לנפות באמצעות מדיניות משאבי אנוש של החברה כדי להבטיח כי אנשי שמירה רשומות רפואיות בעלי ידע טכני ואת הכישורים המתאימים לתפקיד. אנשי צוות אלה כוללים טכנאי תקליטים רפואיים, רשומות רפואיות ומומחי מידע בריאותי, פקידים ומפתחי מידע רפואיים, לפי O * Net Online, מחלקת המחקר התעסוקתי של משרד העבודה האמריקני.
