В 1996 году Конгресс США принял Закон об обеспечении мобильности и подотчетности медицинского страхования - HIPAA - для регулирования того, как медицинские учреждения раскрывают медицинскую информацию пациентов. Министерство здравоохранения и социальных служб следит за тем, как медицинские организации соблюдают закон. Аудиторы используют контрольный список при тестировании процессов регистрации медицинских данных компаний.
Анализ и оценка рисков
HIPAA требует, чтобы все медицинские организации - особенно учреждения, занимающиеся сбором, хранением и передачей медицинской информации - проводили периодические сеансы анализа и оценки рисков. Аудитор, проверяющий соответствие HIPAA, гарантирует, что все бизнес-подразделения отслеживают риски, которые могут привести к убыткам фирмы из-за утечки данных. Анализ рисков выявляет корпоративные области, представляющие основные операционные угрозы для соответствия требованиям безопасности HIPAA. Оценка риска определяет степень убытков, которые организация может понести в случае нападений со стороны или со стороны.
Анализ разрыва
В терминологии HIPAA анализ пробелов относится к процедурам, необходимым для сопоставления требований безопасности с существующей инфраструктурой безопасности медицинской организации. Другими словами, аудиторы анализируют нормативные указания и сравнивают их с корпоративными системами безопасности, проверяя, соответствуют ли эти системы действию. Анализ пробелов проводится в четыре этапа: выявление пробелов, определение действий по исправлению, определение приоритетов проекта и распределение ресурсов. После выявления слабых мест в области безопасности аудиторы проверяют наличие у руководителей департаментов смягчающих решений. Затем рецензенты проверяют, что руководители сегментов выделяют достаточные ресурсы для проектов по смягчению последствий.
Санация
Исправление является важным пунктом в контрольном списке аудита для HIPAA. Аудиторы полагаются на директивы HHS, чтобы обеспечить наличие у организации достаточных ресурсов для устранения возможных нарушений безопасности. Современные технологические инструменты являются неотъемлемой частью процедур восстановления. Эти инструменты включают программное обеспечение для управления взаимоотношениями с клиентами, приложения для планирования ресурсов предприятия, программное обеспечение для реинжиниринга процессов и программное обеспечение для отслеживания дефектов. Другие инструменты, используемые для устранения потенциальных угроз безопасности, включают программное обеспечение для категоризации или классификации, программное обеспечение для календаря и планирования, программы управления отношениями с пациентами и программное обеспечение для управления проектами.
Планирование на случай непредвиденных
Компании занимаются планированием на случай непредвиденных обстоятельств, чтобы гарантировать, что корпоративная деятельность не будет остановлена из-за чрезвычайной ситуации, аварии или других сбоев в работе. Чтобы предотвратить существенные убытки, которые могут возникнуть в результате оперативных остановок, фирмы составляют планы на случай непредвиденных обстоятельств, также известные как планы обеспечения непрерывности бизнеса. Аудиторы HIPAA проверяют планы обеспечения непрерывности бизнеса медицинской организации, чтобы убедиться, что эти планы решают важные операционные проблемы, которые могут возникнуть в чрезвычайных ситуациях. В частности, аудиторы проверяют, как компании могут восстановить операции на альтернативном сайте и восстановить операции с использованием альтернативного оборудования в случае стихийного бедствия.
Кадровая политика
Аудиторы HIPAA просматривают корпоративную кадровую политику, чтобы гарантировать, что персонал, ведущий медицинские записи, обладает техническими знаниями и соответствующими навыками для работы. По данным O * Net Online, отдела профессиональных исследований Министерства труда США, этот персонал включает техников, занимающихся медицинской историей, медицинских карт и специалистов по медицинской информации, клерков и кодировщиков медицинской информации.
