你不能把责任外包出去!
本·亨特,III, CPA, ctp, CISA, CRISC, CFE
许多较小的十大赌博靠谱信誉的平台将其IT功能外包出去. 外包本身并没有什么错. 它使外包十大赌博靠谱信誉的平台节省了资金,并使许多较小的It十大赌博靠谱信誉的平台创造了就业机会,为经济做出了贡献. 然而,我经常发现没有与IT十大赌博靠谱信誉的平台签订合同. 许多十大赌博靠谱信誉的平台都认为,只要他们收到他们的电子邮件,就可以访问他们的数据, IT十大赌博靠谱信誉的平台正在做它的工作,一切都很好. 要遵守法规,甚至要安全操作,还有很多事情要做. 作为数据的所有者, 您要对您的客户和管理IT供应商的监管机构负责.
当涉及到HIPAA时,遵从性是必不可少的, 因为如果你不遵守规定,卫生与人类服务部(HHS)的民权办公室(OCR)和州检察长有权关闭你的企业,并处以罚款和惩罚性措施. 业务伙伴及其分包商与所涵盖的实体具有相同的遵从性要求.
当您在寻找外部IT供应商时,请验证该供应商是否符合HIPAA. 供应商可以在数据处于静止和传输状态时为您的电子个人健康信息(ePHI)提供加密. 供应商在数据中心拥有其物理安全性, 用高科技锁, 相机, 陷阱门, 访问日志, 等. IT供应商正在管理您的访问控制, 确保你的员工只能访问他们工作所需的数据.
但是谁在管理IT供应商呢? 您是否对IT供应商执行审计? 你对员工进行背景调查. 你的IT供应商,你验证了吗? 如果您的IT供应商正在管理您的服务器,那么它具有对您所有数据的管理访问权限. 重要的是要知道,具体来说,谁有权访问您系统的管理员密码.
遵守HIPAA安全规则, 漏洞扫描通常作为定期评估安全措施有效性的一部分执行. 漏洞扫描是您与IT供应商合同的一部分吗? 您是否与您的IT供应商制定了补丁管理政策? 定期执行漏洞扫描是个好主意, 但这些漏洞需要修复. 修复漏洞的主要方式是通过供应商补丁——需要安装的补丁. 我们都听说了Equifax被入侵的事, 但是你知道吗,威胁代理之所以能够入侵Equifax,是因为Equifax在补丁发布几个月后没有安装补丁? 在我看来, 由于未安装补丁而丢失ePHI将无法满足安全规则所要求的“合理和适当的保障措施”. 您可能期望您的IT供应商对补丁了如指掌,但您必须再次检查? 您可以在Google上搜索您正在使用的软件的最新可用补丁,然后询问系统上安装的软件版本的屏幕截图. 这个过程很简单,所有人都需要不到一个小时的时间.
我已与各种受保实体(保健信息交换所)谈过, 传播ePHI的卫生保健提供者, 以及他们的商业伙伴),我听到一种常见的做法是“定期评估安全措施的有效性”,这意味着每两年由第三方进行一次HIPAA评估. 我不确定2年的时间表是从哪里开始的. 对你的生意来说,这可能是一个可以接受的时间表. 如果你的员工流动率不高, 您的业务流程不会经常更改, 你要进行持续的风险分析, 那么每两年一次可能是可以接受的. 如果这些属性不适用于您的业务,那么我怀疑OCR将存在一些问题.
对外包责任进行“合理、适当的管理”, “技术和物理防护”是有效的商业惯例. 但是,您不能将该ePHI的保护责任外包出去. 您的IT供应商也需要管理.
HIPAA于1996年颁布, 安全条例, 被称为安全规则, 出版于2月20日, 2003. 你可以用“45 CFR Part 160和Part 164, subpart A和subpart C”来搜索法规的文本.“HHS对安全规则有一个很好的总结,在这里:
本·亨特,三岁 CISO、咨询服务主管、CPA/ ctp、CISA、CRISC、CDPSE、CISM
Ben是BRC的首席信息安全官,也是我们十大赌博靠谱信誉的平台风险咨询服务实践的负责人. 他专门从事网络安全和信息技术审计和评估. Ben在美国海军陆战队开始了他的网络安全生涯. 成为注册会计师后, 他继续他的网络安全和IT审计培训[…]