През 1996 г. конгресът на САЩ прие Закона за преносимостта и отчетността на здравната застраховка - HIPAA - за да регулира как здравните институции разкриват медицинската информация на пациентите. Министерството на здравеопазването и социалните услуги наблюдава как медицинските организации спазват закона. Одиторите използват контролен списък, когато изпитват процесите на записване на медицински данни на компаниите.
Анализ и оценка на риска
HIPAA изисква всички медицински организации - особено институции, които участват в събирането, съхраняването и прехвърлянето на медицинска информация - да провеждат периодични анализи на риска и сесии за оценка. Одиторът, който извършва преглед на спазването на HIPAA, гарантира, че всички бизнес единици наблюдават рисковете, които могат да накарат дадена фирма да понесе загуби поради нарушения на данните. Анализът на риска идентифицира корпоративни зони, които представляват големи оперативни заплахи за спазването на изискванията за сигурност HIPAA. Оценката на риска определя степента на загубите, които дадена институция може да понесе в случай на вътрешна или външна атака.
Анализ на пропуските
В терминологията на HIPAA анализът на пропуските се отнася до процедури, необходими за определяне на изискванията за сигурност към съществуващата инфраструктура за сигурност на медицинската организация. С други думи, одиторите анализират регулаторните насоки и ги сравняват с корпоративните системи за сигурност, като проверяват дали тези системи спазват закона. Анализът на пропуските се състои от четири стъпки: идентифициране на пропуски, определяне на дейности по възстановяване, приоритизиране на проектите и разпределяне на ресурсите. След идентифициране на слабостите в сигурността, одиторите гарантират, че ръководителите на отдели имат действащи смекчаващи решения. След това рецензентът се уверява, че ръководителите на сегменти разпределят достатъчно ресурси за проекти за смекчаване.
саниране
Ремедиацията е важна точка на контролен списък за одит на HIPAA. Одиторите разчитат на директивите на HHS, за да гарантират, че дадена организация разполага с подходящи ресурси за преодоляване на потенциалните нарушения на сигурността. Съвременните технологични инструменти са неразделна част от процедурите за възстановяване. Тези инструменти включват софтуер за управление на взаимоотношенията с клиенти, приложения за планиране на ресурсите на предприятието, софтуер за реинженеринг на процеси и софтуер за проследяване на дефекти. Други средства, използвани за отстраняване на потенциалните заплахи за сигурността, включват софтуер за категоризация или класификация, софтуер за календар и график, програми за управление на отношенията с пациенти и софтуер за управление на проекти.
Планиране при извънредни ситуации
Компаниите се ангажират с планиране на непредвидени ситуации, за да гарантират, че корпоративните дейности не се спират от извънредна ситуация, злополука или други прекъсвания в работата. За да се предотвратят значителните загуби, които могат да дойдат с оперативни прекъсвания, фирмите изготвят планове за извънредни ситуации, известни също като планове за непрекъснатост на бизнеса. Одиторите HIPAA проверяват плановете за непрекъснатост на дейността на медицинската организация, за да гарантират, че плановете разглеждат важни оперативни проблеми, които могат да възникнат при спешни случаи. По-конкретно, одиторите проверяват как компаниите биха могли да възстановят операциите си на алтернативен сайт и да възстановят операции, използващи алтернативно оборудване, в случай на бедствие.
Персонални политики
Одиторите HIPAA пресяват корпоративните политики за човешки ресурси, за да гарантират, че персоналът, който поддържа медицински записи, притежава технически познания и подходящи умения за работа. Тези служители включват техници за здравни досиета, медицински досиета и специалисти по здравна информация, медицински служители и кодери, според O * Net Online, клонът за професионални изследвания на Министерството на труда в САЩ.