في عام 1996 ، أصدر الكونغرس الأمريكي قانون التأمين الصحي وقابلية التأمين - HIPAA - لتنظيم كيفية إفصاح مؤسسات الرعاية الصحية عن المعلومات الطبية للمرضى. تراقب وزارة الصحة والخدمات الإنسانية كيفية امتثال المنظمات الطبية للقانون. يستخدم المراجعون قائمة مرجعية عند اختبار عمليات تسجيل البيانات الطبية للشركات.
تحليل المخاطر وتقييمها
تتطلب HIPAA أن تقوم جميع المنظمات الطبية - وخاصة المؤسسات العاملة في جمع المعلومات الطبية والاحتفاظ بها ونقلها - بإجراء دورات دورية لتحليل المخاطر وتقييمها. يضمن مدقق الحسابات الذي يقوم بمراجعة الامتثال لقانون HIPAA أن تقوم جميع وحدات الأعمال بمراقبة المخاطر التي قد تتسبب في تكبد الشركة خسائر بسبب خروقات البيانات. يحدد تحليل المخاطر مجالات الشركات التي تشكل تهديدات تشغيلية رئيسية لالتزام أمان HIPAA. يحدد تقييم المخاطر مدى الخسائر التي قد تعاني منها المؤسسة في حالة الهجمات الداخلية أو الخارجية.
تحليل الفجوات
في مصطلحات HIPAA ، يشير تحليل الفجوات إلى الإجراءات اللازمة لرسم خريطة لمتطلبات الأمان للبنية التحتية الأمنية الحالية في المؤسسة الطبية. بعبارة أخرى ، يقوم المدققون بتحليل المبادئ التوجيهية التنظيمية ومقارنتها مع أنظمة أمن الشركات ، والتحقق مما إذا كانت هذه الأنظمة تلتزم بهذا الفعل أم لا. يتبع تحليل الفجوة أربع خطوات: تحديد الفجوات ، وتحديد أنشطة الإصلاح ، وتحديد أولويات المشروع وتخصيص الموارد. بعد تحديد نقاط الضعف الأمنية ، يضمن المدققون أن رؤساء الأقسام لديهم حلول مخففة. ثم يتأكد المراجعون من أن رؤساء الأقسام يخصصون الموارد الكافية لمشروعات التخفيف.
معالجة
تعد عملية الإصلاح عنصرًا هامًا في قائمة مراجعة التدقيق لـ HIPAA. يعتمد مراجعو الحسابات على توجيهات HHS لضمان أن لدى المنظمة موارد كافية لمعالجة الخروقات الأمنية المحتملة. الأدوات التكنولوجية الحديثة هي جزء لا يتجزأ من إجراءات العلاج. تتضمن هذه الأدوات برنامج إدارة علاقات العملاء ، وتطبيقات تخطيط موارد المؤسسات ، وبرامج إعادة هندسة العمليات وبرامج تتبع العيوب. وتشمل الأدوات الأخرى المستخدمة لعلاج التهديدات الأمنية المحتملة تصنيف البرامج أو تصنيفها ، وبرامج التقويم والجدولة ، وبرامج إدارة علاقات المرضى وبرامج إدارة المشاريع.
التخطيط للطوارئ
تنخرط الشركات في التخطيط للطوارئ لضمان عدم توقف أنشطة الشركات عن طريق حالات الطوارئ أو الحوادث أو الاضطرابات التشغيلية الأخرى. من أجل منع الخسائر الكبيرة التي قد تحدث مع توقف العمليات ، تقوم الشركات بوضع خطط طوارئ ، تُعرف أيضًا باسم خطط استمرارية العمل. يتحقق مراجعو HIPAA من خطط استمرارية العمل الخاصة بالمؤسسة الطبية للتأكد من أن الخطط تتناول مشكلات التشغيل الهامة التي قد تنشأ في حالات الطوارئ. على وجه التحديد ، يتحقق المدققون من كيفية قيام الشركات باستعادة العمليات في موقع بديل واستعادة العمليات باستخدام معدات بديلة ، في حالة وقوع كارثة.
سياسات شؤون الموظفين
يقوم مراجعو HIPAA بتفحص سياسات الموارد البشرية للشركات لضمان أن الموظفين الذين يحتفظون بسجلات طبية يمتلكون المعرفة التقنية والمهارات المناسبة للعمل. يشمل هؤلاء الموظفون فنيو السجلات الصحية والسجلات الطبية وأخصائيو المعلومات الصحية وكُتُب المعلومات الطبية والمبرمجون ، وفقًا لـ O * Net Online ، فرع الأبحاث المهنية التابع لوزارة العمل الأمريكية.