Lista de verificación de cumplimiento de hipaa
Use esta lista de verificación digitalizada para determinar qué tan conforme cumple su institución con las disposiciones de hipaa. los oficiales de seguridad de la información pueden usar esto como una guía para verificar lo siguiente: salvaguardas administrativas actualmente en vigencia, salvaguardas físicas implementadas, salvaguardas técnicas que se están utilizando.
¿Qué incluye este formulario?
Este formulario contiene 17 secciones:
(R) = Requerido (A) = Direccionable
164.308 (a) (1) (i) Proceso de gestión de seguridad: implementar políticas y procedimientos para prevenir, detectar, c
Salvaguardias Administrativas
- 164.308 (a) (1) (ii) (A) ¿Se ha completado un análisis de riesgos de las directrices IAW NIST? (R)
- 164.308 (a) (1) (ii) (B) ¿Se ha completado el proceso de Gestión de Riesgos IAW NIST Guidelines? (R)
- 164.308 (a) (1) (ii) (C) ¿Tiene sanciones formales contra los empleados que no cumplen con las políticas y procedimientos de seguridad? (R)
- 164.308 (a) (1) (ii) (D) ¿Ha implementado procedimientos para revisar regularmente los registros de la actividad de SI, tales como registros de auditoría, informes de acceso y seguimiento de incidentes de seguridad? (R)
- 164.308 (a) (2) Responsabilidad de seguridad asignada: Identifique al funcionario de seguridad que es responsable del desarrollo e implementación de las políticas y procedimientos requeridos por esta subparte para la entidad.
164.308 (a) (3) (i) Seguridad de la fuerza laboral: Implemente políticas y procedimientos para garantizar que todos los miembros de
164.308 (a) (4) (i) Gestión del acceso a la información: implementar políticas y procedimientos para autorizar acc
164.308 (a) (5) (i) Conciencia y capacitación en seguridad: Implemente un programa de concientización y capacitación en seguridad
164.308 (a) (6) (i) Procedimientos de incidentes de seguridad: implementar políticas y procedimientos para abordar la seguridad
164.308 (a) (7) (i) Plan de contingencia: establecer (e implementar según sea necesario) políticas y procedimientos para
164.308 (b) (1) Contratos de asociados comerciales y otros arreglos: una entidad cubierta, de acuerdo con wi
164.310 (a) (1) Controles de acceso a las instalaciones: implementar políticas y procedimientos para limitar el acceso físico a
Salvaguardas Físicas
- 164.310 (a) (2) (i) ¿Ha establecido (e implementado según sea necesario) procedimientos que permiten el acceso a las instalaciones en apoyo de la restauración de datos perdidos bajo el plan de recuperación ante desastres y el plan de operaciones en modo de emergencia en caso de emergencia? (UNA)
- 164.310 (a) (2) (ii) ¿Ha implementado políticas y procedimientos para proteger la instalación y el equipo de acceso físico no autorizado, manipulación y robo? (UNA)
- 164.310 (a) (2) (iii) ¿Ha implementado procedimientos para controlar y validar el acceso de una persona a las instalaciones en función de su función o función,
- incluyendo control de visitantes y control de acceso a programas de software para pruebas y revisión? (UNA)
- 164.310 (a) (2) (iv) ¿Ha implementado políticas y procedimientos para documentar reparaciones y modificaciones a los componentes físicos de un
- instalación, que están relacionadas con la seguridad (por ejemplo, hardware, paredes, puertas y cerraduras)? (UNA)
- 164.310 (b) ¿Ha implementado políticas y procedimientos que especifiquen las funciones adecuadas que se realizarán, la manera en que esas funciones se realizarán y los atributos físicos del entorno de una estación de trabajo o clase de estación de trabajo específica que puede acceder a EPHI? (R)
- 164.310 (c) ¿Ha implementado salvaguardas físicas para todas las estaciones de trabajo que acceden a EPHI para restringir el acceso a usuarios autorizados? (R)
164.310 (d) (1) Controles de dispositivos y medios: Implemente políticas y procedimientos que rijan la recepción y
Salvaguardas Técnicas
- 164.312 (a) (1) Controles de acceso: Implemente políticas y procedimientos técnicos para los sistemas de información electrónica que mantienen EPHI para permitir el acceso solo a aquellas personas o programas de software a los que se les han otorgado derechos de acceso como se especifica en la Sec. 164.308 (a) (4).
- 164.312 (a) (2) (i) ¿Ha asignado un nombre y / o número único para identificar y rastrear la identidad del usuario? (R)
- 164.312 (a) (2) (ii) ¿Ha establecido (e implementado según sea necesario) procedimientos para obtener y obtener la EPHI necesaria durante y
- ¿emergencia? (R)
- 164.312 (a) (2) (iii) ¿Ha implementado procedimientos que terminen una sesión electrónica después de un tiempo predeterminado de inactividad? (UNA)
- 164.312 (a) (2) (iv) ¿Ha implementado un mecanismo para cifrar y descifrar EPHI? (UNA)
- 164.312 (b) ¿Ha implementado controles de auditoría, hardware, software y / o mecanismos de procedimiento que registran y examinan la actividad en sistemas de información que contienen o usan EPHI? (R)
164.312 (c) (1) Integridad: Implementar políticas y procedimientos para proteger EPHI de alteraciones inapropiadas o
164.312 (e) (1) Seguridad de transmisión: implementar medidas técnicas de seguridad para protegerse contra personas no autorizadas
Comentarios / recomendación
Nombre y firma del auditor
Usar esta plantilla