A HIPAA Auditoria Controles regras estabelecem que : " as entidades têm flexibilidade para implementar o padrão em uma forma apropriada para as suas necessidades consideradas necessárias por análises de seu próprio risco. " Isso deixa alguma área cinzenta que cada partido ou organização afetada deve decidir por si mesmo quando o desenvolvimento de procedimentos de login e logout de computador , entre outros procedimentos de tecnologia da informação . No entanto, com tantas facilidades e empresas que trabalham com o governo federal a cumprir , normas comuns têm surgido.
Eventos Gerais
servidores de sistemas de informação precisam ser capazes de capturar e os dados de registro de recorde de registros de longo prazo. Em particular, os eventos relacionados com o registo deve incluir tentativas bem sucedidas e mal sucedidas de login, logout , alterações em contas de usuário, muda para os níveis de privilégio , o uso de contas privilegiadas e utilitários, tempos de espera , os casos de logins falhos excessivas e eventos em que um usuário efetua logout e outros registros em imediatamente a seguir.
administradores monitoramento das atividades
sistema têm responsabilidades especiais para assegurar o cumprimento de registro. Eventos suspeitos, tais como vários logins falhos ou quaisquer ataques contra o sistema de login requerem acompanhamento com a investigação . Os usuários devem ser obrigados a ter senhas fortes e geralmente complexos. Eventos suspeitos devem ser revistos com autoridades de gestão. Os sistemas devem correlacionar mudanças nos sistemas e arquivos para o usuário que os executou .
Geral Controles
As organizações precisam ter registros detalhados de qual sistema é capaz de registrar quais peças de informações . Eles também precisam manter um controle cuidadoso da qual os usuários realizam as tarefas em que os sistemas . Logins devem fornecer aos administradores de sistemas e gerentes de organização com uma trilha de auditoria que mostra o que cada usuário fez em cada sistema.