Bilgi Güvenlik Mevzuatına Uyum ve Gizlilik: HIPAA, HITECH ve Sarbanes-Oxley

Bilgi güvenliği alanına girmekle ilgilenebileceğinizi düşünüyorsanız, yasal uyumluluk ve gizlilik standartlarını tanımanız gerekir. Birçoğu arasında HIPAA, HITECH ve Sarbanes-Oxley vardır.

HIPAA ve HITECH

Sağlık sigortası sağlayıcıları, sigorta şirketleri ve sağlık sigortası primleri sunan ABD merkezli şirketlerin birçoğunun HIPAA (Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası) ve HITECH (Ekonomik ve Klinik Sağlıkta Sağlık Bilgi Teknolojisi Yasası ).

HIPAA, elektronik olarak korunan sağlık bilgisini (EPHI) depolayan organizasyonların EPHI'nin gizliliğini, bütünlüğünü ve erişilebilirliğini korumak için bazı tedbirler almasını şart koşmaktadır. HIPAA'ya uyması gereken organizasyonlar kapsamındaki şirketler olarak bilinir.

HITECH, EPHI'yi depolayan veya işleyen iş ortakları için de HIPAA'ya uyma zorunluluğu getirerek HIPAA'nın kapsamını genişletti. İş Ortakları terimi, kapsanan bir işletmeye hizmet sunan herhangi bir kuruluş anlamına gelir. HITECH ayrıca, sağlık bilgilerinin uygun olmayan bir şekilde ifşa edilmesi veya ele geçirilmesi durumunda vatandaşlara bildirimde bulunulmasını sağlayacak yeni ihlal bildirim şartlarını da ekledi.

Sarbanes-Oxley

2002'deki Sarbanes-Oxley Yasası, kamu şirketlerinin finansal kayıtlarının tahrif edilmesini içeren çeşitli kurumsal skandalların bir sonucu olarak geçilen bir kanundur. Genellikle SarBox veya sadece SOX olarak bilinen bu kanun, ABD'de halka açık şirketlerde güvenlik politikası ve güvenlik kontrolleri üzerinde önemli bir etkiye sahiptir.

SOX Denetimleri

SOX'in başlıca sonucu, aşağıdaki BT işlevlerinde denetimlerin yürürlüğe konmasıydı:

  • Güvenlik politikası: Kuruluşlar, ilgili, periyodik olarak incelenmiş ve yönetim tarafından onaylanmış ve uygulanmış bir güvenlik politikasına sahip olmakla yükümlüdürler.

  • Erişim yönetimi: Kuruluşların yalnızca yetkili personelin uygun sistemlere, rollere ve işlevlere erişebilmesi için etkin ve olgun erişim yönetim süreçleri ve araçları olması gerekir.

  • Değişim yönetimi: Kuruluşların finansal sistemlerini destekleyen BT sistemlerini ve altyapılarını tam kontrol altında tutmaları gerekir; bu nedenle, yalnızca onaylanan değişikliklerin sistemlerde yapılabilmesini sağlayan olgun bir değişim yönetimi süreci olmalıdır ve Onaylanmamış değişiklikler tespit edilecek ve düzeltilecektir.

  • Olay yönetimi: Kurumlar olayları zamanında algılamak ve olaylara düzgün ve etkili bir şekilde cevap vermek için araç ve süreçleri bulundurmakla yükümlüdür ve olayların çözümlenmesine ve herhangi birinin kapsamının tam olarak anlaşılmasına ihtiyaç duyulur. olay.

  • Güvenlik Açığı Yönetimi: Kuruluşlar, sistemlerini güvenlik açıkları için periyodik olarak incelemek ve bu güvenlik açıklarını zamanında ve etkili bir şekilde düzeltmek için araçlar ve işlemler uygulamak zorundadırlar.

  • Olay günlüğü: Kurumlar, tüm olayların kaydedildiğinden ve bu kayıtların kapsam içi sistemler için arşivlendiğinden emin olmak için gerekli araç ve süreçlere sahip olmak zorundadır. Olayların periyodik olarak incelenmesi veya otomatik uyarı yapılması da gerekiyor.

  • İç denetim: Kuruluşlar, bu denetimlerin periyodik olarak iç denetimleri ve bu denetimler sırasında bulunan konulara etkin yanıtlar da dahil olmak üzere iç denetimlerinin durumu ve etkinliği hakkında tam mülkiyet hak etmelidir.

Bu kontrollerin içeriği, bir organizasyonun temel finansal sistemi olduğu kadar destek sistemleri ve altyapısıdır. Gelir veya giderlerle ilgili diğer ek başvurular da kapsam dahilinde olabilir.

Bu IT kontrollerinin amacı, temel BT sistemlerinin ve altyapısının manipülasyonu yoluyla gerçekleştirilen finansal kayıtların tahrif edilmesinin önlenmesi veya tespit edilmesidir.

Denetim

u. S. halka açık şirketlerin ABD'de kayıtlı bir kamu muhasebe firması tarafından yıllık mali denetimden geçirilmesi gerekmektedir. SOX öncesi, kamu denetiminin BT kısmı kısaca ve yüzeyselti. SOX'ten sonra BT denetimleri, kapsamlı sistemler, altyapı ve personel için BT operasyonlarına çok daha fazla önem verilerek genellikle kapsamlı ve zorlayıcıdır.