Năm 1996, Quốc hội Hoa Kỳ đã thông qua Đạo luật Trách nhiệm và Khả năng Giải quyết Bảo hiểm Y tế - HIPAA - để điều chỉnh cách thức các tổ chức chăm sóc sức khỏe tiết lộ thông tin y tế của bệnh nhân. Bộ Y tế và Dịch vụ Nhân sinh giám sát cách các tổ chức y tế tuân thủ luật pháp. Kiểm toán viên sử dụng danh sách kiểm tra khi kiểm tra quy trình ghi dữ liệu y tế của các công ty.
Phân tích và đánh giá rủi ro
HIPAA yêu cầu tất cả các tổ chức y tế - đặc biệt là các tổ chức liên quan đến việc thu thập, lưu giữ và chuyển giao thông tin y tế - tiến hành các buổi phân tích và đánh giá rủi ro định kỳ. Kiểm toán viên xem xét tuân thủ HIPAA đảm bảo rằng tất cả các đơn vị kinh doanh giám sát các rủi ro có thể khiến công ty phải chịu tổn thất do vi phạm dữ liệu. Phân tích rủi ro xác định các khu vực doanh nghiệp đặt ra các mối đe dọa hoạt động chính cho việc tuân thủ bảo mật HIPAA. Đánh giá rủi ro xác định mức độ tổn thất mà một tổ chức có thể phải chịu trong trường hợp các cuộc tấn công nội bộ hoặc bên ngoài.
Phân tích khoảng cách
Trong thuật ngữ HIPAA, phân tích khoảng cách đề cập đến các thủ tục cần thiết để ánh xạ các yêu cầu bảo mật đến cơ sở hạ tầng bảo mật hiện có của một tổ chức y tế. Nói cách khác, kiểm toán viên phân tích các hướng dẫn quy định và so sánh chúng với các hệ thống bảo mật của công ty, xác minh xem các hệ thống này có tuân thủ theo đạo luật hay không. Phân tích chênh lệch theo bốn bước: xác định khoảng cách, xác định các hoạt động khắc phục, ưu tiên dự án và phân bổ nguồn lực. Sau khi xác định các điểm yếu bảo mật, kiểm toán viên đảm bảo rằng các trưởng bộ phận có các giải pháp giảm thiểu tại chỗ. Sau đó, các nhà đánh giá đảm bảo các trưởng phân khúc phân bổ đủ nguồn lực cho các dự án giảm thiểu.
Khắc phục
Khắc phục hậu quả là một mục quan trọng trong danh sách kiểm tra của HIPAA. Kiểm toán viên dựa vào các chỉ thị của HHS để đảm bảo rằng một tổ chức có đủ nguồn lực để khắc phục các vi phạm an ninh tiềm ẩn. Các công cụ công nghệ tiên tiến là không thể thiếu trong các quy trình khắc phục. Những công cụ này bao gồm phần mềm quản lý quan hệ khách hàng, ứng dụng hoạch định nguồn lực doanh nghiệp, quy trình phần mềm tái thiết kế và phần mềm theo dõi lỗi. Các công cụ khác được sử dụng để khắc phục các mối đe dọa bảo mật tiềm ẩn bao gồm phần mềm phân loại hoặc phân loại, lịch và phần mềm lập lịch, chương trình quản lý quan hệ bệnh nhân và phần mềm quản lý dự án.
Kế hoạch dự phòng
Các công ty tham gia vào kế hoạch dự phòng để đảm bảo rằng các hoạt động của công ty không bị dừng lại do khẩn cấp, tai nạn hoặc gián đoạn hoạt động khác. Để ngăn chặn những tổn thất đáng kể có thể xảy ra với bế tắc hoạt động, các công ty vẽ ra các kế hoạch dự phòng, còn được gọi là kế hoạch kinh doanh liên tục. Kiểm toán viên HIPAA kiểm tra các kế hoạch kinh doanh liên tục của một tổ chức y tế để đảm bảo rằng các kế hoạch giải quyết các vấn đề hoạt động quan trọng có thể phát sinh trong trường hợp khẩn cấp. Cụ thể, kiểm toán viên xác minh làm thế nào các công ty có thể khôi phục hoạt động tại một trang web thay thế và khôi phục hoạt động bằng thiết bị thay thế, nên tấn công thảm họa.
Chính sách nhân sự
Kiểm toán viên HIPAA sàng lọc các chính sách nhân sự của công ty để đảm bảo rằng nhân viên duy trì hồ sơ y tế có kiến thức kỹ thuật và các kỹ năng phù hợp cho công việc. Những nhân viên này bao gồm kỹ thuật viên hồ sơ sức khỏe, hồ sơ y tế và chuyên gia thông tin y tế, thư ký thông tin y tế và lập trình viên, theo O * Net Online, chi nhánh nghiên cứu nghề nghiệp của Bộ Lao động Hoa Kỳ.