Seguridad de la información cumplimiento de la normativa y la privacidad: hipaa, hitech, y sarbanes-oxley

Si usted piensa que podría estar interesado en entrar en el campo de la seguridad de la información, es necesario familiarizarse con las normas de cumplimiento y privacidad de regulación. Entre los muchos son HIPAA, HiTech, y Sarbanes-Oxley.

HIPAA y HITECH

Se requieren profesionales de la salud, compañías de seguros, y la mayoría de las compañías con sede Estados Unidos que ofrezcan seguro de salud para cumplir con HIPAA (Ley de Salud Clínica Tecnología de la Información para la Salud Económica y) (Health Insurance Portability y Accountability Act) y HiTech.

HIPAA requiere que las organizaciones que almacenan información protegida de salud electrónica (EPHI) toman ciertas medidas para proteger la confidencialidad, integridad y disponibilidad de EPHI. Organizaciones requeridos para cumplir con HIPAA se conocen como entidades cubiertas.

HiTech amplió el alcance de la HIPAA, al exigir socios de negocios que almacenan o proceso EPHI para cumplir con HIPAA también. El termino socios de negocio significa cualquier organización que proporciona servicios a una entidad cubierta. HiTech también añadió nuevos requisitos de notificación de violaciones, garantizar que los ciudadanos serán notificados si su información médica sea divulgada o comprometida de manera inapropiada.

Sarbanes-Oxley

La Ley Sarbanes-Oxley de 2002 es una ley que fue aprobada como resultado de varios escándalos corporativos que involucran falsificación de los registros financieros de las empresas públicas. A menudo conocido como SARBOX o simplemente SOX, esta ley ha tenido un efecto significativo en la política de seguridad y controles de seguridad de Estados Unidos en las empresas que cotizan en bolsa.

Controles SOX

La principal consecuencia de la SOX fue la promulgación de controles en el siguiente las funciones de TI:

  • Politica de seguridad: Las organizaciones deben tener una política de seguridad que es relevante, revisados ​​periódicamente y aprobadas por la administración, y se hacen cumplir.

  • Gestión de Acceso: Las organizaciones están obligados a tener procesos y herramientas eficaces y maduros de gestión de acceso, por lo que sólo el personal autorizado tenga acceso a los sistemas apropiados, roles y funciones.

  • Gestión del cambio: Las organizaciones están obligados a estar en completo control de los sistemas informáticos y la infraestructura que apoya sus sistemas financieros, por lo que debe tener un proceso de gestión del cambio madura que asegura que los cambios sólo aprobados se pueden hacer a los sistemas y que los cambios no aprobados serán detectados y corregidos.

  • Administracion de incidentes: Las organizaciones deben contar con herramientas y procesos establecidos para detectar incidentes de manera oportuna y para responder a los incidentes de manera adecuada y eficaz, lo que resulta en la resolución de incidencias, así como una comprensión completa de la extensión de cualquier incidente.

  • La gestión de vulnerabilidades: Las organizaciones deben contar con herramientas y procesos para examinar periódicamente los sistemas de vulnerabilidades y corregir esas vulnerabilidades oportuna y eficaz.

  • El registro de eventos: Las organizaciones están obligados a tener herramientas y procesos para asegurar que todos los eventos se registran, y que esas grabaciones se archivan, para los sistemas incluidos en el estudio. También se requiere de eventos - El examen periódico - o alerta automatizado.

  • Auditoría interna: Las organizaciones deben tener la plena propiedad del estado y la eficacia de sus controles internos, incluyendo auditorías internas periódicas de esos controles y respuestas eficaces a los problemas encontrados durante las auditorías.

El contexto de estos controles es el sistema de una organización financiera clave, así como los sistemas de apoyo e infraestructura. Todas las aplicaciones adicionales relacionados con ingresos o gastos también pueden estar en el estudio.

La intención de estos controles de TI es la prevención o detección de cualquier manipulación de los registros financieros que se realiza a través de la manipulación de los sistemas subyacentes y la infraestructura.

auditorías

Se requieren las empresas públicas de Estados Unidos para someterse a una auditoría financiera anual por una firma de contabilidad pública registrada EE.UU.. Antes de SOX, la parte de TI de una auditoría pública fue breve y superficial. Después de SOX, TI auditorías suelen ser minucioso y arduo, con mucha más atención en las operaciones de TI para los sistemas incluidos en el estudio, la infraestructura y el personal.

Artículos Relacionados
Reglas para las empresas públicas de auditoría
Los 5 componentes de controles internos
¿Qué tipo de estados financieros las empresas públicas tienen que presentar?
De nivel de entrada puestos de seguridad de la información
Conseguir un trabajo en red: ti operaciones
Puestos de trabajo de seguridad de la información: legal, reglamentos, las investigaciones y el cumplimiento
Empleos seguridad de la información: la gobernabilidad y la gestión del riesgo
Empleos seguridad de la información: consejo estándar de seguridad pci
Seguridad de la información cumplimiento de la normativa y la privacidad: fisma
Normas de seguridad de la información: cobit y nist 800-53
Normas de seguridad de la información: iso 27001
Regulaciones, investigaciones, y los problemas de cumplimiento que debe saber acerca de conseguir un trabajo en red
Funciones de los puestos superiores en la gestión de seguridad de la información
Lo emisores de facturas médicas y los codificadores deben saber acerca de las normas de confidencialidad de hipaa
El trabajo de transcripción médica y hipaa
Linux: 2 partes de auditorías de seguridad informática
Linux: auditorías de seguridad informática
Clasificar la información y los activos de apoyo para la seguridad de los activos
Marcos de control de seguridad
Cómo los atacantes maliciosos engendrar hackers éticos