ในปี 1996 สภาคองเกรสแห่งสหรัฐอเมริกาได้ผ่านพระราชบัญญัติประกันสุขภาพและความรับผิดชอบ (Accountability Portability and Accountability Act - HIPAA) เพื่อกำหนดวิธีที่สถาบันดูแลสุขภาพเปิดเผยข้อมูลทางการแพทย์ของผู้ป่วย กรมอนามัยและบริการมนุษย์ตรวจสอบว่าองค์กรทางการแพทย์ปฏิบัติตามกฎหมายอย่างไร ผู้ตรวจสอบใช้รายการตรวจสอบเมื่อทำการทดสอบกระบวนการบันทึกข้อมูลทางการแพทย์ของ บริษัท
การวิเคราะห์และประเมินความเสี่ยง
HIPAA กำหนดให้องค์กรทางการแพทย์ทุกแห่งโดยเฉพาะสถาบันที่เกี่ยวข้องในการรวบรวมเก็บรักษาและถ่ายโอนข้อมูลทางการแพทย์ดำเนินการวิเคราะห์ความเสี่ยงและการประเมินเป็นระยะ ผู้ตรวจสอบที่ตรวจสอบการปฏิบัติตาม HIPAA จะทำให้แน่ใจว่าทุกหน่วยธุรกิจตรวจสอบความเสี่ยงที่อาจทำให้ บริษัท สูญเสียเนื่องจากการรั่วไหลของข้อมูล การวิเคราะห์ความเสี่ยงระบุถึงพื้นที่ขององค์กรที่แสดงถึงภัยคุกคามที่สำคัญสำหรับการปฏิบัติตามข้อกำหนดด้านความปลอดภัยของ HIPAA การประเมินความเสี่ยงกำหนดขอบเขตของการสูญเสียที่สถาบันอาจประสบในกรณีที่มีการโจมตีจากภายในหรือภายนอก
การวิเคราะห์ช่องว่าง
ในคำศัพท์ HIPAA การวิเคราะห์ช่องว่างหมายถึงขั้นตอนที่จำเป็นในการทำแผนที่ข้อกำหนดด้านความปลอดภัยไปยังโครงสร้างพื้นฐานความปลอดภัยที่มีอยู่ขององค์กรทางการแพทย์ ในคำอื่น ๆ ผู้ตรวจสอบวิเคราะห์แนวทางการกำกับดูแลและเปรียบเทียบกับระบบรักษาความปลอดภัยขององค์กรตรวจสอบว่าระบบเหล่านี้ปฏิบัติตามการกระทำ การวิเคราะห์ช่องว่างมีสี่ขั้นตอน ได้แก่ การระบุช่องว่างการกำหนดกิจกรรมการฟื้นฟูการจัดลำดับความสำคัญของโครงการและการจัดสรรทรัพยากร หลังจากระบุจุดอ่อนด้านความปลอดภัยผู้ตรวจสอบให้แน่ใจว่าหัวหน้าแผนกมีวิธีแก้ไขปัญหาที่เหมาะสม จากนั้นผู้ตรวจสอบให้แน่ใจว่าหัวหน้าส่วนจัดสรรทรัพยากรให้เพียงพอเพื่อลดโครงการ
ฟื้นฟู
การฟื้นฟูเป็นสิ่งสำคัญในรายการตรวจสอบการตรวจสอบสำหรับ HIPAA ผู้ตรวจสอบใช้คำสั่ง HHS เพื่อให้แน่ใจว่าองค์กรมีทรัพยากรเพียงพอในการแก้ไขการละเมิดความปลอดภัยที่อาจเกิดขึ้น เครื่องมือเทคโนโลยีที่ล้ำสมัยเป็นส่วนสำคัญในการแก้ไข เครื่องมือเหล่านี้รวมถึงซอฟต์แวร์การจัดการลูกค้าสัมพันธ์แอปพลิเคชันการวางแผนทรัพยากรองค์กรซอฟต์แวร์วิศวกรรมกระบวนการและซอฟต์แวร์การติดตามข้อบกพร่อง เครื่องมืออื่น ๆ ที่ใช้เพื่อแก้ไขภัยคุกคามความปลอดภัยที่อาจเกิดขึ้นรวมถึงซอฟต์แวร์การจัดหมวดหมู่หรือการจำแนกประเภทซอฟต์แวร์ปฏิทินและการตั้งเวลาโปรแกรมการจัดการความสัมพันธ์กับผู้ป่วยและซอฟต์แวร์การจัดการโครงการ
การวางแผนฉุกเฉิน
บริษัท ต่างๆมีส่วนร่วมในการวางแผนฉุกเฉินเพื่อให้แน่ใจว่ากิจกรรมขององค์กรจะไม่หยุดชะงักเนื่องจากเหตุฉุกเฉินอุบัติเหตุหรือการหยุดชะงักของการดำเนินงานอื่น ๆ เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับการหยุดดำเนินงาน บริษัท ต่างๆได้วางแผนแผนฉุกเฉินหรือที่เรียกว่าแผนความต่อเนื่องทางธุรกิจ ผู้ตรวจสอบ HIPAA ตรวจสอบแผนความต่อเนื่องทางธุรกิจขององค์กรทางการแพทย์เพื่อให้มั่นใจว่าแผนดังกล่าวจัดการกับปัญหาการดำเนินงานที่สำคัญที่อาจเกิดขึ้นในกรณีฉุกเฉิน ผู้ตรวจสอบจะตรวจสอบว่า บริษัท สามารถกู้คืนการดำเนินงานที่ไซต์อื่นและกู้คืนการดำเนินงานโดยใช้อุปกรณ์อื่นได้อย่างไร
นโยบายส่วนบุคคล
ผู้ตรวจสอบ HIPAA กลั่นกรองผ่านนโยบายทรัพยากรมนุษย์ขององค์กรเพื่อให้มั่นใจว่าบุคลากรที่รักษาบันทึกทางการแพทย์มีความรู้ด้านเทคนิคและทักษะที่เหมาะสมสำหรับงาน บุคลากรเหล่านี้รวมถึงช่างเทคนิคด้านสุขภาพเวชระเบียนและผู้เชี่ยวชาญด้านข้อมูลสุขภาพเสมียนและข้อมูลด้านการแพทย์จาก O * Net Online สาขาวิจัยอาชีวอนามัยของสหรัฐอเมริกากระทรวงแรงงาน
