docHIPAA Clinical and Area Walkthrough Assessment
download 
Demanda Transcripción
HIPAA Clinical and Area Walkthrough Assessment
Nombre de la Práctica:__________________________________________ Ubicación: ___________________________ Fecha: _____________ HIPAA/HITECH Privacidad y Seguridad Lista de Cotejo – Revisión de Facilidad “Facility Walkthrough Checklist” Este documento está diseñado como lista de cotejo que puede ser utilizada para determinar riesgos a la seguridad durante la caminata de revisión en una facilidad. Los artículos en ésta lista de cotejo son derivados del “NIST SP 800-53 Recommended Security Controls for Federal Information Systems and Organizations”. Como tales, los artículos en ésta lista de cotejo no son requeridos en el cumplimiento de la ley HIPAA, ni garantizan el cumplimiento con la ley HIPAA. Sin embargo, ésta lista de cotejo puede ser útil para un proveedor del cuidado de la salud para identificar riesgos a la seguridad física en la facilidad y puede usarse como parte de una revisión de riesgo abarcadora. Las entradas en la columna ID están directamente relacionadas a los “IDs” que se encuentran la sección “Physical and Environmental Protection” del SP 800-53 donde se puede encontrar mas información y guia del riesgo y la remediación de dichos artículos. Para el uso de la lista de cotejo es sugerido que usted: a) Imprima este documento y llévelo consigo durante la caminata de revisión b) Durante la marcha, coloque marcas o x’s en la columna de Si/No c) Procure información adicional de los miembros del personal de la facilidad sobre artículos/asuntos no aparentes a la o acerca de políticas y procedimientos de control de acceso en la facilidad d) Escriba cualquier anotación adicional en la columna de Notas e) Luego de la caminata, complete una copia electrónica del documento y provéala al proveedor para ser incluida en la documentación de la revisión de riesgo Facility Walkthrough Checklist v1.0 Página 1 Nombre de la Práctica:__________________________________________ Ubicación: ___________________________ Fecha: _____________ ARTICULO SI/NO ID DESCRIPCIÓN DE CONTROL NOTAS General Policies PE-1 Políticas y procedimientos que señalan la seguridad física y ambiental Physical Authorization PE-2 Inventory of Assets PE-3f Método para determinar quien esta autorizado a ganar acceso a las zonas restringidas de la oficina (e.g. identificaciones, tarjetas magnéticas de entrada, biométrica) Inventario de artículos físicamente ubicados en la facilidad Delivery/Removal Records PE-16 Alternate Work Site PE-17 Visitors escorted PE-7 Se verifica la identidad de los visitantes, son escoltados o vigilados en todo momento Visitor records PE-8 Existe un récord conteniendo nombre/organización, firma, tipo de identificación, hora de entrada y salida, propósito de la visita, y nombre de persona visitada Access Authorization (Visitors) PE-3a PE-3b Access Authorization (Staff) PE-3a PE-3b Public Area Protected Appropriately PE-3d Autorización de acceso físico a visitantes que accedan áreas restrictas/controladas de la oficina (e.g. Record de entrada, Verificación de ID con foto, Foto en el EHR) Autorización de acceso físico para personal que gana acceso a lugares restrictos/controlados en la oficina (e.g. identificación) El acceso a zonas accesibles al publico son controladas de acuerdo a los riesgos ya identificados (e.g. recepcionista puede controlar con la vista la sala de espera, cerraduras y sistema de alarma) La organización autoriza, observa, y controla componentes que contienen EHR a su entrada y salida de la facilidad La facilidad provee un lugar alterno de trabajo o facilidad remota para empleados en caso de una emergencia Facility Access Facility Walkthrough Checklist v1.0 Página 2 Nombre de la Práctica:__________________________________________ Ubicación: ___________________________ Fecha: _____________ ARTICULO SI/NO ID DESCRIPCIÓN DE CONTROL Secure Area Physically Protected PE-3c Keys etc secured. PE-3e Locks changed PE-3g Cambio de cerraduras y llaves cuando alguna se pierde, es hurtada, o tras el despido de algún miembro del personal Monitors not visible PE-5(2) Secure systems with access to EHR PE18(2) Output devices protected PE-5(1) Pantallas de monitores son protegidas de la vista de individuos no autorizados (e.g. siendo colocados en posición que limite la visibilidad o colocando filtros de seguridad en las pantallas) Los sistemas de acceso al EHR son protegidos del hurto por controles antirrobo (e.g. candados de cable, áreas controladas y aseguradas) Artefactos tales como los monitores, impresoras, y fax son protegidos por controles físicos de acceso Network/phone cable protected PE-4 Power protected PE-9 NOTAS Acceso a entradas de áreas restrictas/controladas son vigiladas o protegidas físicamente (e.g. recepcionista vigila la entrada, puertas con seguro, o cámaras de seguridad) Llaves, combinaciones, y contraseñas bajo seguridad física Physical Protections Líneas de transmisión están protegidas (e.g. gabinetes/closets de cableado asegurados con llave, cables asegurados por conductos, no hay cables visible en áreas accesibles al publico) Equipo eléctrico y cables eléctricos están protegidos de daño o destrucción (e.g. redundancia de fuentes energéticas, protección física para el cableado) Emergency Systems Emergency power shut-off PE-10 Habilidad de interrumpir el flujo de la electricidad al EHR en la eventualidad de una emergencia y poder interrumpir el flujo de la electricidad desde un lugar seguro Interruptor de electricidad protegido de activación no autorizada Facility Walkthrough Checklist v1.0 Página 3 Nombre de la Práctica:__________________________________________ Ubicación: ___________________________ Fecha: _____________ ARTICULO SI/NO ID DESCRIPCIÓN DE CONTROL Water shut-off valves PE-15 Emergency lighting PE-12 Fire detectors and suppression. PE-13 La organización protege los sistemas de información de daños potencialmente causados por derrames de agua, provee una válvula principal para clausurar el flujo de agua. La misma esta accesible, en buen funcionamiento, y el procedimiento de su operación es del conocimiento de personal clave La organización emplea y da mantenimiento a luces de emergencia automáticas, las cuales se activan en la eventualidad de verse interrumpido el servicio de electricidad. Las mismas alumbran las salidas de emergencia y las rutas de desalojo de la facilidad La organización emplea y mantiene extintores de incendios y sistemas de detección alimentados por fuentes de energía independientes NOTAS EHR System EHR in secure location PE18(1) El sistema de EHR esta posicionado para minimizar el daño potencialmente causado por peligros del ambiente tales como inundaciones, fuegos, interferencias eléctricas y hurto Los puntos físicos de entrada a zonas restringidas están protegidas de la entrada de entes no autorizados Doors locked/monitored to secure area PE18(3) EHR systems monitored PE-6 El acceso físico a los sistemas del EHR son vigilados (e.g. Bitácoras, cámaras, alarmas) Emergency power PE-11 Temp and Humidity Controlled PE-14 La organización provee Baterías “UPS” para facilitar el cerrar programas y apagar los sistemas de manera ordenada en la eventualidad de fallas eléctricas Mantienen y vigilan los controles de temperatura y humedad dentro de el área donde reside el EHR Notas: Facility Walkthrough Checklist v1.0 Página 4
