Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymo (HIPAA) atitikties kontrolinis sąrašas turėtų apimti elementus, susijusius su keliomis pagrindinėmis vykdymo sritimis. Šios sritys apima prieigą prie informacijos ir įrašų, reagavimą į incidentus ir avarines operacijas bei nenumatytų atvejų planus. Programinės įrangos, aparatinės įrangos ir perdavimo saugumas, taip pat audito kontrolė taip pat turėtų būti įtraukti į jūsų HIPAA atitikties kontrolinį sąrašą. Be šio kontrolinio sąrašo sudarymo, taip pat turėtumėte paskirti asmenį, kuris atliktų atitikties pareigūno pareigas, siekiant užtikrinti, kad visi darbuotojai būtų tinkamai apmokyti laikytis HIPAA taisyklių.
Jūsų HIPAA atitikties kontrolinis sąrašas turėtų aiškiai apibrėžti, kuriems darbuotojams leidžiama prieiga prie informacijos ir įrašų. Ji taip pat turėtų nustatyti prieigos prie šios informacijos keitimo politiką. Reagavimo į saugumo incidentus procedūros taip pat turėtų būti įtrauktos į sąrašą. Turėtų būti pranešta apie visus incidentus ir jų rezultatus ir jie gerai dokumentuojami tuo atveju, jei vyksta tyrimas arba jei reikia pakeisti saugumo politiką, kad būtų išvengta įvykių ateityje. Jūsų HIPAA atitikties kontrolinis sąrašas taip pat turės apimti tam tikros rūšies atsarginių kopijų kūrimo ir atkūrimo procedūras, kad būtų užtikrinta, jog visos būtinos verslo operacijos būtų tęsiamos, jei įvyktų tam tikros rūšies nelaimė. Taip pat reikės šios procedūros bandymo metodo ir sugadintos įrangos keitimo plano.
Saugos ugniasienės įdiegimas visai kompiuterinei įrangai turėtų būti įtrauktas į jūsų HIPAA atitikties kontrolinį sąrašą, taip pat profesionalios, naujausios bet kurios naudojamos operacinės sistemos versijos įdiegimas. Kartu su šiomis saugumo priemonėmis turėsite įsitikinti, kad visa asmeninė informacija yra saugiai užšifruota prieš perduodant ją elektroniniu būdu. Jūsų sąraše turėtų būti procedūros, kaip gauti reguliarius visų formų kompiuterių programinės įrangos, aparatinės įrangos, taikomųjų programų ir operacinių sistemų saugos naujinimus. Be to, norint užtikrinti, kad visos kompiuterių ir duomenų valdymo sistemos atitiktų HIPAA taisykles, turėsite turėti tam tikrą grafiką, skirtą įprastiniam procedūrų auditui.
Užpildę HIPAA atitikties kontrolinį sąrašą, turėtumėte kam nors paskirti užduotį veikti kaip organizacijos saugumo analitikas arba HIPAA atitikties pareigūnas. Šis asmuo bus atsakingas už visų HIPAA taisyklių ir nuostatų laikymąsi ir vykdymą. Šis pareigūnas taip pat bus atsakingas už tai, kad visas personalas būtų tinkamai apmokytas jūsų organizacijos HIPAA atitikties politikos ir procedūrų. Kiekvienas organizacijos narys turėtų būti visiškai apmokytas tokiais klausimais kaip HIPAA privatumo taisyklių žinojimas, slaptažodžių apsauga ir neteisėtos prieigos prie darbo vietų prevencija. Taip pat turėtų būti rengiami mokymai apie programinės įrangos apsaugą nuo virusų ir kitų kenkėjiškų programų.