Iseman Cunningham Riester和Hyde LLP
覆盖实体必须采取制裁政策,该政策对违反安全政策和程序的雇员采取“适当”制裁。这是必需的管理保障,必须由所有涵盖实体实施。制裁政策是该实体安全管理流程的一个要素,其中包括风险分析(提示#12),风险管理措施和信息系统活动审查。
直到员工违反了安全政策和程序之后,请不要等待制定制裁政策。像安全规则所要求的所有其他政策一样,制裁策略应在2005年4月21日或之前制定。制裁政策的目的与有效合规计划的纪律机制相同。它提供了“棍子”来执行依从性。
实体是否应该对每一次违规行为施加制裁?如果员工不知道他或她违反了安全政策怎么办?很少有实际证明员工知道违规行为。有效的制裁政策应在员工应知道自己的行动(或省略诉讼)时违反安全政策或程序时,应使雇员进行纪律处分。“应该知道”通常是指雇员故意无视或鲁ck忽视了P&PS的要求。“应该已经知道”的标准应该对覆盖实体熟悉:它类似于涵盖实体本身的监管标准。
HIPAA安全提示是由Iseman,Cunningham,Riester&Hyde,LLP的律师撰写的。ICR&H以有关医疗保健,建筑和金融行业的企业和个人等方面的复杂法律问题和交易的法律工作而闻名。
(c)2004Iseman Cunningham Riester&Hyde LLP。授予所有归因复制的许可证。
