หากองค์กรของคุณจัดการกับข้อมูลที่ละเอียดอ่อนเป็นประจำ คุณต้องใช้กลยุทธ์การปฏิบัติตามข้อกำหนดด้านความปลอดภัยของข้อมูล เพื่อปกป้องไม่เฉพาะบุคคลที่เป็นเจ้าของข้อมูลเท่านั้น แต่ยังรวมถึงองค์กรของคุณไม่ให้ละเมิดกฎหมายของรัฐบาลกลางด้วย (เช่น HIPPA, GDPR เป็นต้น) สิ่งนี้ส่งผลกระทบต่อองค์กรในอุตสาหกรรมต่างๆ เช่น การดูแลสุขภาพ การธนาคาร รัฐบาล กฎหมาย…จริงๆ แล้วองค์กรใดก็ตามที่จัดการข้อมูลที่ละเอียดอ่อน
เรากำลังพูดถึง PII (ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้) และ PHI (ข้อมูลสุขภาพที่ได้รับการคุ้มครอง). ตัวอย่างของ PII-
- หมายเลขประกันสังคม
- บัญชีธนาคาร
- ชื่อเต็ม
- หมายเลขหนังสือเดินทาง ฯลฯ
ตัวอย่างของ PHI-
- บันทึกสุขภาพ
- ผลการทดลอง
- บิลค่ารักษาพยาบาลและอื่นๆ ที่คล้ายกัน ซึ่งรวมถึงตัวระบุบุคคล
วิธีการปกป้องข้อมูลที่ละเอียดอ่อน
ลูกค้าบางรายได้อธิบายวิธีการของพวกเขาเป็นฉากที่คุณอาจจินตนาการได้ในภาพยนตร์บางเรื่องที่คุณเคยดู... ให้เห็นภาพกลุ่มคนที่ติดอาวุธที่มีความปลอดภัยที่จำเป็นซึ่งถูกกักตัวอยู่ในห้องที่ล็อกไว้โดยไม่มีหน้าต่าง เพื่อตรวจสอบงานพิมพ์รายงานด้วยตนเองเพื่อให้แน่ใจว่าข้อมูลที่ละเอียดอ่อน ไม่รวม แม้ว่าวิธีนี้จะทำให้เกิดฉากภาพยนตร์ที่น่าทึ่ง แต่ก็ไม่ใช่วิธีที่ไม่ผิดพลาดหรือเป็นวิธีที่มีประสิทธิภาพมากที่สุดในการทดสอบรายงานสำหรับข้อมูลที่ละเอียดอ่อน และด้วยข้อกำหนดด้านกำลังคนจากโควิด-19 ทางไกล จึงไม่สามารถทำได้ในขณะนี้
เราได้ช่วยลูกค้าหลายรายของเราใช้พลังของการทดสอบอัตโนมัติเพื่อทดสอบผลลัพธ์รายงาน Cognos แบบไดนามิก กลยุทธ์การทดสอบนี้จับรายงานได้ตั้งแต่เนิ่นๆ ทันทีที่พวกเขาไม่ปฏิบัติตามข้อกำหนด และก่อนที่จะจบลงในการผลิตโดยตกไปอยู่ในมือของผู้ไม่ประสงค์ดี เป็นความคิดที่ดีเสมอที่จะรู้ว่าสำนักงานประกันสังคมที่ใกล้ที่สุดอยู่ที่ไหนเช่น สำนักงานประกันสังคมในเนวาดาหากเกิดเหตุการณ์เลวร้ายที่สุด เนื่องจากทีมงานที่สำนักงานในพื้นที่ของคุณจะทราบวิธีจัดการสถานการณ์
คุณค่าของการทดสอบในช่วงต้นของวงจรการพัฒนา
การตรวจจับช่องโหว่ด้านความปลอดภัยของข้อมูลในช่วงต้นของขั้นตอนการพัฒนาสามารถช่วยหลีกเลี่ยงค่าปรับและการลงโทษที่รัฐบาลกำหนดในอนาคต ให้เป็นไปตาม กระทรวงสาธารณสุขและบริการมนุษย์ของสหรัฐอเมริกาจนถึงปัจจุบัน สำนักงานเพื่อสิทธิพลเมือง (OCR) “ได้ตัดสินหรือกำหนดโทษทางแพ่งใน 75 คดี ส่งผลให้เป็นเงินดอลลาร์รวมเป็นเงิน 116,303,582.00 ดอลลาร์” นั่นคือมากกว่า 1.5 ล้านเหรียญต่อกรณี! และตามที่ วารสาร HIPAA "ความล้มเหลวในการวิเคราะห์ความเสี่ยงทั่วทั้งองค์กรเป็นหนึ่งในการละเมิด HIPAA ที่พบบ่อยที่สุดเพื่อส่งผลให้เกิดการลงโทษทางการเงิน"
นอกเหนือจากการหลีกเลี่ยงบทลงโทษที่รัฐบาลกำหนด โดยทั่วไปแล้ว การตรวจจับข้อผิดพลาดตั้งแต่เนิ่นๆ ของวงจรการพัฒนาถือเป็นเรื่องสำคัญ เนื่องจากเป็นขั้นตอนที่ปัญหาจะง่ายกว่าและถูกกว่าในการแก้ไขมาก เป็นผลให้เป้าหมายหลักของแบบฝึกหัดนี้คือการใช้ MotioCIพลังของการทดสอบการถดถอยเพื่อระบุข้อผิดพลาดดังกล่าวได้อย่างง่ายดายและดังนั้นจึงป้องกันได้ตั้งแต่เนิ่นๆในวัฏจักรการพัฒนา
มาดูวิธีการตั้งค่าการทดสอบกัน เราจะเริ่มต้นด้วยการตั้งค่าสภาพแวดล้อม Cognos ของเรา จากนั้นเราจะอธิบายวิธีตั้งค่าการทดสอบอัตโนมัติสำหรับข้อมูล PHI และ PII สำหรับตัวอย่างของเรา เราจะใช้กรณีทดสอบเดียวกันนี้ในสภาพแวดล้อมการผลิตเพื่อเพิ่มระดับของการปฏิบัติตามข้อกำหนดและการตรวจสอบความปลอดภัย
การตั้งค่าสภาพแวดล้อม PHI & PII Cognos
ตัวอย่างสภาพแวดล้อม Cognos ของเรา (รูปที่ 1) ประกอบด้วยรายงานหลายฉบับ โดยแต่ละรายงานประกอบด้วยข้อมูลที่ละเอียดอ่อนของ PII และ PHI (เช่น รหัสการวินิจฉัย ใบสั่งยา หมายเลขประกันสังคม นามสกุลของผู้ป่วย และอื่นๆ) และข้อมูลที่มีความละเอียดอ่อนน้อยที่สุด (เช่น ผู้ป่วย ชื่อจริง วันที่เข้าชม และอื่นๆ)
รูปที่ 1: สภาพแวดล้อม Cognos ตัวอย่างของเรา
มีสองบทบาท Cognos, อนุญาตPII และ อนุญาตPHIซึ่งกำหนดว่าจะมีการแสดงข้อมูลที่ละเอียดอ่อนเมื่อดำเนินการรายงานหรือไม่ (ตารางที่ 1)
| บทบาท Cognos | หมายเหตุ / รายละเอียดเพิ่มเติม |
| อนุญาตPII | สมาชิกของบทบาทนี้สามารถดูข้อมูล PII ทั้งหมด (เช่น หมายเลขประกันสังคม และนามสกุลของผู้ป่วย) ในรายงาน Cognos |
| อนุญาตPHI | สมาชิกของบทบาทนี้สามารถดูข้อมูล PHI ทั้งหมด (เช่น รหัสการวินิจฉัย ICD10 คำอธิบายการวินิจฉัยโดยละเอียด และอื่นๆ) ในรายงาน Cognos |
ตารางที่ 1: บทบาท Cognos ที่ควบคุมการแปลข้อมูลที่ละเอียดอ่อน
ตัวอย่างเช่น ผู้ใช้ที่ไม่มีบทบาท Cognos ทั้งสองของเรา รายงาน "การรับผู้ป่วยรายวัน" ควรมีลักษณะดังนี้ (รูปที่ 2):
รูปที่ 2: รายงานเอาต์พุตที่สร้างโดยผู้ใช้ที่ไม่มีทั้งบทบาท AllowPII และ AllowPHI
อย่างที่คุณเห็น ข้อมูล PHI และ PII ทั้งหมดถูกทำให้งงโดยสมบูรณ์จากผู้ใช้ที่ขาดความเป็นสมาชิกในบทบาท “AllowPHI/PII” ทั้ง XNUMX ตำแหน่ง
ในตอนนี้ เรามาเรียกใช้รายงานกับผู้ใช้ที่เป็นสมาชิกของบทบาท "AllowPII" ซึ่งหมายความว่าเราคาดว่าผู้ใช้รายนี้จะสามารถดูได้เฉพาะข้อมูล PII (รูปที่ 3):
รูปที่ 3: รายงานผลลัพธ์ที่สร้างโดยผู้ใช้ที่เป็นสมาชิกของบทบาท AllowPII และไม่ใช่บทบาท AllowPHI
และคุณสามารถดูได้ที่นี่ว่าทั้งคอลัมน์หมายเลขประกันสังคมและนามสกุลกำลังแสดงอย่างเหมาะสมโดยไม่ต้องแก้ไขใดๆ
จนถึงตอนนี้ เราได้เห็นสภาพแวดล้อม Cognos ของคลินิกในตำนานของเราแล้ว และทั้งหมดที่เราเคยเห็นคือความปลอดภัยของข้อมูลตามบทบาท Cognos ที่พวกคุณหลายคนอาจนำไปใช้ในสภาพแวดล้อม Cognos ของคุณเองแล้ว สิ่งนี้จะนำเราไปสู่คำถามหลักที่ผู้ถือข้อมูลที่มีความละเอียดอ่อนหวังว่าจะไม่ต้องเผชิญ:
จะเป็นอย่างไรหากหลังจากพยายามพัฒนาอย่างหนัก ข้อมูลที่ละเอียดอ่อนบางส่วนหลุดผ่านและเริ่มปรากฏขึ้นสำหรับผู้ใช้ที่ไม่ควรเห็น
ความผิดพลาดเป็นสิ่งที่หลีกเลี่ยงไม่ได้อย่างแน่นอน ดังนั้นในบล็อกเราจะใช้ต่อไป MotioCIพลังของการทดสอบการถดถอยเพื่อจับตาดูรายงานของเราเพื่อให้แน่ใจว่าข้อมูลส่วนตัวจะไม่ถูกเปิดเผยต่อผู้ชมที่ไม่ได้ตั้งใจ
การทำความเข้าใจการทดสอบการปฏิบัติตามข้อกำหนดสำหรับ Cognos
ตามที่กล่าวไว้ในส่วนก่อนหน้านี้ ข้อผิดพลาดง่ายๆ ในการเขียนรายงานหรือการสร้างแบบจำลองอาจก่อให้เกิดพฤติกรรมที่ไม่ต้องการในผลลัพธ์ของรายงานในสภาพแวดล้อม Cognos ของคุณ และหากไม่พบการเปลี่ยนแปลงเหล่านี้ พวกเขาก็มีโอกาสที่จะแอบเข้าไปในสภาพแวดล้อมการผลิตของคุณ สิ่งที่จะเลวร้ายยิ่งกว่านั้นก็คือ หากการเปลี่ยนแปลงที่ไม่ต้องการเหล่านี้รวมถึงการเปิดเผยข้อมูลส่วนตัวต่อผู้ชมที่ไม่ได้ตั้งใจ
ตัวอย่างเช่น ผู้ใช้ที่ไม่ได้เป็นสมาชิกของ อนุญาตPII or อนุญาตPHI บทบาท Cognos ไม่ควรเห็นข้อมูลส่วนตัว PII หรือ PHI ในสภาพแวดล้อม Cognos ตัวอย่างของเรา อย่างไรก็ตาม ดังที่คุณเห็นด้านล่าง (รูปที่ 4) การเปลี่ยนแปลงอย่างง่ายในโมเดล FM ได้ทำให้คำอธิบายการวินิจฉัยและหมายเลข SSN ของผู้ป่วยเปิดเผยต่อผู้ใช้รายดังกล่าว ซึ่งเป็นการละเมิดกฎความปลอดภัย HIPAA ของรัฐบาลกลางอย่างใหญ่หลวง
รูปที่ 4: ผู้ใช้ที่ไม่มีบทบาท AllowPII และ AllowPHI จะได้รับข้อมูลที่ละเอียดอ่อนของ HIPAA
ก่อนขนย้ายสิ่งของไป MotioCIก่อนอื่นเราจะสร้างผู้ใช้ทดสอบสามคนในสภาพแวดล้อม Cognos ของเรา และกำหนดให้กับสองบทบาทของเราในลักษณะต่อไปนี้ (ตารางที่ 2):
| ผู้ใช้ | บทบาทสมาชิก | หมายเหตุ / รายละเอียดเพิ่มเติม |
| TestUserก | อนุญาตPII | ต้องซ่อนข้อมูล PHI ทั้งหมดจากผู้ใช้รายนี้ |
| ผู้ใช้ทดสอบB | อนุญาตPHI | ต้องซ่อนข้อมูล PII ทั้งหมดจากผู้ใช้รายนี้ |
| TestUserค | ไม่มี | ผู้ใช้คาดว่าจะไม่เห็นทั้ง PHI หรือ PII |
ตารางที่ 2: การทดสอบบัญชีผู้ใช้ Cognos ด้วยบทบาทที่ได้รับมอบหมาย
บัญชีผู้ใช้ทดสอบเหล่านี้จะถูกนำมาใช้ในภายหลังใน MotioCI สำหรับการทดสอบการถดถอยของรายงานของเราที่มีข้อมูล PII และ PHI ที่มีความละเอียดอ่อน ผลการทดสอบของเราจะขึ้นอยู่กับการมองเห็นข้อมูลที่ละเอียดอ่อนของผู้ใช้แต่ละคนตามบทบาทที่เป็นสมาชิก
ตอนนี้เราได้ตั้งค่าผู้ใช้ทดสอบแล้ว เราก็พร้อมที่จะกำหนดค่าการทดสอบการถดถอยของเราใน MotioCI.
MotioCI การตั้งค่าสภาพแวดล้อม
สภาพแวดล้อมตัวอย่างของเราประกอบด้วยอินสแตนซ์ Development, UAT และ Production Cognos แม้ว่า MotioCI ทำให้เราสามารถเข้าสู่ระบบทั้งสามได้พร้อมกัน เราจะเริ่มการตั้งค่าการทดสอบการถดถอยในสภาพแวดล้อมการพัฒนาในสามขั้นตอนที่แตกต่างกัน
5 รูป: MotioCI หน้าจอเข้าสู่ระบบ
6 รูป: MotioCI หน้าจอหลัก แสดงอินสแตนซ์ Cognos
เกี่ยวกับการทดสอบการถดถอยใน MotioCI, การยืนยัน เป็นการตรวจสอบส่วนบุคคลหรือ "การทดสอบ" ที่กรณีทดสอบดำเนินการกับวัตถุใน .ของคุณ MotioCI เช่น รายงาน โฟลเดอร์ หรือแพ็คเกจ การยืนยันที่จะทำการทดสอบผลลัพธ์ของรายงานสำหรับข้อมูลที่ละเอียดอ่อนเรียกว่า การทดสอบการปฏิบัติตามข้อกำหนดของข้อมูลที่ละเอียดอ่อน (รูปที่ 7) นี่คือการยืนยันแบบกำหนดเองที่เราได้รวบรวมไว้สำหรับแบบฝึกหัดนี้ ด้านล่างคุณจะเห็น ประเภทการยืนยัน ซึ่งโดยทั่วไปทำหน้าที่เป็นแม่แบบหลักที่คัดลอกไปยังกรณีทดสอบทั่วเรา MotioCI สิ่งแวดล้อม. เพิ่มเติมเกี่ยวกับเรื่องนี้ในภายหลัง
รูปที่ 7: ประเภทการยืนยัน "การทดสอบการปฏิบัติตามข้อกำหนดของข้อมูลที่ละเอียดอ่อน" สำเนาของการยืนยันนี้จะนำไปใช้กับสภาพแวดล้อมการทดสอบ
การยืนยันบางอย่างมีฟังก์ชันที่ผู้ใช้ปรับได้บางส่วนผ่าน a หน้าต่างพรอมต์. ที่นี่คุณสามารถเปลี่ยนวิธีที่คุณต้องการให้การยืนยันเพื่อทดสอบรายงาน Cognos ที่ระบุ รูปที่ 8 ด้านล่างแสดง หน้าต่างพรอมต์ ของการยืนยันว่าเราจะใช้สำหรับการทดสอบรายงาน Cognos ของเราที่มีข้อมูลที่ละเอียดอ่อน
รูปที่ 8: หน้าต่างพร้อมต์ของการยืนยัน "Sensitive Data Compliance Testing" ซึ่งแสดงตัวเลือกการทดสอบที่ผู้ใช้ปรับได้ทั้งหมด
ส่วนที่ไฮไลต์ด้านบนในรูปที่ 8 แสดงตัวเลือกการทดสอบสำหรับข้อมูลที่ละเอียดอ่อนของ PII และ PHI วิธีนี้ช่วยให้คุณทดสอบการยืนยันได้ว่ารายงานต้องแสดงหรือซ่อนข้อมูล PII หรือ PHI หรือไม่ เราจะทำการเปลี่ยนแปลงสองตัวเลือกนี้ในขณะที่เราเริ่มสร้างกรณีทดสอบสำหรับผู้ใช้ทดสอบทั้งสามรายของเรา
ส่วนที่ไฮไลต์ตรงกลางในรูปที่ 8 แสดงชื่อของคอลัมน์ที่มีข้อมูลที่ละเอียดอ่อนของ PHI ในรายงานของเรา แม้ว่าสภาพแวดล้อมตัวอย่างของเราประกอบด้วยคอลัมน์ตามชื่อของ ICD10 Diag Code, คำอธิบายการวินิจฉัย, ขั้นตอน และ Rx คุณสามารถแก้ไขรายการนี้ให้เหมาะกับความต้องการของคุณได้อย่างแน่นอน
สุดท้าย ส่วนที่ไฮไลต์ด้านล่างในรูปที่ 8 จะแสดงตัวเลือกอีเมล ในกรณีที่ล้มเหลว การยืนยันนี้จะส่งข้อความอีเมลโดยละเอียดไปยังผู้รับที่กำหนดค่าไว้ในส่วนนี้
ระยะที่ XNUMX: รายงานแสดง PII เท่านั้น
มาสร้างโครงการภายใต้ พัฒนาการ ตัวอย่างใน MotioCI และเรียกมันว่า อนุญาต PII เท่านั้น. เราสามารถทำได้โดยคลิกขวาที่ .ก่อน พัฒนาการ โหนดอินสแตนซ์ใน MotioCI ต้นไม้นำทางและเลือก เพิ่มโครงการ ตัวเลือก (รูปที่ 9)
รูปที่ 9: การสร้างโครงการใหม่ ใน MotioCI แต่ละโครงการทำหน้าที่เป็นพื้นที่ทดสอบสำหรับส่วนที่กำหนดไว้ล่วงหน้าของที่เก็บเนื้อหา
พื้นที่ เพิ่มตัวช่วยสร้างโครงการ จะนำคุณผ่านบางขั้นตอนเพื่อเลือกเส้นทางที่จำเป็นสำหรับโครงการของคุณ ในตัวอย่างของเรา รายงานทั้งหมดที่มีข้อมูลที่ละเอียดอ่อนของ PII และ PHI อยู่ภายใต้ ข้อมูลผู้ป่วย โฟลเดอร์ การตรวจสอบโฟลเดอร์หลักนี้จะรวมรายงานพื้นฐานทั้งหมดโดยอัตโนมัติ (รูปที่ 10 & 11)
รูปที่ 10: การกำหนดขอบเขตของโครงการใน MotioCI โดยการเลือกพาธจากสภาวะแวดล้อม Cognos
รูปที่ 11: แสดงอ็อบเจ็กต์ Cognos ทั้งหมดที่เลือกไว้สำหรับ MotioCI โครงการ
เนื่องจากรายงานทั้งหมดในโครงการนี้คาดว่าจะอนุญาตให้แสดงข้อมูล PII ทั้งหมดและ PHI ทั้งหมดจะทำให้สับสน เราจึงต้องกำหนดค่าประเภทการยืนยันด้วยการตั้งค่าที่ถูกต้องก่อนที่จะเพิ่มกรณีทดสอบใดๆ (รูปที่ 12) นั่นหมายถึงการตั้งค่าสองตัวเลือกการทดสอบในการยืนยันเดียวกัน หน้าต่างพรอมต์ ที่เราเห็นก่อนหน้านี้ในรูปที่ 8
รูปที่ 12: ตัวเลือกการทดสอบ PII และ PHI ของการยืนยัน "การทดสอบการปฏิบัติตามข้อกำหนดของข้อมูลที่ละเอียดอ่อน"
ตอนนี้เราพร้อมที่จะเพิ่มกรณีทดสอบของเราลงในรายงานแล้ว ในการทำเช่นนั้น ให้คลิกขวาที่โหนดโปรเจ็กต์ (เช่น the อนุญาต PII เท่านั้น โครงการ) ใน MotioCI และเลือก สร้างกรณีทดสอบ ตัวเลือก (รูปที่ 13) สิ่งนี้จะเริ่มต้นตัวช่วยสร้างกรณีทดสอบ ซึ่งจะช่วยให้เราสร้างกรณีทดสอบจำนวนมากสำหรับรายงานทั้งหมดภายในโครงการ
13 รูป: MotioCI สามารถสร้างกรณีทดสอบที่จำเป็นทั้งหมดได้โดยอัตโนมัติในทุกระดับจากภายในโครงการ
พื้นที่ สร้างกรณีทดสอบ วิซาร์ดยังช่วยให้เราเลือกรูปแบบผลลัพธ์สำหรับกรณีทดสอบที่เราต้องการทดสอบ สำหรับสภาพแวดล้อมตัวอย่างของเรา ฉันเลือกเอาต์พุต CSV ตัวช่วยสร้างจะช่วยให้เราเลือกคำยืนยันที่แต่ละกรณีทดสอบจะใช้สำหรับงานทดสอบจริง และสำหรับเรานั่นจะเป็น การทดสอบการปฏิบัติตามข้อกำหนดของข้อมูลที่ละเอียดอ่อน การยืนยัน คุณสามารถดูทั้งสองตัวเลือกเหล่านี้ที่ไฮไลต์ด้านล่าง (รูปที่ 14)
รูปที่ 14: ตัวเลือกที่เปิดเผยระหว่างตัวช่วยสร้าง "สร้างกรณีทดสอบ"
หลังจากคลิก “ตกลง” คุณจะถูกนำกลับไปที่ MotioCI หน้าจอหลัก ซึ่งคุณจะสามารถดูรายงานทั้งหมดของเราแต่ละรายการมีกรณีทดสอบเดียวและแต่ละรายการมีการยืนยันเดียวของเรา (รูปที่ 15)
15 รูป: MotioCI แผนผังการนำทางซึ่งแสดงอ็อบเจ็กต์ Cognos ทั้งหมดในตอนนี้ แต่ละรายการมีกรณีทดสอบและการยืนยันพื้นฐาน
สุดท้าย เราต้องกำหนดคอนฟิกกรณีทดสอบทั้งหมดเพื่อรันรายงานพาเรนต์โดยใช้ผู้ใช้ Cognos ที่ถูกต้อง (เช่น หนึ่งในสามผู้ใช้ทดสอบที่เราตั้งค่าคอนฟิกใน Cognos ก่อนที่จะตั้งค่าใน MotioCI). และเนื่องจากสำหรับโครงการนี้ เรากำลังทดสอบเพื่อให้แน่ใจว่าเนื้อหา PHI เป็น ไม่ แสดงต่อผู้ใช้ที่ได้รับอนุญาตให้ดูข้อมูล PII เท่านั้น เราจะต้องตั้งค่ากรณีทดสอบทั้งหมดให้ทำงานด้วย TestUserก (ดูตารางที่ 2)
ในตอนแรกอาจดูเหมือนเป็นงานที่น่าเบื่อ แต่โชคดีสำหรับเรา เราสามารถตั้งค่าผู้ใช้ที่ระดับโปรเจ็กต์ ซึ่งจะสืบทอดโดยกรณีทดสอบพื้นฐานทั้งหมดภายในโปรเจ็กต์นั้น ในการทำเช่นนั้น บนแผนผังการนำทางด้านซ้าย เราจะคลิกที่โหนดโปรเจ็กต์ ( อนุญาต PII เท่านั้น โครงการ) จากนั้นเลือก การตั้งค่าโครงการ ตรงกลางหน้าจอ จากนั้นภายใต้ การทดสอบ ส่วนเราจะเห็นตัวเลือกในการเปลี่ยนข้อมูลประจำตัว (รูปที่ 16):
รูปที่ 16: การตั้งค่าหนังสือรับรองผู้ใช้บนโปรเจ็กต์จะทำให้กรณีทดสอบทั้งหมดดำเนินการรายงาน Cognos พาเรนต์ใน Cognos กับผู้ใช้นั้น สิ่งนี้สามารถเขียนทับได้โดยแต่ละกรณีทดสอบ
หลังจากคลิกที่ Edit ปุ่มที่อยู่ด้านหน้าของ หนังสือรับรอง ตัวเลือกเราจะนำเสนอด้วย แก้ไขข้อมูลรับรอง หน้าต่าง. เราจะดำเนินการต่อไปและป้อนข้อมูลประจำตัวสำหรับ TestUserก (รูปที่ 17)
รูปที่ 17: หน้าต่าง “แก้ไขหนังสือรับรอง” อนุญาตให้คุณตั้งค่าหนังสือรับรองผู้ใช้ใหม่ หรือใช้หนังสือรับรองพาเรนต์ที่ตั้งค่าที่ระดับอินสแตนซ์ Cognos หรือที่เรียกว่าหนังสือรับรองระบบ
ตอนนี้เราเห็นผู้ใช้ใหม่สะท้อนอยู่ใน การทดสอบ ส่วนของ การตั้งค่าโครงการ แท็บ (รูปที่ 18)
รูปที่ 18: ข้อมูลประจำตัวผู้ใช้ใหม่ได้รับการตั้งค่าในโครงการแล้ว
ตอนนี้เราพร้อมแล้วและพร้อมที่จะดำเนินการกรณีทดสอบทั้งหมดของเรา
ในการทำเช่นนั้น เราจะคลิกที่ อนุญาต PII เท่านั้น โครงการและตรงกลางเราจะนำเสนอกับ กรณีทดสอบ แท็บที่แสดงกรณีทดสอบทั้งหมดที่อยู่ในโครงการ เนื่องจากเรายังไม่ได้ดำเนินการใดๆ เราจะเห็น Status แสดงเป็น ไม่มีผลลัพธ์. เพื่อดำเนินการกรณีทดสอบทั้งหมด เราจะคลิกที่ลูกศรเล็ก ๆ โดย วิ่ง และเลือก วิ่งทั้งหมด ตัวเลือก (รูปที่ 19)
รูปที่ 19: แท็บ "กรณีทดสอบ" มีการดำเนินการหลายอย่างที่สามารถทำได้กับกรณีทดสอบทั้งหมดหรือบางส่วนเป็นกลุ่ม ที่นี่เราเพิ่งดำเนินการกรณีทดสอบทั้งหมด
MotioCI จะดำเนินการตามกรณีทดสอบทั้งหมดและนำเสนอผลลัพธ์เมื่อเสร็จสิ้น (ภาพที่ 20)
ภาพที่ 20: แท็บ “กรณีทดสอบ” จะแสดงสถานะการดำเนินการของแต่ละกรณีทดสอบรวมถึงผลลัพธ์ หากมี
อย่างที่คุณเห็น กรณีทดสอบทั้งหมดของเราประสบความสำเร็จ ยกเว้น คนไข้ใน รายงาน. เรามาดูผลลัพธ์กัน ในการทำเช่นนั้นเราจะคลิกที่การประทับเวลาสีน้ำเงินที่อยู่ใต้ ผล และดูรายละเอียดในรูปที่ 21
รูปที่ 21: แผง "ผลการทดสอบกรณี" แสดงผลโดยละเอียดของการดำเนินการของกรณีทดสอบ รวมถึงเส้นทางของวัตถุที่ทดสอบ ผลการยืนยัน และผลลัพธ์ใดๆ ที่สร้างโดยรายงาน
ภายใต้ ผลการยืนยัน ตอนนี้เราจะเห็นว่ารายงานของเราละเมิดข้อกำหนดการปฏิบัติตาม PHI เราสามารถดาวน์โหลดเอาต์พุตรายงาน CSV ได้จาก เอาต์พุตกรณีทดสอบ โดยคลิกที่ไอคอน CSV (รูปที่ 21)
รูปที่ 22: เอาต์พุตรายงาน CSV แสดงคอลัมน์ "ขั้นตอน" ที่แสดงซึ่งต้องทำให้งงงวยสำหรับผู้ใช้ทดสอบ
ดังที่คุณเห็นในรายงานของเรา (รูปที่ 22) นอกจากข้อมูล PII ที่ TestUserA สามารถเข้าถึงได้แล้ว เรายังสามารถดูข้อมูลขั้นตอน PHI ที่ทำให้รายงานละเมิดกฎความปลอดภัย HIPAA ของรัฐบาลกลางได้
หากคุณจำได้จากหน้าต่างการตั้งค่าการยืนยัน เราควรจะได้รับการแจ้งเตือนทางอีเมลสำหรับความล้มเหลวนี้ด้วย มาดูกันว่าหน้าตาเป็นอย่างไร (รูปที่ 23):
รูปที่ 23: ข้อความอีเมลที่ส่งโดยการยืนยันกรณีทดสอบที่ล้มเหลว ซึ่งแสดงการละเมิดการปฏิบัติตามข้อกำหนดของข้อมูลที่ละเอียดอ่อน อาจเป็นเพราะการเปลี่ยนแปลงล่าสุดในรายงาน
ณ จุดนี้ เราเสร็จสิ้นการทดสอบเพื่อให้แน่ใจว่าข้อมูล PHI ถูกซ่อนจากผู้ใช้โดยไม่จำเป็น อนุญาตPHI ความรู้ บทบาท. ตอนนี้เราพร้อมที่จะขยายการทดสอบของเราไปยังข้อมูล PII ที่ถูกซ่อนจากผู้ใช้ที่ขาดความจำเป็น อนุญาตPII ความรู้ บทบาท
ระยะที่ XNUMX: รายงานแสดง PHI เท่านั้น
ก่อนสร้างโปรเจ็กต์ใหม่ ขั้นแรก ให้แก้ไขตัวเลือกการยืนยันหลักของเราเพื่อให้แน่ใจว่าตอนนี้จะทดสอบ PII ทั้งหมดที่จะซ่อนและ PHI ทั้งหมดจะแสดง (รูปที่ 24)
รูปที่ 24: ตัวเลือกการทดสอบ PII และ PHI ของการยืนยัน "การทดสอบการปฏิบัติตามข้อกำหนดของข้อมูลที่ละเอียดอ่อน" ถูกตั้งค่าสำหรับ TestUserB
ด้วยการยืนยันของเราที่กำหนดค่าทั้งหมดแล้ว ตอนนี้เราพร้อมที่จะสร้างโครงการใหม่และกรณีทดสอบของเราแล้ว เพื่อที่เราจะทำตามขั้นตอนเดียวกับใน “ระยะที่ XNUMX” และสร้างโครงการที่เรียกว่า อนุญาต PH เท่านั้น. นอกจากนี้อย่าลืมเพิ่มข้อมูลประจำตัวของ ผู้ใช้ทดสอบB ในฐานะผู้ใช้โครงการ
เมื่อเราเสร็จสิ้นขั้นตอนการกำหนดค่าทั้งหมด เราจะดำเนินการกรณีทดสอบทั้งหมดเหมือนที่เราทำในเฟสที่ 25 ในสภาพแวดล้อมตัวอย่างของเรา คราวนี้เรามีรายงานอื่นที่ดูเหมือนว่าจะมีการละเมิด HIPAA (รูปที่ XNUMX)
ภาพที่ 25: แท็บ “กรณีทดสอบ” ที่แสดงสถานะการดำเนินการของแต่ละกรณีทดสอบรวมถึงผลลัพธ์ หากมี
การตรวจสอบเพิ่มเติมเกี่ยวกับผลการทดสอบกรณีของ ปริมาณผู้ป่วยรายวัน รายงานแสดงให้เห็นว่ารายงานของเรากำลังแสดงหมายเลขประกันสังคมของผู้ป่วยต่อผู้ชมที่ไม่ได้ตั้งใจ (รูปที่ 26)
รูปที่ 26: ผลการทดสอบกรณีแสดงการละเมิดข้อกำหนดการปฏิบัติตาม SSN PII
การดาวน์โหลดและเปิดไฟล์ CSV จะเป็นการยืนยันผลการทดสอบของเราเพิ่มเติม (รูปที่ 27):
รูปที่ 27: เอาต์พุต CSV แสดง SSN ของผู้ป่วยที่ถูกเปิดเผยซึ่งควรทำให้งงงวย
ดังที่คุณเห็นในรูปที่ 27 อย่างไรก็ตาม รายงานของเราจะปกปิดคอลัมน์นามสกุลของผู้ป่วย (รวมถึง PII) อย่างเหมาะสมด้วยการแสดงเฉพาะชื่อย่อ
| การบ้าน! |
| ทำซ้ำขั้นตอนเดียวกันสำหรับ TestUserค ซึ่งขาดทั้ง อนุญาตPII และ อนุญาตPHI ซึ่งหมายความว่าพวกเขาไม่ควรเห็นข้อมูล PII หรือ PHI เมื่อดำเนินการรายงานใดๆ ของเรา |
เมื่อถึงจุดนี้ สภาวะแวดล้อมของเราควรจะได้รับการทดสอบการถดถอยเต็มรูปแบบของข้อมูลที่ละเอียดอ่อนทั้ง PHI และ PII โดยใช้การรักษาความปลอดภัยของข้อมูลตามบทบาทของ Cognos กรณีทดสอบของเราแต่ละคนจะดำเนินการรายงานหลักและวิเคราะห์ผลลัพธ์ตามการกำหนดค่าการทดสอบที่กำหนดภายในการยืนยันพื้นฐาน และแจ้งให้เราทราบว่ารายงานใดไม่เป็นไปตามข้อกำหนด
ความแตกต่างที่สำคัญที่สุดอย่างหนึ่งระหว่างสภาพแวดล้อมการทดสอบของเรากับสิ่งที่คุณอาจมีในสภาพแวดล้อมของคุณคือขนาด สภาวะแวดล้อม Cognos ทั่วไปมักมีรายงานมากกว่าร้อยหรือหลายพันฉบับ และดำเนินการทั้งหมดพร้อมกัน อย่างที่เราทำในสภาพแวดล้อมตัวอย่างเล็กๆ ของเรา อาจส่งผลเสียต่อประสิทธิภาพของ Cognos กับ MotioCIอย่างไรก็ตาม สคริปต์ทดสอบของคุณสามารถกำหนดเวลาให้กรณีการทดสอบของคุณรันเป็นแบตช์ที่เล็กลงในช่วงนอกเวลาทำการ ดังนั้น รับรองประสิทธิภาพที่ดีที่สุดของสภาพแวดล้อม Cognos ของคุณในระหว่างชั่วโมงที่มีทราฟฟิกสูง
แนวปฏิบัติการทดสอบที่ดีระหว่างการพัฒนา
อย่างไรก็ตาม ในระหว่างเวลาดำเนินการตามกำหนดการ คุณยังสามารถเรียกใช้กรณีทดสอบแต่ละรายการด้วยตนเองได้มากเท่าที่คุณต้องการ ตัวอย่างที่ดีคือในขณะที่พัฒนารายงาน คุณสามารถเรียกใช้กรณีทดสอบเพื่อให้แน่ใจว่าการเปลี่ยนแปลงของคุณไม่ได้สร้างการละเมิด HIPAA ใดๆ
กรณีทดสอบ Cognos อัตโนมัติ
กลับไป MotioCIบนแผนผังการนำทาง เราได้ขยายหนึ่งในโปรเจ็กต์ที่เราสร้างขึ้นเพื่อเปิดเผยเนื้อหา สิ่งนี้ควรเปิดเผยโหนดที่เรียกว่า สคริปต์ทดสอบ. การขยายจะแสดงชุดของสคริปต์ทดสอบที่สร้างขึ้นโดยอัตโนมัติเมื่อคุณสร้างโครงการครั้งแรก (ภาพที่ 28)
ภาพที่ 28: สคริปต์ทดสอบสามารถสร้างขึ้นเพื่อแสดงเฉพาะกรณีทดสอบจำนวนจำกัดที่ตรงกับเกณฑ์ที่กำหนดโดยผู้ใช้ผู้ดูแลระบบ
ตามคำนิยามก สคริปต์ทดสอบ เป็นองค์ประกอบของโครงการที่เลือกกรณีทดสอบที่เป็นของโครงการตามเกณฑ์ที่กำหนด คุณสามารถกำหนดเวลาสคริปต์ทดสอบหรือเรียกใช้ด้วยตนเอง เมื่อคุณรันสคริปต์ทดสอบ MotioCI รันกรณีทดสอบทั้งหมดที่เป็นไปตามเกณฑ์ของสคริปต์
ในกรณีของเรา เราต้องการตั้งค่ากรณีทดสอบทั้งหมดตามกำหนดเวลา เพื่อที่จะทำเช่นนั้นเราคลิกที่ ทั้งหมด สคริปต์ทดสอบจากแผนผังการนำทางแล้วคลิกที่ การตั้งค่าสคริปต์ทดสอบ แท็บที่อยู่ตรงกลางของหน้าจอ (รูปที่ 29)
รูปที่ 29: แท็บ “Test Script Settings” ให้คุณเพิ่มตารางเวลาสำหรับกรณีทดสอบทั้งหมด
ต่อไปเราจะเลือก เพิ่มกำหนดการ ตัวเลือก. ในตอนนี้ เราสามารถกำหนดตารางเวลาสำหรับสคริปต์ทดสอบของเราได้แล้ว ฉันจะดำเนินการให้กรณีทดสอบของเราดำเนินการทุกวันจันทร์ถึงวันศุกร์ เวลา 3:00 น. (รูปที่ 30)
รูปที่ 30: นอกจากกำหนดการรายวันและรายสัปดาห์แล้ว คุณยังสามารถตั้งค่าความถี่นาทีตามกำหนดการได้อีกด้วย
แค่นั้นแหละ! ขณะนี้เราสามารถตรวจสอบกล่องจดหมายอีเมลของเราทุกเช้าเพื่อดูว่ารายงานของเราไม่เป็นไปตามข้อกำหนดหรือไม่ นอกจากนี้เรายังสามารถดูรายงานที่ล้มเหลวทั้งหมดได้ด้วยการคลิกที่ เปลี่ยนแปลงหรือล้มเหลว สคริปต์ทดสอบและกรณีทดสอบที่ล้มเหลวทั้งหมดจะถูกนำเสนอให้เราภายใต้ กรณีทดสอบ แผง (รูปที่ 31)
รูปที่ 31: สคริปต์ทดสอบ "เปลี่ยนแปลงหรือล้มเหลว" ที่รวมไว้ซึ่งแสดงกรณีทดสอบเดียวที่ล้มเหลวในการรันชุดกรณีทดสอบล่าสุด
สรุป
การไม่ปฏิบัติตาม HIPPA, GDPR และข้อบังคับของรัฐบาลกลางอื่นๆ เกี่ยวกับข้อมูลที่ละเอียดอ่อนและความเป็นส่วนตัวอาจมีค่าใช้จ่ายค่อนข้างสูง อันที่จริงแล้วพบว่ามีการละเมิดประมาณ 1.5 ล้านเหรียญสหรัฐต่อกรณี
การใช้กลยุทธ์การทดสอบอัตโนมัติเพื่อจัดการกับการทดสอบการปฏิบัติตามข้อกำหนด คุณจะมีระดับการรักษาความปลอดภัยเพิ่มเติมและสบายใจได้ว่าคุณกำลังปฏิบัติตามกฎหมาย นอกเหนือจากข้อบังคับเกี่ยวกับความเป็นส่วนตัวแล้ว การทดสอบอัตโนมัติยังมีประโยชน์กับอุตสาหกรรมทุกประเภท และข้อกำหนดในการทดสอบใดๆ ที่องค์กรของคุณต้องการดำเนินการ
เราจะช่วยได้อย่างไร
หากคุณต้องการชมการสัมมนาทางเว็บเกี่ยวกับหัวข้อบล็อกนี้ เข้าถึงได้ที่นี่ หรือ ติดต่อเรา เพื่อหารือเกี่ยวกับคำถามการทดสอบ Cognos ของคุณเพิ่มเติม
