数字化转型使所有行业都面临更大的网络攻击风险,医疗保健行业也不例外。随着美国医疗保健组织出于数据共享、流程自动化和系统互操作性等目的增加对健康信息技术的依赖,它们的攻击面迅速扩大。这种迅速增加的攻击向量数量大大增加了网络安全风险。
健康行业最容易受到勒索软件攻击、数据盗窃和端点入侵。
8条医疗保健行业最关键的网络安全法规
2021年,医疗保健行业的平均数据泄露总成本最高,为923万美元。此外,2021年有44,993,618份健康记录被泄露或被盗,成为泄露记录第二高的年份。遵守医疗保健法规不仅可以帮助组织避免巨额罚款。合规性的另一个好处是以更一致和可衡量的速度体验安全态势成熟度的可能性。通过公认的安全框架获得认证为组织提供了额外的可信度,并允许他们评估自己对法规的遵守情况。
该列表没有按任何有意的顺序列出,并提供了有关每个法规/框架的以下信息:
1.美国国家标准与技术研究院(NIST)改善关键基础设施的框架
NIST合规性是强制性的吗?
所有联邦实体及其承包商都必须遵守NIST合规性。NIST合规性对所有私营部门企业都是自愿的,包括私营医疗保健。
建议医疗保健组织实现NIST合规性以获得以下好处:
使用经过验证的框架而不是从头开始创建一个框架,还可以使组织更好地将其资源分配给其他风险管理工作。
NIST涵盖哪些国家/地区?
任何国家的组织都可以采用NIST,因为它符合全球公认的标准。
不遵守NIST的处罚是什么?
不遵守NIST会导致政府机构及其承包商和第三方供应商失去所有联邦资金。在美国,NIST合规性是根据联邦信息安全管理法(FISMA)强制执行的。
NIST合规资源
以下资源是实现和维护NIST合规性的有用指南:
2.健康保险流通与责任法案(HIPAA)
HIPAA是一系列美国联邦法律,于1996年签署生效,旨在规范该国健康信息的披露和保护。该法案由三个主要规则组成——隐私规则、安全规则和违规通知规则。HIPAA隐私规则旨在定义和限制个人医疗保健信息可能被涵盖实体使用或披露的情况。涵盖实体不能使用或披露受保护的健康信息(PHI),包括电子健康保护信息(ePHI),除非:
只有两种情况必须披露PHI:
HIPAA合规性是强制性的吗?
在美国,以下实体必须遵守HIPAA:
HIPAA涵盖哪些国家/地区?
HIPAA仅适用于美国。但是,大多数其他国家/地区都有自己的国家对等物。
不遵守HIPAA的处罚是什么?
不合规的涵盖实体可能会通过卫生与公众服务部(HHS)下属的民权办公室(OCR)承担民事处罚责任。每次违规的罚款从100美元到50,000美元以上不等,日历年上限为1,500,000美元。某些违反隐私规则的行为也可能会受到刑事起诉。
HIPAA合规资源
以下资源是实现和维护HIPAA合规性的有用指南:
3.互联网安全中心(CIS)关键安全控制
CIS开发了关键安全控制措施,以保护私人和公共组织免受网络安全威胁。CIS控制优先考虑一组18项(之前为20项)行动,以帮助保护组织免受网络攻击。这些控制包括:
CIS控制映射到大多数主要安全框架,包括NIST网络安全框架、NIST800-53、ISO27000系列以及PCIDSS、HIPAA和FISMA等法规。
是否必须遵守CIS控制?
不,CIS控制不是强制性的,但建议用于增强医疗网络安全。对于高度监管的医疗保健行业,CIS控制为加强网络防御和遵守其他强制性要求提供了一个简化的起点。
独联体控制涵盖哪些国家?
CIS控制是国际公认的,适用于各种规模的组织。
CIS控制合规资源
以下资源是实现和维护CIS控制合规性的有用指南:
COBIT是由信息系统审计和控制协会(ISACA)开发的IT治理和管理框架。COBIT的最新版本是COBIT2019。COBIT2019旨在通过六项(之前为五项)原则使IT活动与更广泛的组织目标保持一致:
COBIT2019的全面覆盖确保医疗保健组织清楚地了解其网络安全风险的管理方式、监管合规要求以及投资于深入的信息安全政策的价值。使用COBIT成熟度模型,医疗保健组织还可以识别IT能力差距并有效地规划如何弥合它们。
COBIT是强制性的吗?
不,COBIT不是强制性的,但建议在医疗保健行业作为实现统一治理结构、简化护理和降低成本的基础。
COBIT涵盖哪些国家/地区?
COBIT是一个全球认可和使用的框架。
COBIT资源
5.ISO/IEC27001
ISO/IEC27001(通常称为ISO27001)是一种被广泛采用的国际标准,用于通过信息安全管理实践守则实现数据安全监管。该标准由国际标准化组织(ISO)和国际电工委员会(IEC)共同制定。它由一组标准组成,涵盖信息安全管理系统(ISMS)、信息技术、信息安全技术和信息安全要求。
对于医疗保健组织而言,实施ISO27001是一种有效的方法来规范、管理和处理敏感数据,例如患者信息。一旦建立起来,ISMS将确保有有效的流程来识别和减轻网络风险,并确保在发生安全事件时有效的事件响应计划。
该标准的最新版本是2013年发布的ISO/IEC27001:2013。
ISO27001是强制性的吗?
在大多数国家/地区,ISO/IEC27001不是强制性要求,但由于大量网络攻击和医疗保健行业的严格法规,强烈建议医疗保健组织实施ISO27001。
ISO27001涵盖哪些国家/地区?
ISO27001是国际公认的信息安全标准。
ISO27001资源
6.HITRUST(原HealthInformationTrust)通用安全框架(CSF)
HITRUST联盟旨在通过其风险和合规管理框架和方法来“为所有行业和整个第三方供应链的全球组织保护敏感信息并管理信息风险”。该组织与公共和私营部门的多个行业的隐私、信息安全和风险管理领域的领导者合作。HITRUST开发了HITRUSTCSF,以帮助医疗保健组织及其云服务提供商清晰有效地展示其网络安全措施和合规性。该框架映射到美国医疗保健法HIPAA和HITECH法案,这些法案强制执行有关整个行业的个人身份信息(PII)的使用、披露和保护的要求。
HITRUSTCSF分为19个不同的域:
涵盖的健康实体及其云服务提供商也可以使用HITRUST作为衡量其他行业框架合规性的基准,例如ISO27001、NIST、HIPAA、COBIT和PCIDSS。
HITRUST合规性是强制性的吗?
HITRUSTCSF涵盖哪些国家/地区?
HITRUSTCSF是一项全球认证计划,可根据不同组织的类型、规模、系统和合规要求进行定制和调整。
HITRUSTCSF资源
7.质量体系法规(QSR)
QSR合规性是强制性的吗?
QSR涵盖哪些国家/地区?
任何希望在美国销售其产品的医疗器械供应商都必须遵守QSR。
QSR不合规的处罚是什么?
FDA可以对不合规的组织实施几种不同类型的处罚,从警告信到对公司处以高达500,000美元的罚款和刑事起诉等严重程度不等。
QSR资源
以下资源是实现和维护QSR合规性的有用指南:
8.支付卡行业数据安全标准(PCIDSS)
支付卡行业数据安全标准(PCIDSS)是一组旨在防止信用卡欺诈和保护信用卡持有人免遭个人数据盗窃的标准。所有接受商品和服务支付卡的医疗保健组织都必须遵守PCIDSS。PCIDSS概述了用于保护信用卡数据生命周期三个主要阶段的控制措施,包括:
PCIDSS覆盖哪些国家/地区?
PCIDSS是国际公认的标准。
PCIDSS合规性是强制性的吗?
任何存储、处理或传输持卡人数据的组织都必须遵守法规。
PCIDSS不合规的处罚是什么?
不合规的组织将面临每月5,000至100,000美元的罚款,直到他们实现经验证的合规性。
PCIDSS合规性资源
以下资源是实现和维护PCIDSS合规性的有用指南:
如何保持医疗保健部门的网络安全合规性
以下网络安全最佳实践可以帮助医疗保健组织实现并保持对法规和公认框架的遵守。
实施零信任架构(ZTA)
实施第三方风险管理(TPRM)解决方案
TPRM解决方案通过安全评估、安全评级和攻击面的实时扫描来评估组织的第三方和第四方生态系统的安全状况。理想的TPRM解决方案还应根据监管要求识别和映射供应商的安全评估响应,以发现合规和不合规领域。
识别和修复数据泄漏
数据泄露不仅会使数据泄露发生得更快,还会暴露可能违反监管准则的敏感信息。数据泄漏不仅是即将发生数据泄露的主要指标,而且可能违反监管要求。有效的数据泄漏检测解决方案可以帮助在内部和第三方攻击面中实时识别这些暴露,以确保合规性。
投资攻击面监控解决方案
攻击面监控解决方案可以比手动方法更快地识别导致数据泄露的漏洞。医疗保健组织可以利用这项技术来改善其安全状况并满足大多数行业法规严格的网络弹性期望。