數字化轉型使所有行業(yè)都面臨更大的網(wǎng)絡(luò )攻擊風(fēng)險，醫療保健行業(yè)也不例外。隨著(zhù)美國醫療保健組織出于數據共享、流程自動(dòng)化和系統互操作性等目的增加對健康信息技術(shù)的依賴(lài)，它們的攻擊面迅速擴大。這種迅速增加的攻擊向量數量大大增加了網(wǎng)絡(luò )安全風(fēng)險。

健康行業(yè)最容易受到勒索軟件攻擊、數據盜竊和端點(diǎn)入侵。

• 勒索軟件攻擊可以通過(guò)相對簡(jiǎn)單的途徑進(jìn)入系統，例如網(wǎng)絡(luò )釣魚(yú)電子郵件。他們在醫療保健行業(yè)擁有更高的利益，因為患者護理機構的數據丟失不僅會(huì )造成不便，還會(huì )危及患者安全。網(wǎng)絡(luò )犯罪分子可以利用這種緊迫性，利用這種緊迫性要求更高的金額和更快的付款來(lái)發(fā)布醫療記錄等關(guān)鍵數據。
• 健康記錄中的患者數據可以在暗網(wǎng)上出售，并用于實(shí)施利潤豐厚的網(wǎng)絡(luò )犯罪，例如保險欺詐和身份盜竊。
• 現代物聯(lián)網(wǎng) (IoT) 醫療設備的連接性使其成為黑客的理想攻擊媒介——未經(jīng)授權訪(fǎng)問(wèn)僅一個(gè)不安全的設備會(huì )危及所有連接設備和計算機系統的整個(gè)網(wǎng)絡(luò )安全。

與金融業(yè)一樣，美國醫療保健行業(yè)也受到嚴格監管。醫療保健提供者和其他相關(guān)實(shí)體必須實(shí)施有效的網(wǎng)絡(luò )安全計劃，以識別、減輕和防止網(wǎng)絡(luò )攻擊。

8 條醫療保健行業(yè)最關(guān)鍵的網(wǎng)絡(luò )安全法規

2021 年，醫療保健行業(yè)的平均數據泄露總成本最高，為 923 萬(wàn)美元。此外，2021 年有 44,993,618 份健康記錄被泄露或被盜，成為泄露記錄第二高的年份。遵守醫療保健法規不僅可以幫助組織避免巨額罰款。合規性的另一個(gè)好處是以更一致和可衡量的速度 體驗安全態(tài)勢成熟度的可能性。通過(guò)公認的安全框架獲得認證為組織提供了額外的可信度，并允許他們評估自己對法規的遵守情況。

這樣的框架消除了從頭開(kāi)始設計網(wǎng)絡(luò )安全路線(xiàn)圖的勞動(dòng)密集型任務(wù)。如果預算或時(shí)間不足，即使只是遵守框架要求，也有助于組織評估其安全狀況并確定合規和不合規領(lǐng)域。對如何實(shí)現網(wǎng)絡(luò )彈性的清晰愿景有助于確保解決所有能力差距，并為安全態(tài)勢成熟設定明確的途徑。以下是美國醫療保健組織在制定其信息安全政策時(shí)應牢記的 8 項主要網(wǎng)絡(luò )安全法規和框架。

該列表沒(méi)有按任何有意的順序列出，并提供了有關(guān)每個(gè)法規/框架的以下信息：

• 合規是強制性的嗎？
• 覆蓋哪些國家？
• 不合規的處罰是什么（如果合規是強制性的）？
• 其他資源

1. 美國國家標準與技術(shù)研究院 (NIST) 改善關(guān)鍵基礎設施的框架

美國國家標準與技術(shù)研究院 (NIST) 網(wǎng)絡(luò )安全框架是一套全面的行業(yè)指南，旨在降低組織網(wǎng)絡(luò )風(fēng)險。NIST 發(fā)布了廣泛的網(wǎng)絡(luò )安全出版物，包括NIST 800-53。NIST 800-53 最初建立了僅適用于聯(lián)邦和政府實(shí)體的安全控制和隱私控制。該出版物的最新修訂版（修訂版 5）具有更廣泛的關(guān)注點(diǎn)，也適用于非政府實(shí)體，包括醫療保健部門(mén)。修訂版 5 將隱私控制集成到安全控制中，為系統和組織創(chuàng )建了一套統一的控制。

NIST 合規性是強制性的嗎？

所有聯(lián)邦實(shí)體及其承包商都必須遵守 NIST 合規性。NIST 合規性對所有私營(yíng)部門(mén)企業(yè)都是自愿的，包括私營(yíng)醫療保健。

建議醫療保健組織實(shí)現 NIST 合規性以獲得以下好處：

• 免費： NIST 框架是免費的，允許組織在不影響預算質(zhì)量的情況下投資于更強大的網(wǎng)絡(luò )安全計劃。

使用經(jīng)過(guò)驗證的框架而不是從頭開(kāi)始創(chuàng )建一個(gè)框架，還可以使組織更好地將其資源分配給其他風(fēng)險管理工作。

• 靈活性： NIST 框架可以在包括醫療保健在內的所有行業(yè)中采用。NIST 的適應性還允許它在組織擴展其網(wǎng)絡(luò )安全計劃時(shí)保持相關(guān)性。
• 集成：遵守多個(gè)框架和法規很快就變成了一項復雜的工作，尤其是在考慮額外的內部風(fēng)險管理和合規要求時(shí)。NIST 通過(guò)無(wú)縫映射到其他框架和法規（如HIPAA和ISO 27001），最大限度地減少了由各種合規要求引起的許多復雜性。

NIST 涵蓋哪些國家/地區？

任何國家的組織都可以采用 NIST，因為它符合全球公認的標準。

不遵守 NIST 的處罰是什么？

不遵守 NIST 會(huì )導致政府機構及其承包商和第三方供應商失去所有聯(lián)邦資金。在美國，NIST 合規性是根據聯(lián)邦信息安全管理法(FISMA) 強制執行的。

NIST 合規資源

以下資源是實(shí)現和維護 NIST 合規性的有用指南：

• 10 步清單：如何在 2021 年符合 GDPR (UpGuard)
• 您需要了解的有關(guān) GDPR 合規性的所有信息(GDPR.EU)

2. 健康保險流通與責任法案 (HIPAA)

HIPAA是一系列美國聯(lián)邦法律，于 1996 年簽署生效，旨在規范該國健康信息的披露和保護。該法案由三個(gè)主要規則組成——隱私規則、安全規則和違規通知規則。HIPAA 隱私規則旨在定義和限制個(gè)人醫療保健信息可能被涵蓋實(shí)體使用或披露的情況 。涵蓋實(shí)體不能使用或披露受保護的健康信息 (PHI)，包括電子健康保護信息 (ePHI)，除非：

• 隱私規則允許或要求它；或者
• 信息主體（或代表）提供書(shū)面授權。

只有兩種情況必須披露 PHI：

1. 當個(gè)人或其代表要求訪(fǎng)問(wèn)它或披露信息時(shí)。
2. 當 HHS 進(jìn)行合規調查、審查或執法行動(dòng)時(shí)。

安全規則規定，相關(guān)實(shí)體及其業(yè)務(wù)伙伴必須進(jìn)行風(fēng)險評估。風(fēng)險評估通過(guò)突出合規領(lǐng)域并發(fā)現任何構成安全風(fēng)險的合規漏洞來(lái)幫助組織實(shí)現和維護 HIPAA 合規性。違規通知規則規定，涵蓋實(shí)體及其業(yè)務(wù)伙伴必須在違反不受保護的受保護健康信息后提供通知。

HIPAA 合規性是強制性的嗎？

在美國，以下實(shí)體必須遵守 HIPAA：

• 健康計劃
• 醫療保健機構
• 醫療保健票據交換所
• 商業(yè)伙伴

HIPAA 涵蓋哪些國家/地區？

HIPAA 僅適用于美國。但是，大多數其他國家/地區都有自己的國家對等物。

不遵守 HIPAA 的處罰是什么？

不合規的涵蓋實(shí)體可能會(huì )通過(guò)衛生與公眾服務(wù)部 (HHS) 下屬的民權辦公室 (OCR) 承擔民事處罰責任。每次違規的罰款從 100 美元到 50,000 美元以上不等，日歷年上限為 1,500,000 美元。某些違反隱私規則的行為也可能會(huì )受到刑事起訴。

HIPAA 合規資源

以下資源是實(shí)現和維護 HIPAA 合規性的有用指南：

• HIPAA 隱私規則摘要和合規提示(UpGuard)
• HIPAA 隱私規則(HHS)
• HIPAA 安全規則(HHS)
• HIPAA 違規通知規則(HHS)

3. 互聯(lián)網(wǎng)安全中心 (CIS) 關(guān)鍵安全控制

CIS 開(kāi)發(fā)了關(guān)鍵安全控制措施，以保護私人和公共組織免受網(wǎng)絡(luò )安全威脅。CIS 控制優(yōu)先考慮一組 18 項（之前為 20 項）行動(dòng)，以幫助保護組織免受網(wǎng)絡(luò )攻擊。這些控制包括：

• 獨聯(lián)體控制1：企業(yè)資產(chǎn)的庫存和控制
• CIS 控制 2：軟件資產(chǎn)的庫存和控制
• CIS 控制 3：數據保護
• CIS Control 4：企業(yè)資產(chǎn)和軟件的安全配置
• CIS 控制 5：賬戶(hù)管理
• CIS 控制 6：訪(fǎng)問(wèn)控制管理
• CIS 控制 7：持續漏洞管理
• CIS 控制 8：審計日志管理
• CIS 控制 9：電子郵件 Web 瀏覽器和保護
• CIS 控制 10：惡意軟件防御
• CIS 控制 11：數據恢復
• CIS 控制 12：網(wǎng)絡(luò )基礎設施管理
• CIS 控制 13：網(wǎng)絡(luò )監控和防御
• CIS 控制 14：安全意識和技能培訓
• CIS 控制 15：服務(wù)提供商管理
• CIS 控制 16：應用軟件安全
• CIS 控制 17：事件響應管理
• CIS 控制 18：滲透測試

CIS 控制映射到大多數主要安全框架，包括NIST 網(wǎng)絡(luò )安全框架、NIST 800-53、ISO 27000 系列以及PCI DSS、HIPAA和FISMA等法規。

是否必須遵守 CIS 控制？

不，CIS 控制不是強制性的，但建議用于增強醫療網(wǎng)絡(luò )安全。對于高度監管的醫療保健行業(yè)，CIS 控制為加強網(wǎng)絡(luò )防御和遵守其他強制性要求提供了一個(gè)簡(jiǎn)化的起點(diǎn)。

獨聯(lián)體控制涵蓋哪些國家？

CIS 控制是國際公認的，適用于各種規模的組織。

CIS 控制合規資源

以下資源是實(shí)現和維護 CIS 控制合規性的有用指南：

• 有效網(wǎng)絡(luò )防御的 CIS 控制是什么？（上衛）
• 18 項 CIS 關(guān)鍵安全控制(CIS)

4. 信息及相關(guān)技術(shù)控制目標 (COBIT)

COBIT 是由信息系統審計和控制協(xié)會(huì ) (ISACA) 開(kāi)發(fā)的 IT 治理和管理框架。COBIT 的最新版本是 COBIT 2019。COBIT 2019 旨在通過(guò)六項（之前為五項）原則使 IT 活動(dòng)與更廣泛的組織目標保持一致：

1. 提供利益相關(guān)者價(jià)值
2. 整體分析
3. 動(dòng)態(tài)治理體系
4. 治理與管理不同
5. 為企業(yè)需求量身定制
6. 端到端的治理系統

COBIT 2019 的全面覆蓋確保醫療保健組織清楚地了解其網(wǎng)絡(luò )安全風(fēng)險的管理方式、監管合規要求以及投資于深入的信息安全政策的價(jià)值。使用 COBIT 成熟度模型，醫療保健組織還可以識別 IT 能力差距并有效地規劃如何彌合它們。

COBIT 是強制性的嗎？

不，COBIT 不是強制性的，但建議在醫療保健行業(yè)作為實(shí)現統一治理結構、簡(jiǎn)化護理和降低成本的基礎。

COBIT 涵蓋哪些國家/地區？

COBIT 是一個(gè)全球認可和使用的框架。

COBIT 資源

• 信息技術(shù)資源控制目標(ISACA)
• 使用 COBIT 2019 (ISACA)管理數字化轉型

5. ISO/IEC 27001

ISO/IEC 27001（通常稱(chēng)為 ISO 27001）是一種被廣泛采用的國際標準，用于通過(guò)信息安全管理實(shí)踐守則實(shí)現數據安全監管。該標準由國際標準化組織 (ISO) 和國際電工委員會(huì ) (IEC) 共同制定。它由一組標準組成，涵蓋信息安全管理系統 (ISMS)、信息技術(shù)、信息安全技術(shù)和信息安全要求。

對于醫療保健組織而言，實(shí)施 ISO 27001是一種有效的方法來(lái)規范、管理和處理敏感數據，例如患者信息。一旦建立起來(lái)，ISMS 將確保有有效的流程來(lái)識別和減輕網(wǎng)絡(luò )風(fēng)險，并確保在發(fā)生安全事件時(shí)有效的事件響應計劃。

該標準的最新版本是 2013 年發(fā)布的 ISO/IEC 27001:2013。

ISO 27001 是強制性的嗎？

在大多數國家/地區，ISO/IEC 27001 不是強制性要求，但由于大量網(wǎng)絡(luò )攻擊和醫療保健行業(yè)的嚴格法規，強烈建議醫療保健組織實(shí)施 ISO 27001。

ISO 27001 涵蓋哪些國家/地區？

ISO 27001 是國際公認的信息安全標準。

ISO 27001 資源

• 什么是 ISO 27001？2022 年簡(jiǎn)明扼要的解釋?zhuān)║pGuard）
• ISO 27001 實(shí)施清單(UpGuard)
• ISO/IEC 27001:2013 (ISO)

6. HITRUST（原Health Information Trust）通用安全框架（CSF）

HITRUST 聯(lián)盟旨在通過(guò)其風(fēng)險和合規管理框架和方法來(lái)“為所有行業(yè)和整個(gè)第三方供應鏈的全球組織保護敏感信息并管理信息風(fēng)險”。該組織與公共和私營(yíng)部門(mén)的多個(gè)行業(yè)的隱私、信息安全和風(fēng)險管理領(lǐng)域的領(lǐng)導者合作。HITRUST 開(kāi)發(fā)了HITRUST CSF，以幫助醫療保健組織及其云服務(wù)提供商清晰有效地展示其網(wǎng)絡(luò )安全措施和合規性。該框架映射到美國醫療保健法HIPAA和HITECH 法案，這些法案強制執行有關(guān)整個(gè)行業(yè)的個(gè)人身份信息 (PII)的使用、披露和保護的要求。

HITRUST CSF 分為 19 個(gè)不同的域：

1. 信息保護計劃
2. 端點(diǎn)保護
3. 便攜式媒體安全
4. 移動(dòng)設備安全
5. 無(wú)線(xiàn)網(wǎng)絡(luò )安全
6. 配置管理
7. 漏洞管理
8. 網(wǎng)絡(luò )保護
9. 傳輸保護
10. 密碼管理
11. 訪(fǎng)問(wèn)控制
12. 審計日志和監控
13. 教育、培訓和意識
14. 第三方保證
15. 事件管理
16. 業(yè)務(wù)連續性和災難恢復
17. 風(fēng)險管理
18. 物理和環(huán)境安全
19. 數據保護和隱私

涵蓋的健康實(shí)體及其云服務(wù)提供商也可以使用 HITRUST 作為衡量其他行業(yè)框架合規性的基準，例如ISO 27001、NIST、HIPAA、COBIT 和PCI DSS。

HITRUST 合規性是強制性的嗎？

HITRUST 對組織不是強制性的。但是，任何生產(chǎn)、訪(fǎng)問(wèn)、存儲或交換與個(gè)人健康相關(guān)的信息的組織都應實(shí)現 HITRUST 合規性，以明確證明其符合強制性行業(yè)法規，例如 HIPAA。這些組織包括醫療保健供應商、藥房、醫院、保險公司和醫生辦公室。作為一個(gè)備受推崇的安全框架，HITRUST 認證為這些組織建立了信譽(yù)。

HITRUST CSF 涵蓋哪些國家/地區？

HITRUST CSF 是一項全球認證計劃，可根據不同組織的類(lèi)型、規模、系統和合規要求進(jìn)行定制和調整。

HITRUST CSF 資源

以下資源是實(shí)現和維護 CIS 控制合規性的有用指南：

• HITRUST CSF - 我們的框架(HITRUST)
• HITRUST CSF v9.6.0 下載(HITRUST)

7. 質(zhì)量體系法規 (QSR)

美國食品和藥物管理局 (FDA) 在設計過(guò)程中對醫療設備實(shí)施更嚴格的網(wǎng)絡(luò )安全要求。這些要求旨在降低設備因未經(jīng)授權的訪(fǎng)問(wèn)而受損時(shí)的操作關(guān)閉風(fēng)險。FDA 聲明“網(wǎng)絡(luò )安全是利益相關(guān)者的共同責任，包括原始設備制造商 (OEM)、醫療保健機構、醫療保健提供者和獨立服務(wù)組織 (ISO)?！?/p>

除了利益相關(guān)者的共同責任外，醫療器械制造商還必須確保其風(fēng)險管理、設計控制、維護、監督和響應流程整合有效的安全控制。示例控制包括實(shí)施設備用戶(hù)身份驗證和加密存儲在設備上的任何患者數據以增強數據保護。QSR 進(jìn)一步定義了設備制造商必須遵循的要求，以保護連接的醫療設備免受網(wǎng)絡(luò )犯罪分子的侵害。設備制造商必須確保設計更改得到驗證和驗證，其中包括針對已識別漏洞的軟件修補。

QSR 合規性是強制性的嗎？

所有醫療器械制造商都必須遵守 QSR 以解決與其產(chǎn)品相關(guān)的所有網(wǎng)絡(luò )安全風(fēng)險。雖然 QSR 合規性不是其他醫療保健實(shí)體的直接責任，但 FDA 建議“所有感興趣的利益相關(guān)者 [應該] 就可用于有效開(kāi)發(fā)、驗證和實(shí)施醫療設備軟件變更的方法或途徑進(jìn)行合作?！?/p>

QSR 涵蓋哪些國家/地區？

任何希望在美國銷(xiāo)售其產(chǎn)品的醫療器械供應商都必須遵守 QSR。

QSR 不合規的處罰是什么？

FDA 可以對不合規的組織實(shí)施幾種不同類(lèi)型的處罰，從警告信到對公司處以高達 500,000 美元的罰款和刑事起訴等嚴重程度不等。

QSR 資源

以下資源是實(shí)現和維護 QSR 合規性的有用指南：

• 加強與醫療器械服務(wù)相關(guān)的網(wǎng)絡(luò )安全實(shí)踐：挑戰與機遇(FDA)
• FDA 在醫療器械網(wǎng)絡(luò )安全(FDA)中的作用
• CFR - 聯(lián)邦法規第 21 篇(FDA)

8. 支付卡行業(yè)數據安全標準（PCI DSS）

支付卡行業(yè)數據安全標準 (PCI DSS)是一組旨在防止信用卡欺詐和保護信用卡持有人免遭個(gè)人數據盜竊的標準。所有接受商品和服務(wù)支付卡的醫療保健組織都必須遵守 PCI DSS。PCI DSS 概述了用于保護信用卡數據生命周期三個(gè)主要階段的控制措施，包括：

• 信用卡數據處理
• 信用卡數據存儲
• 信用卡數據傳輸

PCI DSS 覆蓋哪些國家/地區？

PCI DSS 是國際公認的標準。

PCI DSS 合規性是強制性的嗎？

任何存儲、處理或傳輸持卡人數據的組織都必須遵守法規。

PCI DSS 不合規的處罰是什么？

不合規的組織將面臨每月 5,000 至 100,000 美元的罰款，直到他們實(shí)現經(jīng)驗證的合規性。

PCI DSS 合規性資源

以下資源是實(shí)現和維護 PCI DSS 合規性的有用指南：

• 無(wú)痛的 PCI 合規性(UpGuard)
• 2021 年網(wǎng)絡(luò )安全合規監控最佳實(shí)踐（UpGuard）
• 支付卡行業(yè) (PCI) 數據安全標準自我評估問(wèn)卷（PCI 安全標準）

如何保持醫療保健部門(mén)的網(wǎng)絡(luò )安全合規性

以下網(wǎng)絡(luò )安全最佳實(shí)踐可以幫助醫療保健組織實(shí)現并保持對法規和公認框架的遵守。

實(shí)施零信任架構 (ZTA)

零信任架構將所有網(wǎng)絡(luò )活動(dòng)視為安全威脅，直到用戶(hù)證明并非如此。該架構的審查性質(zhì)增加了額外的安全層，防止未經(jīng)授權訪(fǎng)問(wèn)敏感信息。ZTA 現在是喬·拜登的網(wǎng)絡(luò )安全行政命令下的一項強制性要求。

實(shí)施第三方風(fēng)險管理 (TPRM) 解決方案

TPRM 解決方案通過(guò)安全評估、安全評級和攻擊面的實(shí)時(shí)掃描來(lái)評估組織的第三方和第四方生態(tài)系統的安全狀況。理想的 TPRM 解決方案還應根據監管要求識別和映射供應商的安全評估響應，以發(fā)現合規和不合規領(lǐng)域。

識別和修復數據泄漏

數據泄露不僅會(huì )使數據泄露發(fā)生得更快，還會(huì )暴露可能違反監管準則的敏感信息。數據泄漏不僅是即將發(fā)生數據泄露的主要指標，而且可能違反監管要求。有效的數據泄漏檢測解決方案可以幫助在內部和第三方攻擊面中實(shí)時(shí)識別這些暴露，以確保合規性。

投資攻擊面監控解決方案

攻擊面監控解決方案可以比手動(dòng)方法更快地識別導致數據泄露的漏洞。醫療保健組織可以利用這項技術(shù)來(lái)改善其安全狀況并滿(mǎn)足大多數行業(yè)法規嚴格的網(wǎng)絡(luò )彈性期望。