數字化轉型使所有行業都面臨更大的網絡攻擊風險，醫療保健行業也不例外。隨著美國醫療保健組織出于數據共享、流程自動化和系統互操作性等目的增加對健康信息技術的依賴，它們的攻擊面迅速擴大。這種迅速增加的攻擊向量數量大大增加了網絡安全風險。

健康行業最容易受到勒索軟件攻擊、數據盜竊和端點入侵。

• 勒索軟件攻擊可以通過相對簡單的途徑進入系統，例如網絡釣魚電子郵件。他們在醫療保健行業擁有更高的利益，因為患者護理機構的數據丟失不僅會造成不便，還會危及患者安全。網絡犯罪分子可以利用這種緊迫性，利用這種緊迫性要求更高的金額和更快的付款來發布醫療記錄等關鍵數據。
• 健康記錄中的患者數據可以在暗網上出售，并用于實施利潤豐厚的網絡犯罪，例如保險欺詐和身份盜竊。
• 現代物聯網 (IoT) 醫療設備的連接性使其成為黑客的理想攻擊媒介——未經授權訪問僅一個不安全的設備會危及所有連接設備和計算機系統的整個網絡安全。

與金融業一樣，美國醫療保健行業也受到嚴格監管。醫療保健提供者和其他相關實體必須實施有效的網絡安全計劃，以識別、減輕和防止網絡攻擊。

8 條醫療保健行業最關鍵的網絡安全法規

2021 年，醫療保健行業的平均數據泄露總成本最高，為 923 萬美元。此外，2021 年有 44,993,618 份健康記錄被泄露或被盜，成為泄露記錄第二高的年份。遵守醫療保健法規不僅可以幫助組織避免巨額罰款。合規性的另一個好處是以更一致和可衡量的速度 體驗安全態勢成熟度的可能性。通過公認的安全框架獲得認證為組織提供了額外的可信度，并允許他們評估自己對法規的遵守情況。

這樣的框架消除了從頭開始設計網絡安全路線圖的勞動密集型任務。如果預算或時間不足，即使只是遵守框架要求，也有助于組織評估其安全狀況并確定合規和不合規領域。對如何實現網絡彈性的清晰愿景有助于確保解決所有能力差距，并為安全態勢成熟設定明確的途徑。以下是美國醫療保健組織在制定其信息安全政策時應牢記的 8 項主要網絡安全法規和框架。

該列表沒有按任何有意的順序列出，并提供了有關每個法規/框架的以下信息：

• 合規是強制性的嗎？
• 覆蓋哪些國家？
• 不合規的處罰是什么（如果合規是強制性的）？
• 其他資源

1. 美國國家標準與技術研究院 (NIST) 改善關鍵基礎設施的框架

美國國家標準與技術研究院 (NIST) 網絡安全框架是一套全面的行業指南，旨在降低組織網絡風險。NIST 發布了廣泛的網絡安全出版物，包括NIST 800-53。NIST 800-53 最初建立了僅適用于聯邦和政府實體的安全控制和隱私控制。該出版物的最新修訂版（修訂版 5）具有更廣泛的關注點，也適用于非政府實體，包括醫療保健部門。修訂版 5 將隱私控制集成到安全控制中，為系統和組織創建了一套統一的控制。

NIST 合規性是強制性的嗎？

所有聯邦實體及其承包商都必須遵守 NIST 合規性。NIST 合規性對所有私營部門企業都是自愿的，包括私營醫療保健。

建議醫療保健組織實現 NIST 合規性以獲得以下好處：

• 免費： NIST 框架是免費的，允許組織在不影響預算質量的情況下投資于更強大的網絡安全計劃。

使用經過驗證的框架而不是從頭開始創建一個框架，還可以使組織更好地將其資源分配給其他風險管理工作。

• 靈活性： NIST 框架可以在包括醫療保健在內的所有行業中采用。NIST 的適應性還允許它在組織擴展其網絡安全計劃時保持相關性。
• 集成：遵守多個框架和法規很快就變成了一項復雜的工作，尤其是在考慮額外的內部風險管理和合規要求時。NIST 通過無縫映射到其他框架和法規（如HIPAA和ISO 27001），最大限度地減少了由各種合規要求引起的許多復雜性。

NIST 涵蓋哪些國家/地區？

任何國家的組織都可以采用 NIST，因為它符合全球公認的標準。

不遵守 NIST 的處罰是什么？

不遵守 NIST 會導致政府機構及其承包商和第三方供應商失去所有聯邦資金。在美國，NIST 合規性是根據聯邦信息安全管理法(FISMA) 強制執行的。

NIST 合規資源

以下資源是實現和維護 NIST 合規性的有用指南：

• 10 步清單：如何在 2021 年符合 GDPR (UpGuard)
• 您需要了解的有關 GDPR 合規性的所有信息(GDPR.EU)

2. 健康保險流通與責任法案 (HIPAA)

HIPAA是一系列美國聯邦法律，于 1996 年簽署生效，旨在規范該國健康信息的披露和保護。該法案由三個主要規則組成——隱私規則、安全規則和違規通知規則。HIPAA 隱私規則旨在定義和限制個人醫療保健信息可能被涵蓋實體使用或披露的情況 。涵蓋實體不能使用或披露受保護的健康信息 (PHI)，包括電子健康保護信息 (ePHI)，除非：

• 隱私規則允許或要求它；或者
• 信息主體（或代表）提供書面授權。

只有兩種情況必須披露 PHI：

1. 當個人或其代表要求訪問它或披露信息時。
2. 當 HHS 進行合規調查、審查或執法行動時。

安全規則規定，相關實體及其業務伙伴必須進行風險評估。風險評估通過突出合規領域并發現任何構成安全風險的合規漏洞來幫助組織實現和維護 HIPAA 合規性。違規通知規則規定，涵蓋實體及其業務伙伴必須在違反不受保護的受保護健康信息后提供通知。

HIPAA 合規性是強制性的嗎？

在美國，以下實體必須遵守 HIPAA：

• 健康計劃
• 醫療保健機構
• 醫療保健票據交換所
• 商業伙伴

HIPAA 涵蓋哪些國家/地區？

HIPAA 僅適用于美國。但是，大多數其他國家/地區都有自己的國家對等物。

不遵守 HIPAA 的處罰是什么？

不合規的涵蓋實體可能會通過衛生與公眾服務部 (HHS) 下屬的民權辦公室 (OCR) 承擔民事處罰責任。每次違規的罰款從 100 美元到 50,000 美元以上不等，日歷年上限為 1,500,000 美元。某些違反隱私規則的行為也可能會受到刑事起訴。

HIPAA 合規資源

以下資源是實現和維護 HIPAA 合規性的有用指南：

• HIPAA 隱私規則摘要和合規提示(UpGuard)
• HIPAA 隱私規則(HHS)
• HIPAA 安全規則(HHS)
• HIPAA 違規通知規則(HHS)

3. 互聯網安全中心 (CIS) 關鍵安全控制

CIS 開發了關鍵安全控制措施，以保護私人和公共組織免受網絡安全威脅。CIS 控制優先考慮一組 18 項（之前為 20 項）行動，以幫助保護組織免受網絡攻擊。這些控制包括：

• 獨聯體控制1：企業資產的庫存和控制
• CIS 控制 2：軟件資產的庫存和控制
• CIS 控制 3：數據保護
• CIS Control 4：企業資產和軟件的安全配置
• CIS 控制 5：賬戶管理
• CIS 控制 6：訪問控制管理
• CIS 控制 7：持續漏洞管理
• CIS 控制 8：審計日志管理
• CIS 控制 9：電子郵件 Web 瀏覽器和保護
• CIS 控制 10：惡意軟件防御
• CIS 控制 11：數據恢復
• CIS 控制 12：網絡基礎設施管理
• CIS 控制 13：網絡監控和防御
• CIS 控制 14：安全意識和技能培訓
• CIS 控制 15：服務提供商管理
• CIS 控制 16：應用軟件安全
• CIS 控制 17：事件響應管理
• CIS 控制 18：滲透測試

CIS 控制映射到大多數主要安全框架，包括NIST 網絡安全框架、NIST 800-53、ISO 27000 系列以及PCI DSS、HIPAA和FISMA等法規。

是否必須遵守 CIS 控制？

不，CIS 控制不是強制性的，但建議用于增強醫療網絡安全。對于高度監管的醫療保健行業，CIS 控制為加強網絡防御和遵守其他強制性要求提供了一個簡化的起點。

獨聯體控制涵蓋哪些國家？

CIS 控制是國際公認的，適用于各種規模的組織。

CIS 控制合規資源

以下資源是實現和維護 CIS 控制合規性的有用指南：

• 有效網絡防御的 CIS 控制是什么？（上衛）
• 18 項 CIS 關鍵安全控制(CIS)

4. 信息及相關技術控制目標 (COBIT)

COBIT 是由信息系統審計和控制協會 (ISACA) 開發的 IT 治理和管理框架。COBIT 的最新版本是 COBIT 2019。COBIT 2019 旨在通過六項（之前為五項）原則使 IT 活動與更廣泛的組織目標保持一致：

1. 提供利益相關者價值
2. 整體分析
3. 動態治理體系
4. 治理與管理不同
5. 為企業需求量身定制
6. 端到端的治理系統

COBIT 2019 的全面覆蓋確保醫療保健組織清楚地了解其網絡安全風險的管理方式、監管合規要求以及投資于深入的信息安全政策的價值。使用 COBIT 成熟度模型，醫療保健組織還可以識別 IT 能力差距并有效地規劃如何彌合它們。

COBIT 是強制性的嗎？

不，COBIT 不是強制性的，但建議在醫療保健行業作為實現統一治理結構、簡化護理和降低成本的基礎。

COBIT 涵蓋哪些國家/地區？

COBIT 是一個全球認可和使用的框架。

COBIT 資源

• 信息技術資源控制目標(ISACA)
• 使用 COBIT 2019 (ISACA)管理數字化轉型

5. ISO/IEC 27001

ISO/IEC 27001（通常稱為 ISO 27001）是一種被廣泛采用的國際標準，用于通過信息安全管理實踐守則實現數據安全監管。該標準由國際標準化組織 (ISO) 和國際電工委員會 (IEC) 共同制定。它由一組標準組成，涵蓋信息安全管理系統 (ISMS)、信息技術、信息安全技術和信息安全要求。

對于醫療保健組織而言，實施 ISO 27001是一種有效的方法來規范、管理和處理敏感數據，例如患者信息。一旦建立起來，ISMS 將確保有有效的流程來識別和減輕網絡風險，并確保在發生安全事件時有效的事件響應計劃。

該標準的最新版本是 2013 年發布的 ISO/IEC 27001:2013。

ISO 27001 是強制性的嗎？

在大多數國家/地區，ISO/IEC 27001 不是強制性要求，但由于大量網絡攻擊和醫療保健行業的嚴格法規，強烈建議醫療保健組織實施 ISO 27001。

ISO 27001 涵蓋哪些國家/地區？

ISO 27001 是國際公認的信息安全標準。

ISO 27001 資源

• 什么是 ISO 27001？2022 年簡明扼要的解釋（UpGuard）
• ISO 27001 實施清單(UpGuard)
• ISO/IEC 27001:2013 (ISO)

6. HITRUST（原Health Information Trust）通用安全框架（CSF）

HITRUST 聯盟旨在通過其風險和合規管理框架和方法來“為所有行業和整個第三方供應鏈的全球組織保護敏感信息并管理信息風險”。該組織與公共和私營部門的多個行業的隱私、信息安全和風險管理領域的領導者合作。HITRUST 開發了HITRUST CSF，以幫助醫療保健組織及其云服務提供商清晰有效地展示其網絡安全措施和合規性。該框架映射到美國醫療保健法HIPAA和HITECH 法案，這些法案強制執行有關整個行業的個人身份信息 (PII)的使用、披露和保護的要求。

HITRUST CSF 分為 19 個不同的域：

1. 信息保護計劃
2. 端點保護
3. 便攜式媒體安全
4. 移動設備安全
5. 無線網絡安全
6. 配置管理
7. 漏洞管理
8. 網絡保護
9. 傳輸保護
10. 密碼管理
11. 訪問控制
12. 審計日志和監控
13. 教育、培訓和意識
14. 第三方保證
15. 事件管理
16. 業務連續性和災難恢復
17. 風險管理
18. 物理和環境安全
19. 數據保護和隱私

涵蓋的健康實體及其云服務提供商也可以使用 HITRUST 作為衡量其他行業框架合規性的基準，例如ISO 27001、NIST、HIPAA、COBIT 和PCI DSS。

HITRUST 合規性是強制性的嗎？

HITRUST 對組織不是強制性的。但是，任何生產、訪問、存儲或交換與個人健康相關的信息的組織都應實現 HITRUST 合規性，以明確證明其符合強制性行業法規，例如 HIPAA。這些組織包括醫療保健供應商、藥房、醫院、保險公司和醫生辦公室。作為一個備受推崇的安全框架，HITRUST 認證為這些組織建立了信譽。

HITRUST CSF 涵蓋哪些國家/地區？

HITRUST CSF 是一項全球認證計劃，可根據不同組織的類型、規模、系統和合規要求進行定制和調整。

HITRUST CSF 資源

以下資源是實現和維護 CIS 控制合規性的有用指南：

• HITRUST CSF - 我們的框架(HITRUST)
• HITRUST CSF v9.6.0 下載(HITRUST)

7. 質量體系法規 (QSR)

美國食品和藥物管理局 (FDA) 在設計過程中對醫療設備實施更嚴格的網絡安全要求。這些要求旨在降低設備因未經授權的訪問而受損時的操作關閉風險。FDA 聲明“網絡安全是利益相關者的共同責任，包括原始設備制造商 (OEM)、醫療保健機構、醫療保健提供者和獨立服務組織 (ISO)。”

除了利益相關者的共同責任外，醫療器械制造商還必須確保其風險管理、設計控制、維護、監督和響應流程整合有效的安全控制。示例控制包括實施設備用戶身份驗證和加密存儲在設備上的任何患者數據以增強數據保護。QSR 進一步定義了設備制造商必須遵循的要求，以保護連接的醫療設備免受網絡犯罪分子的侵害。設備制造商必須確保設計更改得到驗證和驗證，其中包括針對已識別漏洞的軟件修補。

QSR 合規性是強制性的嗎？

所有醫療器械制造商都必須遵守 QSR 以解決與其產品相關的所有網絡安全風險。雖然 QSR 合規性不是其他醫療保健實體的直接責任，但 FDA 建議“所有感興趣的利益相關者 [應該] 就可用于有效開發、驗證和實施醫療設備軟件變更的方法或途徑進行合作。”

QSR 涵蓋哪些國家/地區？

任何希望在美國銷售其產品的醫療器械供應商都必須遵守 QSR。

QSR 不合規的處罰是什么？

FDA 可以對不合規的組織實施幾種不同類型的處罰，從警告信到對公司處以高達 500,000 美元的罰款和刑事起訴等嚴重程度不等。

QSR 資源

以下資源是實現和維護 QSR 合規性的有用指南：

• 加強與醫療器械服務相關的網絡安全實踐：挑戰與機遇(FDA)
• FDA 在醫療器械網絡安全(FDA)中的作用
• CFR - 聯邦法規第 21 篇(FDA)

8. 支付卡行業數據安全標準（PCI DSS）

支付卡行業數據安全標準 (PCI DSS)是一組旨在防止信用卡欺詐和保護信用卡持有人免遭個人數據盜竊的標準。所有接受商品和服務支付卡的醫療保健組織都必須遵守 PCI DSS。PCI DSS 概述了用于保護信用卡數據生命周期三個主要階段的控制措施，包括：

• 信用卡數據處理
• 信用卡數據存儲
• 信用卡數據傳輸

PCI DSS 覆蓋哪些國家/地區？

PCI DSS 是國際公認的標準。

PCI DSS 合規性是強制性的嗎？

任何存儲、處理或傳輸持卡人數據的組織都必須遵守法規。

PCI DSS 不合規的處罰是什么？

不合規的組織將面臨每月 5,000 至 100,000 美元的罰款，直到他們實現經驗證的合規性。

PCI DSS 合規性資源

以下資源是實現和維護 PCI DSS 合規性的有用指南：

• 無痛的 PCI 合規性(UpGuard)
• 2021 年網絡安全合規監控最佳實踐（UpGuard）
• 支付卡行業 (PCI) 數據安全標準自我評估問卷（PCI 安全標準）

如何保持醫療保健部門的網絡安全合規性

以下網絡安全最佳實踐可以幫助醫療保健組織實現并保持對法規和公認框架的遵守。

實施零信任架構 (ZTA)

零信任架構將所有網絡活動視為安全威脅，直到用戶證明并非如此。該架構的審查性質增加了額外的安全層，防止未經授權訪問敏感信息。ZTA 現在是喬·拜登的網絡安全行政命令下的一項強制性要求。

實施第三方風險管理 (TPRM) 解決方案

TPRM 解決方案通過安全評估、安全評級和攻擊面的實時掃描來評估組織的第三方和第四方生態系統的安全狀況。理想的 TPRM 解決方案還應根據監管要求識別和映射供應商的安全評估響應，以發現合規和不合規領域。

識別和修復數據泄漏

數據泄露不僅會使數據泄露發生得更快，還會暴露可能違反監管準則的敏感信息。數據泄漏不僅是即將發生數據泄露的主要指標，而且可能違反監管要求。有效的數據泄漏檢測解決方案可以幫助在內部和第三方攻擊面中實時識別這些暴露，以確保合規性。

投資攻擊面監控解決方案

攻擊面監控解決方案可以比手動方法更快地識別導致數據泄露的漏洞。醫療保健組織可以利用這項技術來改善其安全狀況并滿足大多數行業法規嚴格的網絡彈性期望。