數(shù)字化轉(zhuǎn)型使所有行業(yè)都面臨更大的網(wǎng)絡(luò)攻擊風險，醫(yī)療保健行業(yè)也不例外。隨著美國醫(yī)療保健組織出于數(shù)據(jù)共享、流程自動化和系統(tǒng)互操作性等目的增加對健康信息技術(shù)的依賴，它們的攻擊面迅速擴大。這種迅速增加的攻擊向量數(shù)量大大增加了網(wǎng)絡(luò)安全風險。

健康行業(yè)最容易受到勒索軟件攻擊、數(shù)據(jù)盜竊和端點入侵。

• 勒索軟件攻擊可以通過相對簡單的途徑進入系統(tǒng)，例如網(wǎng)絡(luò)釣魚電子郵件。他們在醫(yī)療保健行業(yè)擁有更高的利益，因為患者護理機構(gòu)的數(shù)據(jù)丟失不僅會造成不便，還會危及患者安全。網(wǎng)絡(luò)犯罪分子可以利用這種緊迫性，利用這種緊迫性要求更高的金額和更快的付款來發(fā)布醫(yī)療記錄等關(guān)鍵數(shù)據(jù)。
• 健康記錄中的患者數(shù)據(jù)可以在暗網(wǎng)上出售，并用于實施利潤豐厚的網(wǎng)絡(luò)犯罪，例如保險欺詐和身份盜竊。
• 現(xiàn)代物聯(lián)網(wǎng) (IoT) 醫(yī)療設(shè)備的連接性使其成為黑客的理想攻擊媒介——未經(jīng)授權(quán)訪問僅一個不安全的設(shè)備會危及所有連接設(shè)備和計算機系統(tǒng)的整個網(wǎng)絡(luò)安全。

與金融業(yè)一樣，美國醫(yī)療保健行業(yè)也受到嚴格監(jiān)管。醫(yī)療保健提供者和其他相關(guān)實體必須實施有效的網(wǎng)絡(luò)安全計劃，以識別、減輕和防止網(wǎng)絡(luò)攻擊。

8 條醫(yī)療保健行業(yè)最關(guān)鍵的網(wǎng)絡(luò)安全法規(guī)

2021 年，醫(yī)療保健行業(yè)的平均數(shù)據(jù)泄露總成本最高，為 923 萬美元。此外，2021 年有 44,993,618 份健康記錄被泄露或被盜，成為泄露記錄第二高的年份。遵守醫(yī)療保健法規(guī)不僅可以幫助組織避免巨額罰款。合規(guī)性的另一個好處是以更一致和可衡量的速度 體驗安全態(tài)勢成熟度的可能性。通過公認的安全框架獲得認證為組織提供了額外的可信度，并允許他們評估自己對法規(guī)的遵守情況。

這樣的框架消除了從頭開始設(shè)計網(wǎng)絡(luò)安全路線圖的勞動密集型任務(wù)。如果預算或時間不足，即使只是遵守框架要求，也有助于組織評估其安全狀況并確定合規(guī)和不合規(guī)領(lǐng)域。對如何實現(xiàn)網(wǎng)絡(luò)彈性的清晰愿景有助于確保解決所有能力差距，并為安全態(tài)勢成熟設(shè)定明確的途徑。以下是美國醫(yī)療保健組織在制定其信息安全政策時應(yīng)牢記的 8 項主要網(wǎng)絡(luò)安全法規(guī)和框架。

該列表沒有按任何有意的順序列出，并提供了有關(guān)每個法規(guī)/框架的以下信息：

• 合規(guī)是強制性的嗎？
• 覆蓋哪些國家？
• 不合規(guī)的處罰是什么（如果合規(guī)是強制性的）？
• 其他資源

1. 美國國家標準與技術(shù)研究院 (NIST) 改善關(guān)鍵基礎(chǔ)設(shè)施的框架

美國國家標準與技術(shù)研究院 (NIST) 網(wǎng)絡(luò)安全框架是一套全面的行業(yè)指南，旨在降低組織網(wǎng)絡(luò)風險。NIST 發(fā)布了廣泛的網(wǎng)絡(luò)安全出版物，包括NIST 800-53。NIST 800-53 最初建立了僅適用于聯(lián)邦和政府實體的安全控制和隱私控制。該出版物的最新修訂版（修訂版 5）具有更廣泛的關(guān)注點，也適用于非政府實體，包括醫(yī)療保健部門。修訂版 5 將隱私控制集成到安全控制中，為系統(tǒng)和組織創(chuàng)建了一套統(tǒng)一的控制。

NIST 合規(guī)性是強制性的嗎？

所有聯(lián)邦實體及其承包商都必須遵守 NIST 合規(guī)性。NIST 合規(guī)性對所有私營部門企業(yè)都是自愿的，包括私營醫(yī)療保健。

建議醫(yī)療保健組織實現(xiàn) NIST 合規(guī)性以獲得以下好處：

• 免費： NIST 框架是免費的，允許組織在不影響預算質(zhì)量的情況下投資于更強大的網(wǎng)絡(luò)安全計劃。

使用經(jīng)過驗證的框架而不是從頭開始創(chuàng)建一個框架，還可以使組織更好地將其資源分配給其他風險管理工作。

• 靈活性： NIST 框架可以在包括醫(yī)療保健在內(nèi)的所有行業(yè)中采用。NIST 的適應(yīng)性還允許它在組織擴展其網(wǎng)絡(luò)安全計劃時保持相關(guān)性。
• 集成：遵守多個框架和法規(guī)很快就變成了一項復雜的工作，尤其是在考慮額外的內(nèi)部風險管理和合規(guī)要求時。NIST 通過無縫映射到其他框架和法規(guī)（如HIPAA和ISO 27001），最大限度地減少了由各種合規(guī)要求引起的許多復雜性。

NIST 涵蓋哪些國家/地區(qū)？

任何國家的組織都可以采用 NIST，因為它符合全球公認的標準。

不遵守 NIST 的處罰是什么？

不遵守 NIST 會導致政府機構(gòu)及其承包商和第三方供應(yīng)商失去所有聯(lián)邦資金。在美國，NIST 合規(guī)性是根據(jù)聯(lián)邦信息安全管理法(FISMA) 強制執(zhí)行的。

NIST 合規(guī)資源

以下資源是實現(xiàn)和維護 NIST 合規(guī)性的有用指南：

• 10 步清單：如何在 2021 年符合 GDPR (UpGuard)
• 您需要了解的有關(guān) GDPR 合規(guī)性的所有信息(GDPR.EU)

2. 健康保險流通與責任法案 (HIPAA)

HIPAA是一系列美國聯(lián)邦法律，于 1996 年簽署生效，旨在規(guī)范該國健康信息的披露和保護。該法案由三個主要規(guī)則組成——隱私規(guī)則、安全規(guī)則和違規(guī)通知規(guī)則。HIPAA 隱私規(guī)則旨在定義和限制個人醫(yī)療保健信息可能被涵蓋實體使用或披露的情況 。涵蓋實體不能使用或披露受保護的健康信息 (PHI)，包括電子健康保護信息 (ePHI)，除非：

• 隱私規(guī)則允許或要求它；或者
• 信息主體（或代表）提供書面授權(quán)。

只有兩種情況必須披露 PHI：

1. 當個人或其代表要求訪問它或披露信息時。
2. 當 HHS 進行合規(guī)調(diào)查、審查或執(zhí)法行動時。

安全規(guī)則規(guī)定，相關(guān)實體及其業(yè)務(wù)伙伴必須進行風險評估。風險評估通過突出合規(guī)領(lǐng)域并發(fā)現(xiàn)任何構(gòu)成安全風險的合規(guī)漏洞來幫助組織實現(xiàn)和維護 HIPAA 合規(guī)性。違規(guī)通知規(guī)則規(guī)定，涵蓋實體及其業(yè)務(wù)伙伴必須在違反不受保護的受保護健康信息后提供通知。

HIPAA 合規(guī)性是強制性的嗎？

在美國，以下實體必須遵守 HIPAA：

• 健康計劃
• 醫(yī)療保健機構(gòu)
• 醫(yī)療保健票據(jù)交換所
• 商業(yè)伙伴

HIPAA 涵蓋哪些國家/地區(qū)？

HIPAA 僅適用于美國。但是，大多數(shù)其他國家/地區(qū)都有自己的國家對等物。

不遵守 HIPAA 的處罰是什么？

不合規(guī)的涵蓋實體可能會通過衛(wèi)生與公眾服務(wù)部 (HHS) 下屬的民權(quán)辦公室 (OCR) 承擔民事處罰責任。每次違規(guī)的罰款從 100 美元到 50,000 美元以上不等，日歷年上限為 1,500,000 美元。某些違反隱私規(guī)則的行為也可能會受到刑事起訴。

HIPAA 合規(guī)資源

以下資源是實現(xiàn)和維護 HIPAA 合規(guī)性的有用指南：

• HIPAA 隱私規(guī)則摘要和合規(guī)提示(UpGuard)
• HIPAA 隱私規(guī)則(HHS)
• HIPAA 安全規(guī)則(HHS)
• HIPAA 違規(guī)通知規(guī)則(HHS)

3. 互聯(lián)網(wǎng)安全中心 (CIS) 關(guān)鍵安全控制

CIS 開發(fā)了關(guān)鍵安全控制措施，以保護私人和公共組織免受網(wǎng)絡(luò)安全威脅。CIS 控制優(yōu)先考慮一組 18 項（之前為 20 項）行動，以幫助保護組織免受網(wǎng)絡(luò)攻擊。這些控制包括：

• 獨聯(lián)體控制1：企業(yè)資產(chǎn)的庫存和控制
• CIS 控制 2：軟件資產(chǎn)的庫存和控制
• CIS 控制 3：數(shù)據(jù)保護
• CIS Control 4：企業(yè)資產(chǎn)和軟件的安全配置
• CIS 控制 5：賬戶管理
• CIS 控制 6：訪問控制管理
• CIS 控制 7：持續(xù)漏洞管理
• CIS 控制 8：審計日志管理
• CIS 控制 9：電子郵件 Web 瀏覽器和保護
• CIS 控制 10：惡意軟件防御
• CIS 控制 11：數(shù)據(jù)恢復
• CIS 控制 12：網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理
• CIS 控制 13：網(wǎng)絡(luò)監(jiān)控和防御
• CIS 控制 14：安全意識和技能培訓
• CIS 控制 15：服務(wù)提供商管理
• CIS 控制 16：應(yīng)用軟件安全
• CIS 控制 17：事件響應(yīng)管理
• CIS 控制 18：滲透測試

CIS 控制映射到大多數(shù)主要安全框架，包括NIST 網(wǎng)絡(luò)安全框架、NIST 800-53、ISO 27000 系列以及PCI DSS、HIPAA和FISMA等法規(guī)。

是否必須遵守 CIS 控制？

不，CIS 控制不是強制性的，但建議用于增強醫(yī)療網(wǎng)絡(luò)安全。對于高度監(jiān)管的醫(yī)療保健行業(yè)，CIS 控制為加強網(wǎng)絡(luò)防御和遵守其他強制性要求提供了一個簡化的起點。

獨聯(lián)體控制涵蓋哪些國家？

CIS 控制是國際公認的，適用于各種規(guī)模的組織。

CIS 控制合規(guī)資源

以下資源是實現(xiàn)和維護 CIS 控制合規(guī)性的有用指南：

• 有效網(wǎng)絡(luò)防御的 CIS 控制是什么？（上衛(wèi)）
• 18 項 CIS 關(guān)鍵安全控制(CIS)

4. 信息及相關(guān)技術(shù)控制目標 (COBIT)

COBIT 是由信息系統(tǒng)審計和控制協(xié)會 (ISACA) 開發(fā)的 IT 治理和管理框架。COBIT 的最新版本是 COBIT 2019。COBIT 2019 旨在通過六項（之前為五項）原則使 IT 活動與更廣泛的組織目標保持一致：

1. 提供利益相關(guān)者價值
2. 整體分析
3. 動態(tài)治理體系
4. 治理與管理不同
5. 為企業(yè)需求量身定制
6. 端到端的治理系統(tǒng)

COBIT 2019 的全面覆蓋確保醫(yī)療保健組織清楚地了解其網(wǎng)絡(luò)安全風險的管理方式、監(jiān)管合規(guī)要求以及投資于深入的信息安全政策的價值。使用 COBIT 成熟度模型，醫(yī)療保健組織還可以識別 IT 能力差距并有效地規(guī)劃如何彌合它們。

COBIT 是強制性的嗎？

不，COBIT 不是強制性的，但建議在醫(yī)療保健行業(yè)作為實現(xiàn)統(tǒng)一治理結(jié)構(gòu)、簡化護理和降低成本的基礎(chǔ)。

COBIT 涵蓋哪些國家/地區(qū)？

COBIT 是一個全球認可和使用的框架。

COBIT 資源

• 信息技術(shù)資源控制目標(ISACA)
• 使用 COBIT 2019 (ISACA)管理數(shù)字化轉(zhuǎn)型

5. ISO/IEC 27001

ISO/IEC 27001（通常稱為 ISO 27001）是一種被廣泛采用的國際標準，用于通過信息安全管理實踐守則實現(xiàn)數(shù)據(jù)安全監(jiān)管。該標準由國際標準化組織 (ISO) 和國際電工委員會 (IEC) 共同制定。它由一組標準組成，涵蓋信息安全管理系統(tǒng) (ISMS)、信息技術(shù)、信息安全技術(shù)和信息安全要求。

對于醫(yī)療保健組織而言，實施 ISO 27001是一種有效的方法來規(guī)范、管理和處理敏感數(shù)據(jù)，例如患者信息。一旦建立起來，ISMS 將確保有有效的流程來識別和減輕網(wǎng)絡(luò)風險，并確保在發(fā)生安全事件時有效的事件響應(yīng)計劃。

該標準的最新版本是 2013 年發(fā)布的 ISO/IEC 27001:2013。

ISO 27001 是強制性的嗎？

在大多數(shù)國家/地區(qū)，ISO/IEC 27001 不是強制性要求，但由于大量網(wǎng)絡(luò)攻擊和醫(yī)療保健行業(yè)的嚴格法規(guī)，強烈建議醫(yī)療保健組織實施 ISO 27001。

ISO 27001 涵蓋哪些國家/地區(qū)？

ISO 27001 是國際公認的信息安全標準。

ISO 27001 資源

• 什么是 ISO 27001？2022 年簡明扼要的解釋（UpGuard）
• ISO 27001 實施清單(UpGuard)
• ISO/IEC 27001:2013 (ISO)

6. HITRUST（原Health Information Trust）通用安全框架（CSF）

HITRUST 聯(lián)盟旨在通過其風險和合規(guī)管理框架和方法來“為所有行業(yè)和整個第三方供應(yīng)鏈的全球組織保護敏感信息并管理信息風險”。該組織與公共和私營部門的多個行業(yè)的隱私、信息安全和風險管理領(lǐng)域的領(lǐng)導者合作。HITRUST 開發(fā)了HITRUST CSF，以幫助醫(yī)療保健組織及其云服務(wù)提供商清晰有效地展示其網(wǎng)絡(luò)安全措施和合規(guī)性。該框架映射到美國醫(yī)療保健法HIPAA和HITECH 法案，這些法案強制執(zhí)行有關(guān)整個行業(yè)的個人身份信息 (PII)的使用、披露和保護的要求。

HITRUST CSF 分為 19 個不同的域：

1. 信息保護計劃
2. 端點保護
3. 便攜式媒體安全
4. 移動設(shè)備安全
5. 無線網(wǎng)絡(luò)安全
6. 配置管理
7. 漏洞管理
8. 網(wǎng)絡(luò)保護
9. 傳輸保護
10. 密碼管理
11. 訪問控制
12. 審計日志和監(jiān)控
13. 教育、培訓和意識
14. 第三方保證
15. 事件管理
16. 業(yè)務(wù)連續(xù)性和災(zāi)難恢復
17. 風險管理
18. 物理和環(huán)境安全
19. 數(shù)據(jù)保護和隱私

涵蓋的健康實體及其云服務(wù)提供商也可以使用 HITRUST 作為衡量其他行業(yè)框架合規(guī)性的基準，例如ISO 27001、NIST、HIPAA、COBIT 和PCI DSS。

HITRUST 合規(guī)性是強制性的嗎？

HITRUST 對組織不是強制性的。但是，任何生產(chǎn)、訪問、存儲或交換與個人健康相關(guān)的信息的組織都應(yīng)實現(xiàn) HITRUST 合規(guī)性，以明確證明其符合強制性行業(yè)法規(guī)，例如 HIPAA。這些組織包括醫(yī)療保健供應(yīng)商、藥房、醫(yī)院、保險公司和醫(yī)生辦公室。作為一個備受推崇的安全框架，HITRUST 認證為這些組織建立了信譽。

HITRUST CSF 涵蓋哪些國家/地區(qū)？

HITRUST CSF 是一項全球認證計劃，可根據(jù)不同組織的類型、規(guī)模、系統(tǒng)和合規(guī)要求進行定制和調(diào)整。

HITRUST CSF 資源

以下資源是實現(xiàn)和維護 CIS 控制合規(guī)性的有用指南：

• HITRUST CSF - 我們的框架(HITRUST)
• HITRUST CSF v9.6.0 下載(HITRUST)

7. 質(zhì)量體系法規(guī) (QSR)

美國食品和藥物管理局 (FDA) 在設(shè)計過程中對醫(yī)療設(shè)備實施更嚴格的網(wǎng)絡(luò)安全要求。這些要求旨在降低設(shè)備因未經(jīng)授權(quán)的訪問而受損時的操作關(guān)閉風險。FDA 聲明“網(wǎng)絡(luò)安全是利益相關(guān)者的共同責任，包括原始設(shè)備制造商 (OEM)、醫(yī)療保健機構(gòu)、醫(yī)療保健提供者和獨立服務(wù)組織 (ISO)?！?/p>

除了利益相關(guān)者的共同責任外，醫(yī)療器械制造商還必須確保其風險管理、設(shè)計控制、維護、監(jiān)督和響應(yīng)流程整合有效的安全控制。示例控制包括實施設(shè)備用戶身份驗證和加密存儲在設(shè)備上的任何患者數(shù)據(jù)以增強數(shù)據(jù)保護。QSR 進一步定義了設(shè)備制造商必須遵循的要求，以保護連接的醫(yī)療設(shè)備免受網(wǎng)絡(luò)犯罪分子的侵害。設(shè)備制造商必須確保設(shè)計更改得到驗證和驗證，其中包括針對已識別漏洞的軟件修補。

QSR 合規(guī)性是強制性的嗎？

所有醫(yī)療器械制造商都必須遵守 QSR 以解決與其產(chǎn)品相關(guān)的所有網(wǎng)絡(luò)安全風險。雖然 QSR 合規(guī)性不是其他醫(yī)療保健實體的直接責任，但 FDA 建議“所有感興趣的利益相關(guān)者 [應(yīng)該] 就可用于有效開發(fā)、驗證和實施醫(yī)療設(shè)備軟件變更的方法或途徑進行合作?！?/p>

QSR 涵蓋哪些國家/地區(qū)？

任何希望在美國銷售其產(chǎn)品的醫(yī)療器械供應(yīng)商都必須遵守 QSR。

QSR 不合規(guī)的處罰是什么？

FDA 可以對不合規(guī)的組織實施幾種不同類型的處罰，從警告信到對公司處以高達 500,000 美元的罰款和刑事起訴等嚴重程度不等。

QSR 資源

以下資源是實現(xiàn)和維護 QSR 合規(guī)性的有用指南：

• 加強與醫(yī)療器械服務(wù)相關(guān)的網(wǎng)絡(luò)安全實踐：挑戰(zhàn)與機遇(FDA)
• FDA 在醫(yī)療器械網(wǎng)絡(luò)安全(FDA)中的作用
• CFR - 聯(lián)邦法規(guī)第 21 篇(FDA)

8. 支付卡行業(yè)數(shù)據(jù)安全標準（PCI DSS）

支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)是一組旨在防止信用卡欺詐和保護信用卡持有人免遭個人數(shù)據(jù)盜竊的標準。所有接受商品和服務(wù)支付卡的醫(yī)療保健組織都必須遵守 PCI DSS。PCI DSS 概述了用于保護信用卡數(shù)據(jù)生命周期三個主要階段的控制措施，包括：

• 信用卡數(shù)據(jù)處理
• 信用卡數(shù)據(jù)存儲
• 信用卡數(shù)據(jù)傳輸

PCI DSS 覆蓋哪些國家/地區(qū)？

PCI DSS 是國際公認的標準。

PCI DSS 合規(guī)性是強制性的嗎？

任何存儲、處理或傳輸持卡人數(shù)據(jù)的組織都必須遵守法規(guī)。

PCI DSS 不合規(guī)的處罰是什么？

不合規(guī)的組織將面臨每月 5,000 至 100,000 美元的罰款，直到他們實現(xiàn)經(jīng)驗證的合規(guī)性。

PCI DSS 合規(guī)性資源

以下資源是實現(xiàn)和維護 PCI DSS 合規(guī)性的有用指南：

• 無痛的 PCI 合規(guī)性(UpGuard)
• 2021 年網(wǎng)絡(luò)安全合規(guī)監(jiān)控最佳實踐（UpGuard）
• 支付卡行業(yè) (PCI) 數(shù)據(jù)安全標準自我評估問卷（PCI 安全標準）

如何保持醫(yī)療保健部門的網(wǎng)絡(luò)安全合規(guī)性

以下網(wǎng)絡(luò)安全最佳實踐可以幫助醫(yī)療保健組織實現(xiàn)并保持對法規(guī)和公認框架的遵守。

實施零信任架構(gòu) (ZTA)

零信任架構(gòu)將所有網(wǎng)絡(luò)活動視為安全威脅，直到用戶證明并非如此。該架構(gòu)的審查性質(zhì)增加了額外的安全層，防止未經(jīng)授權(quán)訪問敏感信息。ZTA 現(xiàn)在是喬·拜登的網(wǎng)絡(luò)安全行政命令下的一項強制性要求。

實施第三方風險管理 (TPRM) 解決方案

TPRM 解決方案通過安全評估、安全評級和攻擊面的實時掃描來評估組織的第三方和第四方生態(tài)系統(tǒng)的安全狀況。理想的 TPRM 解決方案還應(yīng)根據(jù)監(jiān)管要求識別和映射供應(yīng)商的安全評估響應(yīng)，以發(fā)現(xiàn)合規(guī)和不合規(guī)領(lǐng)域。

識別和修復數(shù)據(jù)泄漏

數(shù)據(jù)泄露不僅會使數(shù)據(jù)泄露發(fā)生得更快，還會暴露可能違反監(jiān)管準則的敏感信息。數(shù)據(jù)泄漏不僅是即將發(fā)生數(shù)據(jù)泄露的主要指標，而且可能違反監(jiān)管要求。有效的數(shù)據(jù)泄漏檢測解決方案可以幫助在內(nèi)部和第三方攻擊面中實時識別這些暴露，以確保合規(guī)性。

投資攻擊面監(jiān)控解決方案

攻擊面監(jiān)控解決方案可以比手動方法更快地識別導致數(shù)據(jù)泄露的漏洞。醫(yī)療保健組織可以利用這項技術(shù)來改善其安全狀況并滿足大多數(shù)行業(yè)法規(guī)嚴格的網(wǎng)絡(luò)彈性期望。