新的CSA指南与NIST更新旨在支持医疗保健领域应对HIPAA安全规则和供应商风险

关键要点

• CSA发布的新指南帮助医疗卫生机构管理第三方供应商风险。
• NIST更新了有关HIPAA安全规则合规性的网络安全指导。
• 两个更新都强调了对风险评估和管理的重视。
• 反馈期截止至9月21日，欢迎行业专家评论新提案。

新的CSA（云安全联盟）指南和NIST（国家标准与技术研究院）更新旨在支持医疗保健组织应对HIPAA（健康保险流动与问责法）安全规则要求及常见的第三方供应商风险。

CSA于7月21日发布了新的指导，旨在帮助医疗服务提供组织管理第三方供应商风险，而NIST也更新了其医疗保健网络安全方面的见解，以确保符合HIPAA安全规则要求。

NIST更新的主要内容

NIST的更新针对HIPAA安全规则的实施，以确保电子受保护健康信息的机密性和完整性，包括实验室结果、处方、疫苗接种记录和医院记录。NIST网络安全专家杰夫·玛龙（JeffMarron）表示，这些更新旨在使之前发布的出版物“更像是一本资源指南”，并且是“更多一种刷新而非整体改版”。该指南包括组织可以采取的一些切实可行的步骤，以改善其整体网络安全态势和HIPAA安全规则的合规性。

需要明确的是，NIST并无授权创建HIPAA法规。该指南旨在为各机构提供网络安全方面的指导。更新包含了行业在去年的草案反馈征集过程中提供的400多条反馈意见。

指导结构略有调整，现在更加强调风险评估和管理。玛龙提到，NIST已将HIPAA安全规则的所有要素与NIST网络安全框架的子类别和控制措施进行了映射。

最终，NIST计划将最终确定的医疗保健网络安全指南与NIST网络安全框架进行整合。

NIST正在征求对拟议更改的意见，包括格式、改进和技术威胁的潜在补充等文件审核员注意事项。反馈期截止至9月21日。

CSA对医疗保健领域的第三方风险指南

最新的Cloud SecurityAlliance见解由健康信息管理工作组起草，提供医疗保健领域面临的第三方供应商安全风险概述，以及相应的项目工具、示例和使用案例。该报告探讨了第三方风险为何对医疗保健影响最大的原因，以及识别、评估和缓解供应商风险的最佳实践。

鉴于2022年迄今为止，供应商所导致的医疗数据泄露事件已成为最大的泄露事件，该指南将有助于医疗保健机构理解和应对持续的供应商风险。

“由于缺乏自动化和数字应用以及医疗设备的普及，繁琐且耗时的供应商风险评估程序，以及尚未完全部署的关键供应商管理控制措施，医疗行业的供应商风险更加突出，”该报告主笔、HIM工作组联合主席詹姆斯·安格尔（JamesAngle）博士表示。

医疗保健机构应充分利用CSA的报告，以更好地理解这些风险以及制定监测、响应和减轻这些威胁以满足监管和合规要求的计划。该指南还包括供应商考量方面的更多建议，如云服务、自动化以及跟踪项目的有效性。

“未能评估风险并有效地实施监控控制可能在潜在罚款和声誉方面造成很大损失，”CSA贡献者迈克尔·罗扎（Michael Roza）在一份声明中说道。

他补充道，随着医疗保健机构继续将有限资源集中在核心组织目标上，并将支持服务外包，制定一个有效的第三方风险管理计划是至关重要的。