医疗保健网络安全框架:针对数据泄露和攻击的顶级防御

医疗保健IT供应商对组织的信息负有巨大责任网络安全当他们在软件和解决方案方面合作时，特别是在医疗保健行业的违规和网络攻2022卡塔尔世界杯赛程表时间击正在上升的情况下。数字技术和连通性已显著改善了医疗保健服务，但不断增强的集成使人们更容易受到网络攻击的影响，从而影响医疗保健服务、安全和隐私。

超过93%的医疗机构经历了数据在2017年至2020年期间，57%的人在同一时间内发生过5次以上的数据泄露。此外,研究人员网络安全风险预测医疗保健将受到影响两到三次到2021年，网络攻击将超过其他行业的平均数量，而针对医疗保健组织的勒索软件攻击将增长5倍。

为了应对医疗保健行业日益严重的网络安全威胁，领先的供应商组织通过遵循网络安全框架来保护他们的系统和合作伙伴。可防御的协议要求供应商定期对日常审计和合规措施负责，确保双方保持网络安全计划的活跃和优化。

责任共担:网络安全供应商-合作伙伴关系

在供应商-合作伙伴关系中，双方通常分担安全责任，根据托管基础设施的类型而有所不同。例如，在图1中，一个本地(或自托管)解决方案，随着托管模型转向软件即服务(SaaS)，责任和所有权更多地落在合作伙伴身上，并转移到供应商身上。

与图1中的SaaS模型相反，一个供应商(例如Health Catalyst及其托管的世界杯葡萄牙vs加纳即时走地数据操作系统(DOS™))平世界杯厄瓜多尔vs塞内加尔波胆预测台使用平台即服务(PaaS)模型，并在能力允许的情况下向SaaS发展。在PaaS模型中，供应商和合作伙伴之间的共同责任存在于三个主要领域:

• 标识和目录基础结构。
• 应用程序。
• 网络控制。

避免和抵御攻击需要集中式和分散式混合的医疗保健网络安全框架

医疗保健IT供应商网络安全框架旨在防止数据泄露的发生。然而，有时候，即使是最强有力的措施，坏人也会逃避。例如，在2020年12月13日，网络安全和基础设施安全局中国钢铁工业协会(CISA)发布了有史以来第五次命令指示联邦民事机构关闭了一个逼近的威胁涉及来自供应商的软件。一个国家攻击者破坏了该供应商的产品代码，以影响依赖该软件监控和管理其网络基础设施的组织的供应链。这次袭击的影响只是第一波，将是持久的。

虽然即使是最全面的安全基础设施也不能保证避免所有威胁，但安全框架必须足够强大，以便医疗保健网络安全团队在逻辑上捍卫他们的网络安全实践，即使在入侵后的恐慌中也是如此。换句话说，目标是构建一个分层的防御策略，以便任何一层的妥协都不会危及整个系统。

为了激励整个组织的网络安全，高层领导必须支持该计划。首席信息安全官(CISO)通过正式的组织信息安全管理计划建立集中的安全原则。整个高管层支持分散执行和遵守的流程和标准。

在这种集中式和分散式的混合医疗网络安全模型中，CISO最终对网络安全计划负责，该计划通过其他每个c级业务部门来设定安全和隐私合规目标的优先级。高层和董事会的紧密配合也有助于调整项目投资。

CISO可以通过持续的第三方审核和认证，获得整个组织范围内对集中式安全原则的支持。作为外部的、客观的检查点，第三方独立报告(相对于自我审计)确定了差距和不一致的实践，使安全团队对既定的标准和计划的评估负责。第三方独立的视角为组织外部的观点提供了可靠的参考点，并消除了盲点。第三方的参与还会增加其他外部供应商的价值，使其在自己的供应商安全风险评估中具有可信度。

医疗保健网络安全框架内部:第三方审计和认证

在供应商-合作伙伴关系中实施的操作政策和程序对于遵守两个实体的监管和认证战略至关重要。在分担责任模型的安全态势中，合作伙伴依赖于其供应商。在医疗保健行业，《健康保险携带和责任法案》(HIPAA)是现行的监管框架。HIPAA通常将合作伙伴定义为覆盖实体(CE)，将其供应商定义为业务伙伴(BA)。行政总监负责就其注册会计师的供应商风险评估进行尽职调查，以评估第三方提供服务或产品时的继承风险。

BA对其合作伙伴负有受托责任，在HIPAA的背景下，当发现安全事件、违约或根据HIPAA中定义的条款披露时，BA应通知其合作伙伴商业伙伴协议(BAA)。这一安排允许合作伙伴遵循战略网络安全框架，履行其向有关当局报告此类重大事件的监管要求。

以下正在进行的第三方审计和认证的例子支持网络安全框架。这些措施可帮助组织维持网络安全标准，并确保医疗保健组织的供应商认真对待管理工作，以保护数据的机密性、完整性和可用性:

服务组织控制

世界杯葡萄牙vs加纳即时走地健康催化剂利用系统和组织控制(SOC)合规性，包括网络安全风险管理报告框架。遵守规定的组织表明他们正在管理网络安全威胁，并有有效的流程和控制措施来检测、响应、减轻和从违规和其他安全事件中恢复。

• 的SOC 1^®报告提供了与合作伙伴对财务报告的内部控制相关的服务组织控制环境的信息。例如，世界杯葡萄牙vs加纳即时走地在Health Catalyst, SOC 1报告涵盖了与组织的云托管解决方案相关的控制的设计和操作有效性。供应商组织收到SOC 1类型II报告审计业务标准声明(SSAE)第18号(服务机构控制报告)和国际保证业务标准(ISAE) 3402(服务机构控制保证报告)。
• 的SOC 2^®报告是年度的，第三方独立评估的一个控制环境。SOC 2报告是基于美国注册会计师协会(AICPA)信托服务准则并根据AICPA每年发布第101节它的证明业务。该报告提供了为期12个月的回顾性审计。详细说明作为医疗保健云托管解决方案的一部分，与包含客户数据的任何系统相关的控件的设计和操作有效性。在健康世界杯葡萄牙vs加纳即时走地催化剂，SOC 2报告涉及五个AICPA中的三个信托服务准则(安全性、可用性和机密性)。

HIPAA

供应商可以使用HIPAA作为其安全和隐私框架的基础。这些第三方审计对HIPAA的合规性进行衡量，并确保组织具有HIPAA合规性计划，具有保存、访问和共享个人医疗和个人信息的适当措施。

商业伙伴协议

有些组织会应合作伙伴的要求签署BAAs。这些协议确保合作伙伴能够满足HIPAA和卫生信息技术促进经济和临床健康法案(HITECH)合规要求。

电子医疗保健网络认证委员会

电子医疗保健网络认证委员会(EHNAC)是一个国家标准，表明医疗保健利益相关者已达到或超过EHNAC的标准。这些利益相关者包括电子医疗保健网络、金融服务组织、医疗帐单商、第三方管理员、外包商、ePrescribing网络、医疗保健信息服务提供商(HISP)、实践管理系统供应商等。

EHNAC标准包括符合联邦医疗改革立法，包括HIPAA、HITECH、美国复苏与再投资法案,平价医疗法案， HIPPA综合规则，以及其他适用的州立法。此外，标准还包括隐私、安全和机密性;技术性能;业务实践;和资源。EHNAC的认证基于对实体能力的独立同行评估，该评估基于行业制定的标准。认证过程允许申请人审查其当前的绩效水平，并根据行业规定的最低标准、最佳实践以及适用的联邦和州医疗改革立法，将这些水平提高到现有水平。

HITRUST

的HITRUST网络安全框架(CSF)利用国家和国际公认的标准，包括ISO，国家标准和技术研究所(NIST),PCI安全标准委员会，以及HIPAA，以确保一套全面的基线安全控制。CSF规范了这些安全需求，并提供了清晰度和一致性，减少了遵守适用于组织的各种需求的负担。

国际标准化组织

的国际标准化组织(ISO)27001是全球公认的、基于标准的安全方法，概述了组织网络安全管理系统的要求。

NIST网络安全框架

的NIST脑脊液指导组织如何提高预防、检测和响应网络安全风险的能力。的NIST 800 - 53年标准是为联邦信息系统和组织推荐安全控制的出版物，为所有联邦信息系统推荐安全控制的文件，为国家安全设计的信息系统除外。

针对持续网络安全威胁的最佳防御:积极优化的医疗保健网络安全计划

统计数据显示，医疗保健数据泄露和网络攻击很少是孤立的、不常见的事件，而是需要持续警惕的持续威胁。随着整个行业越来越多的连接，卫生系统及其IT供应商必须在其数字和运营战略中优先考虑积极和优化的网络安全框架。最安全的协议定义了供应商-合作伙伴关系中的安全责任，并要求供应商对日常审计和遵从性措施负责。

更多的阅读

你想了解更多关于这个话题的信息吗?以下是我们推荐的一些文章:

1. COVID-19医疗保健网络安全:远程工作人员的最佳实践
2. 人工智能如何克服医疗数据安全挑战并提高患者信任
3. 将HIE数据与分析平台配对:四个关键改进类别世界杯厄瓜多尔vs塞内加尔波胆预测
4. 建议规则中定义的信息阻塞的例外:以下是你需要知道的
5. 成功的医疗保健数据策略必须具备的三个要素

下载

---

幻灯片

您愿意使用或分享这些概念吗?下载突出重点的演示文稿。

点击此处下载幻灯片

医疗保健网络安全框架:针对数据泄露和攻击的顶级防御从世界杯葡萄牙vs加纳即时走地