医疗保健网络安全框架:针对数据泄露和攻击的顶级防御(白皮书)

医疗保健IT供应商承担着组织的巨大责任网络安全当他们在软件和解决方案上合作时，尤其是在医疗行业的入侵和网络攻击日益2022卡塔尔世界杯赛程表时间增多的情况下。数字技术和连接已使医疗保健服务得到显著改善，但集成程度的提高使医疗保健服务更容易受到网络攻击，从而影响医疗保健服务、安全和隐私。

超过93%医疗保健组织中有1数据在2017年至2020年期间，57%的企业在同一时间内发生了5次以上的数据泄露事件。此外,研究人员网络安全风险预测医疗保健将受到影响2到3次2021年的网络攻击数量超过其他行业的平均数量，到2021年，针对医疗机构的勒索软件攻击将增长5倍。

为了应对医疗保健领域日益严重的网络安全威胁，领先的供应商组织通过遵循网络安全框架来保护其系统及其合作伙伴。一个合理的协议可以让供应商对定期的例行审计和合规措施负责，确保双方保持网络安全程序的活跃和优化。

责任分担:网络安全供应商与合作伙伴关系

在供应商-合作伙伴关系中，双方通常分担安全责任，根据托管基础设施的类型而不同。例如，在图1中，一个内部部署(或自托管)的解决方案中，责任和所有权更多地落在合作伙伴身上，并随着托管模型转向软件即服务(SaaS)而转移到供应商。

图1:供应商-合作伙伴托管关系。

与图1中的SaaS模型相反，供应商(如Health Catalyst及其托管世界杯葡萄牙vs加纳即时走地数据操作系统(DOS™))平世界杯厄瓜多尔vs塞内加尔波胆预测台使用平台即服务(PaaS)模型，并在功能允许的情况下向SaaS发展。在PaaS模型中，供应商和合作伙伴之间的共同责任存在于三个主要领域:

• 身份和目录基础结构。
• 应用程序。
• 网络控制。

避免和抵御攻击需要集中式和分散式混合医疗保健网络安全框架

医疗保健IT供应商的网络安全框架旨在防止数据泄露的发生。然而，有时不良行为者甚至会逃避最有力的措施。例如，在2020年12月13日网络安全和基础设施安全局(CISA)发布了五份报告中的第二份命令指示联邦民事机构关闭了一个逼近的威胁涉及来自供应商的软件。一个民族国家的攻击者破坏了该供应商的产品代码，从而影响依赖该软件监控和管理其网络基础设施的组织的供应链。这次攻击的影响只在第一波，而且会持续很长时间。

虽然即使是最全面的安全基础设施也不能保证避免所有威胁，但一个安全框架必须足够强大，以便医疗保健网络安全团队在逻辑上捍卫他们的网络安全实践，即使是在黑客入侵后的恐慌中。换句话说，我们的目标是建立一个分层的防御策略，这样任何一层的妥协都不会影响整个系统。

为了激励整个组织的网络安全，高层领导必须支持该计划。首席信息安全官(CISO)通过正式的组织信息安全管理程序建立集中的安全原则。完整的C-suite支持分散执行和遵守的过程和标准。

在这种集中式和分散式混合医疗网络安全模型中，CISO最终对网络安全计划负责，该计划通过其他每个c级业务部门为安全和隐私合规目标设定优先级。强大的高管团队和董事会也有助于协调项目投资。

通过持续的第三方审计和认证，CISO可以获得整个组织对集中安全原则的支持。作为外部的、客观的检查点，第三方独立的报告(相对于自我审计)确定差距和不一致的实践，使安全团队对既定的标准和计划的评估负责。第三方独立视角为组织外部的视角提供了一个可信的参考点，消除了盲点。让第三方参与进来还可以为其他外部供应商增加价值，使其在自己的供应商安全风险评估中具有可信度。

医疗保健网络安全框架内部:第三方审计和认证

在供应商与合作伙伴关系中，运作政策和程序对于遵守两个实体的监管和认证战略至关重要。在共享责任模型的安全姿态中，合作伙伴依赖于其供应商。在医疗保健行业《健康保险携带与责任法案(HIPAA)是现行的监管框架。HIPAA通常将合作伙伴定义为覆盖实体(CE)，将其供应商定义为业务伙伴(BA)。行政长官负责就第三方提供服务或产品时的供应商风险评估进行尽职调查，以评估继承风险。

广管局对其合作伙伴有受托责任，在HIPAA的范围内，当发现安全事件，违反，或披露在条款中定义的条款，通知其合作伙伴生意伙伴协议(BAA)。该安排允许合作伙伴在战略网络安全框架下，履行其向适当当局报告此类重大事件的监管要求。

以下正在进行的第三方审计和认证示例支持网络安全框架。这些措施帮助组织维护网络安全标准，并确保医疗保健组织的供应商认真对待管理工作，以保护数据的保密性、完整性和可用性:

服务组织控制

世界杯葡萄牙vs加纳即时走地健康催化剂利用系统和组织控制(SOC)合规性，包括网络安全风险管理报告框架。遵守规定的组织表明，他们正在管理网络安全威胁，并有有效的流程和控制，以检测、响应、缓解和恢复违反和其他安全事件。

• 的SOC 1^®报告提供与合作伙伴的财务报告内部控制相关的服务组织控制环境的信息。例如，世界杯葡萄牙vs加纳即时走地在Health Catalyst, SOC 1报告涵盖了与组织的云托管解决方案相关的控制的设计和运行有效性。供应商组织收到SOC 1 II类报告关于认证业务标准的说明(SSAE) 18号(服务组织控制报告)和保证业务国际标准3402服务组织的控制保证报告。
• 的SOC 2^®报告是对控制环境的年度第三方独立评估。SOC 2报告是基于美国注册会计师协会(AICPA)信托服务标准每年在美国注册会计师协会之后发布在第101节它的证明活动。该报告提供了一份为期12个月的回顾性审计报告。详细介绍了与医疗保健云托管解决方案中包含客户数据的任何系统相关的控制的设计和运行有效性。在健康世界杯葡萄牙vs加纳即时走地催化剂，SOC 2报告解决了五个AICPA中的三个信托服务标准(安全性、可用性和机密性)。

HIPAA

供应商可以使用HIPAA作为其安全和隐私框架的基础。这些第三方审计衡量对HIPAA的合规性，并确保组织有一个符合HIPAA合规性的计划，有足够的措施保存、访问和共享个人医疗和个人信息。

生意伙伴协议

一些组织将根据合作伙伴的要求签署BAAs。这些协议确保合作伙伴能够满足HIPAA和经济与临床健康健康信息技术法案(高科技)合规要求。

电子医疗网络认证委员会

电子医疗保健网络认证委员会(EHNAC)是一个国家标准，表明医疗保健利益相关者已经达到或超过EHNAC的标准。这些利益相关者包括电子医疗保健网络、金融服务组织、医疗帐单出具人、第三方管理人员、外包商、电子处方网络、医疗保健信息服务提供商(HISP)、实践管理系统供应商等。

EHNAC标准包括符合联邦医疗改革立法，包括HIPAA, HITECH，美国复苏与再投资法案,负担得起的医疗法,健康保险流通与责任法案综合规则，以及其他适用的州立法。此外，这些标准还包括隐私性、安全性和保密性;技术性能;业务实践;和资源。EHNAC的认证是基于独立的同行对一个实体在行业既定标准的水平上的表现能力的评估。认证过程允许申请人审查其当前的绩效水平，并使这些水平符合行业确立的最低标准、最佳实践，并符合适用的联邦和州医疗改革立法。

HITRUST

的HITRUST网络安全框架(CSF)利用了国家和国际公认的标准，包括ISO、国家标准与技术研究所(NIST),PCI安全标准委员会和HIPAA，以确保一套全面的基线安全控制。CSF规范了这些安全性需求，并提供了清晰性和一致性，减少了遵从应用于组织的各种需求的负担。

国际标准化组织

的国际标准化组织(ISO)27001是一种全球公认的、基于标准的安全方法，概述了组织的网络安全管理系统的要求。

NIST网络安全框架

的NIST脑脊液指导组织如何提高其预防、检测和应对网络安全风险的能力。的NIST 800 - 53年该标准是一种出版物，建议对联邦信息系统和组织进行安全控制，并为所有联邦信息系统(除为国家安全设计的系统外)提供文件安全控制。

应对持续网络安全威胁的最佳防御措施:积极优化的医疗保健网络安全计划

统计数据显示，医疗数据泄露和网络攻击很少是孤立的、罕见的事件，而是需要持续警惕的持续威胁。随着整个行业越来越多的连接，医疗系统及其IT供应商必须在其数字化和运营战略中优先考虑一个积极和优化的网络安全框架。最安全的协议在供应商-合作伙伴关系中定义安全责任，并要求供应商对常规审计和遵从性措施负责。

更多的阅读

你想了解更多关于这个话题吗?以下是我们建议的一些文章:

1. COVID-19医疗保健网络安全:远程工作人员的最佳实践
2. 人工智能如何克服医疗数据安全挑战并提高患者信任
3. 将HIE数据与分析平台配对:四个关键改进类别世界杯厄瓜多尔vs塞内加尔波胆预测
4. 在建议规则中定义的信息阻塞的例外:这里是你需要知道的
5. 成功的医疗保健数据策略的三个必备条件

---

幻灯片

你想使用或分享这些概念吗?下载突出重点的演示文稿。

按此下载幻灯片

医疗保健网络安全框架:针对数据泄露和攻击的顶级防御从世界杯葡萄牙vs加纳即时走地