HHS OCR 提议更新 HIPAA 安全规则,以加强受保护电子健康信息 (ePHI) 的网络安全。
2024 年 12 月 27 日,美国卫生与公众服务部(HHS)公民权利办公室(OCR)提议更新 HIPAA 安全规则,以加强受保护电子健康信息(ePHI)的网络安全。
对安全规则的拟议更新旨在加强医疗保健网络安全,与拜登政府的国家网络安全战略努力保持一致。
拟议的 HIPAA 安全规则更新包括安全措施和控制,如强制实施规范、定期合规性审计、电子医疗信息加密、多因素身份验证、漏洞扫描和改进应急计划。主要建议包括创建技术资产清单、进行具体的风险分析,以及要求及时通知访问变更或应急启动。这些更新与不断发展的技术和网络安全威胁保持一致,强调更严格的文件记录、网络分段和一致的安全做法。
为了加强应急计划和事件响应,拟议的规则要求在员工访问电子健康信息发生变化的 24 小时内通知受监管实体。要求包括在 72 小时内恢复关键系统,优先恢复系统,制定详细的事件响应计划,并定期测试和更新这些计划。
HHS 指出:“加强应急计划和应对安全事件的要求。”具体来说,受监管的实体将被要求,例如:
- 制定书面程序,在 72 小时内恢复丢失的某些相关电子信息系统和数据。
- 对相关电子信息系统和技术资产的相对重要性进行分析,以确定恢复的优先顺序。
- 制定书面的安全事件应对计划和程序,记录员工如何报告可疑或已知的安全事件,以及受监管实体如何应对可疑或已知的安全事件。
- 实施测试和修订书面安全事件响应计划的书面程序”。
提案更新包括每 12 个月进行一次合规性审计,并要求业务关联方每年通过专家分析和认证,验证电子健康信息安全防护措施的部署情况。
“HHS 鼓励所有利益相关者,包括患者及其家属、医疗计划、医疗服务提供者、医疗专业协会、消费者权益倡导者和政府实体,通过 regulations.gov 提交意见。公众对 NPRM 征求意见的截止日期是 NPRM 在《联邦登记册》上公布后的 60 天。该部还将很快举行一次部落磋商会议。相关信息和 RSVP 详情即将公布。”
发表评论
您还未登录,请先登录。
登录