新版HIPAA安全规则发布，加强对医疗数据的电子保护

美国卫生与公众服务部（HHS）民权办公室（OCR）公布了一份拟议规则制定通知（NPRM），旨在修改 HIPAA 安全规则，加强对受保护的电子健康信息（ePHI）的网络安全保护。

拟议的变更旨在通过更新和加强合规标准来应对医疗保健行业面临的日益严重的网络安全威胁。

HIPAA 安全规则于 1996 年首次制定，规定了保护 ePHI 的国家要求，适用于健康计划、医疗保健信息交换所、大多数医疗保健提供商及其业务伙伴等涵盖实体。

该提案在拜登政府保护关键基础设施的承诺基础上，进行了重大修改，以提高医疗保健行业抵御网络攻击的能力。

拟议的规则与更广泛的联邦政府努力相一致，包括拜登-哈里斯政府于 2023 年最初启动、并于 2024 年 5 月更新的国家网络安全战略。

卫生与公众服务部还于 2023 年发布了《医疗保健行业网络安全概念文件》，概述了网络安全的自愿最佳实践和加强执法的战略。今天的 NPRM 继续这些努力，将网络安全改进直接整合到 HIPAA 安全规则中。

HIPAA 安全规则的主要拟议更新

HHS 提议的变更旨在通过消除过时的条款、提高清晰度和引入更强有力的保障措施来使安全规则现代化。在最值得注意的更新中，NPRM 提出了以下内容：

精简和标准化的要求

• 消除“必需”和“可寻址”实施规范之间的区别，强制遵守所有规范（有限的例外）。

• 要求以书面形式记录所有安全规则政策、程序、计划和分析。

加强风险管理和合规措施

• 对现有要求引入明确的遵守期限。

• 要求受监管实体维护技术资产清单和跟踪 ePHI 动向的网络图，至少每年更新一次或在任何重大运营变化后更新。

• 要求进行更详细的风险分析，包括对处理 ePHI 的每个电子信息系统的潜在威胁、漏洞及其被利用的可能性的书面评估。

更强大的事件响应协议

• 规定受监管实体必须在某些员工对 ePHI 的访问权限发生变更或终止时于 24 小时内通知他们。

• 要求实体制定书面应急计划，以便在事件发生后 72 小时内恢复丢失的电子系统和数据。

• 制定并测试详细的安全事件响应计划，以管理可疑或已知的网络安全漏洞。

ePHI 的技术保障

• 强制加密：除少数例外情况外，ePHI 在静止和传输过程中都必须加密。

• 引入多因素身份验证、每六个月进行一次漏洞扫描、每年进行一次渗透测试等措施。

• 要求网络分段以限制潜在威胁的影响。

• 部署增强安全性的技术控制，如反恶意软件、删除无关软件以及禁用未使用的网络端口。

审计和问责

• 受监管实体必须进行年度合规审计，以确保遵守安全规则。

• 业务合作伙伴及其分包商必须以书面形式证明他们已按照安全规则的要求实施了技术保障措施。这些认证必须至少每 12 个月完成一次。

• 团体健康计划必须修改计划文件，以确保发起人遵守行政、物理和技术保障措施。

额外的新要求

• ePHI 的备份和恢复系统必须包括单独的技术控制。

• 受监管实体必须至少每年一次定期测试其网络安全措施的有效性。

• 业务伙伴和分包商必须在 24 小时内通知涵盖实体应急计划的启动情况。

鼓励公众参与

虽然现行的 HIPAA 安全规则仍然有效，但拟议的更新代表着加强医疗保健网络安全实践的重要一步。

HHS 正在邀请所有利益相关者提出反馈，包括医疗保健提供者、健康计划、患者、专业协会和消费者权益倡导者。

NPRM 在《联邦公报》上公布后，公众可在 60 天的公众意见征询期内通过regulation.gov提交意见。卫生与公众服务部还宣布了召开部落协商会议的计划，详情即将公布。

这份 NPRM 强调了联邦政府对医疗网络安全的日益重视，平衡了对强大数据保护的需求与受监管实体的运营可行性。如果采用，这些措施将大大提高整个医疗行业的网络安全基础。