简化 HIPAA 安全规则评估
美国国家标准与技术研究院(NIST)特别出版物(SP)800-66是为帮助医疗保健服务机构(HDO)了解《健康保险可携性与责任法案》(HIPAA)安全规则并提供支持其实施的框架而编写的。
HIPAA 安全规则适用于任何管理受保护电子健康信息 (ePHI) 的组织,无论其是承保实体还是业务协作方(如第三方厂商、供应商或合作伙伴)。该规则要求各组织:
- 确保其创建、接收、维护或传输的所有电子健康信息的保密性、完整性和可用性
- 识别并防范合理预期的对信息安全或完整性的威胁
- 防止合理预期的电子健康信息被非法使用或披露
- 确保员工遵纪守法
遵守NIST 800-66r2中的指导原则和最佳实践将有助于医疗机构简化 HIPAA 安全规则合规工作。
相关要求
-
对承保实体或业务协作方所持有的受保护电子健康信息的保密性、完整性和可用性的潜在风险和漏洞进行准确而全面的评估
-
实施足以将风险和脆弱性降低到合理和适当水平的安全措施
了解 HIPAA 安全规则
HIPAA 安全规则建议在全面风险评估流程中包含七个步骤。下表将 Prevalent 解决方案的功能与每个步骤相对应,说明第三方风险管理解决方案如何帮助实现这些最佳实践。
注意:本信息仅供参考。各组织应与审计人员协商,自行全面审查 NIST 800-66r2 和 HIPAA 安全规则的要求。
| 建议的步骤和任务 | 我们如何提供帮助 |
|---|---|
|
1.准备评估 了解电子健康信息的创建、接收、维护、处理或传输地点。 确定评估范围。 |
Prevalent 公司与您合作,以经过验证的最佳实践和丰富的实际经验为基础,建立全面的第三方风险管理 (TPRM) 计划。我们的专家与您的团队合作,确定并实施 TPRM 流程和解决方案;选择风险评估问卷和框架;优化您的计划,以应对从采购和尽职调查到终止和离职的整个第三方风险生命周期。 Prevalent 可通过问卷评估或被动扫描第三方面向公众的基础设施来识别第四方和第 N 方分包关系。由此产生的关系图描述了可能使您的环境面临风险的信息路径和依赖关系。通过此流程发现的供应商将受到持续监控,以了解其财务、环境、社会和治理、网络、业务和数据泄露风险,并进行制裁/PEP 筛选。 一旦确定了第三方和第四方,您就可以利用 Prevalent 平台提供的 750 多个预定义评估模板,根据 NIST、HIPAA 或其他要求对第三方业务关联方进行评估。 |
|
2.确定现实威胁 确定适用于受监管实体及其运营环境的潜在威胁事件和威胁源。 |
Prevalent 可持续跟踪和分析第三方面临的外部威胁。该解决方案可监控互联网和暗网的网络威胁和漏洞,以及声誉、制裁和金融信息的公共和私人来源。 所有监控数据都与评估结果相关联,并集中在每个供应商的统一风险登记册中,从而简化了风险审查、报告和应对措施。监控来源包括
|
|
3.确定潜在的薄弱环节和易发条件 利用内部和外部资源来识别潜在漏洞。内部来源可包括以前的风险评估、漏洞扫描和系统安全测试结果(如渗透测试)以及审计报告。外部来源可能包括互联网搜索、供应商信息、保险数据和漏洞数据库。 |
Prevalent 可对由内向外的风险评估和由外向内的监控信息进行规范、关联和分析。这种统一的模型可为风险提供背景、量化、管理和补救支持。它还能通过外部监控验证内部控制的存在和有效性。 |
|
4.-6.确定威胁利用漏洞的可能性(和影响);确定风险等级 确定威胁成功利用漏洞的可能性(极低到极高)。 确定如果威胁事件利用漏洞,可能对电子医疗信息造成的影响(操作、个人、资产等)。 考虑在前几个步骤中收集的信息和做出的判断,评估电子健康信息的风险级别(低、中、高)。 |
Prevalent 平台使您能够定义风险阈值,并根据可能性和影响对风险进行分类和评分。由此产生的热图可让团队专注于最重要的风险。 |
|
7.记录风险评估结果 记录风险评估结果。 |
利用 Prevalent,您可以在调查完成后生成风险登记册,整合实时网络、业务、声誉和财务监控洞察力,实现风险审查、报告和响应的自动化。通过风险登记册,您可以创建与风险或其他项目相关的任务;通过与平台链接的电子邮件规则检查任务状态;以及利用内置的补救建议和指导。 该解决方案通过收集供应商风险信息、量化风险和生成报告,自动进行第三方风险管理合规性审计,适用于 NIST、HIPAA 等数十种政府法规和行业框架。 |
将普遍能力与 NIST SP 800-66r2 HIPAA 安全规则要求相对应
NIST SP 800-66r2 提出了与 HIPAA 安全规则各项标准相关的安全措施。下表确定了具体的业务关联方措施,并映射了有助于满足要求的普遍能力。
注意:本信息仅供参考。各组织应与审计人员协商,自行全面审查 NIST 800-66r2 和 HIPAA 安全规则的要求。
| 主要活动和说明 | 我们如何提供帮助 |
|---|---|
|
5.1.9 业务合作合同及其他安排(§ 164.308(b)(1) HIPAA 标准:只有在承保实体根据第 164.314(a)条获得令人满意的保证,即业务合作方将适当保护信息的情况 下,承保实体才可允许业务合作方代表承保实体创建、接收、维护或传输受保护的电子健康信息。承保实体无需从作为分包商的业务协作者处获得此类令人满意的保证。 |
|
|
1.识别 HIPAA 安全规则下的业务协作实体
|
Prevalent 通过本机识别评估或被动扫描第三方的公共基础设施来识别第四方关系。由此生成的关系图描述了可能进入环境的信息路径和依赖关系。 Prevalent 提供合同前尽职调查评估,根据八项标准进行明确评分,以捕捉、跟踪和量化入职期间所有第三方和业务合作方的固有风险。标准包括
通过这种固有的风险评估,您的团队可以集中管理所有业务关联方;自动分级供应商;设定适当的进一步尽职调查级别;并确定持续评估的范围。 |
|
2.制定衡量合同执行情况的程序,并在未达到安全要求时终止合同
|
Prevalent 可帮助集中衡量第三方 KPI 和 KRI,通过自动合同和绩效评估,降低供应商监督漏洞带来的风险。 当发现第三方不符合合同规定时,平台会自动进行合同评估和离职程序 ,以降低企业的合同后风险。 |
|
3.书面合同或其他安排
|
Prevalent 可集中分发、讨论、保留和审查供应商合同。它还提供了工作流程功能,可自动完成从入职到离职的合同生命周期。主要功能包括
有了这些功能,您就能确保合同中包含正确的条款,如电子健康信息的安全保护和培训,并确保这些条款具有可执行性,且能有效传达给所有利益相关者。 |
|
5.4.1 业务伙伴合同或其他安排(§ 164.314(a) HIPAA 标准:(i) 第 164.308(b)(3)节要求的承保实体与其业务协作方之间的合同或其他安排必须符合本节 (a)(2)(i)、(a)(2)(ii) 或 (a)(2)(iii) 款的要求(如适用)。(ii) 如果承保实体有符合第 164.504(e)(3)条要求的其他安排,则符合本条第(a)(1)款的规定。(iii) 本节第(a)(2)(i)段和第(a)(2)(ii)段的要求适用于第 164.308(b)(4)节所要求的业务关联方与分包商之间的合同或其他安排,适用方式与适用于承保实体与业务关联方之间的合同或其他安排的要求相同。 |
|
|
1.合同必须规定业务合作方将遵守安全规则的适用要求 承保实体与业务协作方之间的合同必须规定,业务协作方将实施管理、物理和技术保障措施,合理适当地保护业务协作方代表承保实体创建、接收、维护或传输的电子健康信息的保密性、完整性和可用性。 2.合同必须规定业务合作方与分包商签订合同以确保电子健康信息的保护 根据§ 164.308(b)(2),确保代表业务协作方创建、接收、维护或传输电子健康信息的任何分包商同意通过签订符合本节规定的合同或其他安排来遵守本分节的适用要求。 |
Prevalent 可集中分发、讨论、保留和审查供应商合同。它还提供了工作流程功能,可自动完成从入职到离职的合同生命周期。 借助这些功能,您可以确保在合同中包含正确的条款,如安全控制执行、可审计性、事件响应、通知、第四方分包商安排等。- 这些条款可在合同中强制执行,并有效传达给所有利益相关者。 |
|
3.合同必须规定业务合作方将报告安全事件
|
除合同生命周期管理外,Prevalent 还提供第三方事件响应服务,通过集中管理供应商、进行事件评估、对已识别的风险进行评分以及获取补救指导,使团队能够快速识别并减轻第三方违规行为的影响。 客户还可以访问包含全球数千家公司 10 多年数据泄露历史的数据库。该数据库包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。该数据库与持续网络监控相结合,为企业提供了可能影响运营的外部信息安全风险的全面视图。 |
|
4.其他安排 如果承保实体有符合第 164.504(e)(3)条要求的其他安排,则符合本条第(a)(1)款的规定。 5.与分包商签订的业务协作合同 本条第(a)(2)(i)款和第(a)(2)(ii)款的要求适用于业务关联方与分包商之间的合同或其他安排,其方式与适用于承保实体与业务关联方之间的合同或其他安排的方式相同。 |
除了确保业务关联合同中包含评估第四方风险的条款外,Prevalent 还通过本机识别评估或被动扫描第三方的公共基础设施来识别第四方关系。由此产生的关系图描述了可能进入环境的信息路径和依赖关系。 |
浏览 TPRM 合规环境
