美国国家标准与技术研究院(NIST)于2005年3月首次发布、2008年10月首次修订的《特别出版物(SP)800-66》现已再度修改,以更新其针对医疗行业的网络安全指南。
SP 800-66的制定旨在帮助医疗保健服务机构(HDOs)理解《健康保险携带与责任法案》(HIPAA)安全规则,并为其实施提供框架支持。 HIPAA安全规则适用于任何管理电子受保护健康信息(ePHI)的组织,无论其属于受保护实体还是业务合作伙伴(如第三方供应商、供货商或协作方)。该规则要求组织必须:
- 确保其创建、接收、维护或传输的所有电子健康信息的保密性、完整性和可用性
- 识别并防范合理预期的对信息安全或完整性的威胁
- 防止合理预期的电子健康信息被非法使用或披露
- 确保员工遵纪守法
本文探讨了HIPAA安全规则中针对第三方业务合作伙伴的风险评估范围,将SP 800-66指南与安全规则进行对齐,并指出了Prevalent第三方风险管理平台中可满足相关要求的功能。
《健康保险流通与责任法案》安全规则业务伙伴条款
《健康保险流通与责任法案》安全规则包含要求适用实体进行风险评估的规定,包括:
- 风险分析(R)——164.308(a)(1)(ii)(A):对受保护实体或业务合作伙伴持有的电子受保护健康信息的保密性、完整性和可用性所面临的潜在风险与脆弱性进行准确而全面的评估。
- 风险管理(R)——163.308(a)(1)(ii)(B):实施充分的安全措施,将风险和漏洞降低至合理且适当的水平,以符合第164.306(a)节的要求。
《安全规则》进一步建议在全面风险评估流程中纳入七个步骤。
1.准备评估
目标:了解电子健康信息(ePHI)的创建、接收、维护、处理或传输地点。界定评估范围。
Prevalent如何助力:我们与您携手,基于成熟的最佳实践和丰富的实战经验,构建全面的第三方风险管理(TPRM)体系。我们的专家团队将协同贵方团队:定义并实施TPRM流程与解决方案;筛选风险评估问卷及框架;优化管理流程以覆盖第三方风险全生命周期——从供应商筛选与尽职调查,到合作终止与退出管理。
Prevalent可通过问卷评估或被动扫描第三方公开基础设施,识别第四级及更高层级的分包关系。生成的关系图谱将揭示可能使您的环境面临风险的信息路径与依赖关系。通过此流程发现的供应商将持续接受财务、ESG、网络安全、业务运营及数据泄露风险监控,同时进行制裁对象/政治敏感人物筛查。
一旦确定第三方和第四方,您即可利用Prevalent平台中750多个预定义评估模板,依据NIST、HIPAA或其他要求对第三方业务合作伙伴进行评估。
将普遍能力与 NIST SP 800-66r2 HIPAA 安全规则要求相对应
NIST SP 800-66r2 提出了与《健康保险流通与责任法案》安全规则各项标准相关的安全措施。本文将明确具体的业务合作伙伴措施,并映射可帮助满足这些要求的Prevalent功能。
注意: 本信息仅作为摘要性指导提供。各组织应自行查阅NIST 800-66r2及HIPAA安全规则的完整要求,并咨询其审计师。
5.1.9 业务合作合同及其他安排(§ 164.308(b)(1)
1.识别 HIPAA 安全规则下的业务协作实体
Prevalent通过原生识别评估或被动扫描第三方公共基础设施来识别第四方关系。由此生成的关系图谱描绘了可能为环境打开通道的信息路径与依赖关系。注:此功能亦可用于处理以下条款:5.4.1 业务伙伴合同或其他安排(§ 164.314(a))——4. 其他安排;以及5. 含分包合同的业务伙伴合同。
普瑞维尔提供基于八项标准的合同前尽职调查评估,通过清晰的评分体系在合作方入职阶段捕捉、追踪并量化所有第三方及业务伙伴的固有风险。基于此固有风险评估,您的团队可集中管理所有业务伙伴;自动分级供应商;设定适当的后续尽职调查层级;并确定持续评估的范围。
2.制定衡量合同执行情况的程序,并在未达到安全要求时终止合同
Prevalent通过自动化合同与绩效评估,集中测量第三方关键绩效指标(KPI)和关键风险指标(KRI),从而降低因供应商监管缺口带来的风险。
当发现第三方未遵守合同条款时,平台将自动执行合同评估与终止合作流程,从而降低贵机构在合同终止后面临的风险。
3.书面合同或其他安排
Prevalent集中管理供应商合同的分发、讨论、保留和审查流程。该平台还提供工作流功能,可自动化处理从入职到离职的整个合同生命周期。
有了这些功能,您就能确保合同中包含正确的条款,如电子健康信息的安全保护和培训,并确保这些条款具有可执行性,且能有效传达给所有利益相关者。
注:此项能力亦可用于满足5.4.1商业伙伴合同或其他安排(§ 164.314(a))的要求——1. 合同须规定商业伙伴应遵守安全规则的适用要求;2. 合同须规定商业伙伴与分包商签订合同时须确保电子健康信息(ePHI)得到保护。
5.4.1 业务伙伴合同或其他安排(§ 164.314(a)
3.合同必须规定业务合作方将报告安全事件
除合同生命周期管理外,Prevalent还提供第三方事件响应服务,通过集中管理供应商、执行事件评估、对识别风险进行评分以及获取补救指导,帮助团队快速识别并减轻第三方安全漏洞的影响。
客户还可以访问包含全球数千家公司 10 多年数据泄露历史的数据库。该数据库包括被盗数据的类型和数量、合规性和监管问题以及实时供应商数据泄露通知。该数据库与持续网络监控相结合,为企业提供了可能影响运营的外部信息安全风险的全面视图。
使用NIST 800-66实现HIPAA安全规则合规的后续步骤
Prevalent可协助组织应用NIST SP 800-66r2原则,满足业务合作伙伴的HIPAA安全要求。Prevalent第三方风险管理平台:
- 提供全面的签约前尽职调查评估,以计算业务伙伴为合作关系带来的固有风险。
- 简化合同流程,确保所有业务合作伙伴的关键绩效指标(KPI)和电子健康信息(ePHI)条款均已落实并持续追踪。
- 对所有第三方进行档案管理与分级,根据重要性持续优化尽职调查规模
- 绘制第四方图谱以评估分包商风险
- 添加工作流以自动化评估、风险评分和补救流程
- 持续监控业务合作伙伴的网络安全风险、商业风险、声誉风险及财务风险,并将风险与评估结果进行关联分析,同时验证发现的风险状况。
- 自动化事件响应流程,加速问题解决时间
- 包括按框架或法规进行的合规与风险报告
若需了解Prevalent如何协助满足NIST SP 800-66r2要求并支持实施HIPAA安全规则的具体指导,请立即下载完整的合规检查清单或申请演示。
2.确定现实威胁
目标:识别 适用于受监管实体及其运营环境的潜在威胁事件和威胁来源。
Prevalent如何提供帮助:Prevalent持续追踪并分析第三方面临的外部威胁。该解决方案通过监控互联网和暗网中的网络威胁与漏洞,以及公共和私有渠道的声誉、制裁和财务信息,实现全面防护。所有监控数据均与评估结果关联,并集中存储于每个供应商的统一风险登记册中,从而简化风险审查、报告及响应流程。
3.确定潜在的薄弱环节和易发条件
目标:利用内部和外部资源识别潜在漏洞。内部资源可能包括以往的风险评估、漏洞扫描和系统安全测试结果(例如渗透测试),以及审计报告。外部资源可能包括互联网搜索、供应商信息、保险数据和漏洞数据库。
Prevalent如何提供帮助:通过内向外风险评估与外向内监控,Prevalent实现信息的标准化处理、关联分析与综合评估。这一统一模型为风险管理提供情境分析、量化评估、管控措施及整改支持,同时借助外部监控机制验证内部控制措施的有效性与实施状况。
4.-6.确定威胁利用漏洞的可能性(和影响);确定风险等级
目标:确定威胁成功利用漏洞的可能性(从极低到极高);确定威胁事件利用漏洞时可能对电子健康信息(ePHI)造成的影响(运营、个人、资产等);结合前几步收集的信息和评估结果,评估电子健康信息(ePHI)面临的风险等级(低、中、高)。
Prevalent如何提供帮助:Prevalent平台支持您设定风险阈值,并根据风险发生概率和影响程度进行分类与评分。生成的热力图可帮助团队聚焦于最关键的风险。
7.记录风险评估结果
目标:记录风险评估的结果。
Prevalent如何提供帮助:通过Prevalent,您可在完成调查后生成风险登记册,整合实时网络安全、业务运营、声誉管理及财务监控洞察,实现风险审查、报告与响应的自动化。基于风险登记册,您可创建与风险或其他事项相关的任务;通过与平台关联的邮件规则查看任务状态;并利用内置的整改建议与指导方案。
该解决方案通过收集供应商风险信息、量化风险并生成报告,实现第三方风险管理合规性审计的自动化,涵盖数十项政府法规和行业框架,包括NIST、HIPAA等众多标准。
编者按 本文最初发表于 Prevalent.net. 2024 年 10 月,Mitratech 收购了人工智能第三方风险管理公司 Prevalent。此后,我们对内容进行了更新,以纳入与我们的产品、监管变化和合规性相一致的信息。
