根据美国卫生与公众服务部的说法,自愿网络安全绩效目标可以帮助医疗机构建立分层保护并且具有适应性。 该机构的下一步包括为医疗保健组织制定投资和激励措施,以实现目标和执行标准。
为什么它很重要
美国卫生与公众服务部 (HHS) 发布了 消费品 帮助医疗保健组织优先实施高影响力的网络安全实践。
它们由基本目标和增强目标组成,符合 HHS 405(d) 计划和卫生部门协调委员会网络安全工作组的医疗保健行业网络安全实践以及 NIST 网络安全框架和网络安全和基础设施安全局的国家网络安全战略。
HICP 2023 版,由 HHS 网络安全工作组 4月发布 连同医院网络弹性景观分析和教育平台,包括确保患者安全和减轻网络安全威胁的最相关且最具成本效益的方法。
HHS 405(d) 大使兼网络安全公司 Claroty 的医疗保健行业负责人 Ty Greenhalgh 表示,在 CPG 出台之前,行业组织已经就哪些内容应属于“基本类别”进行了辩论,因为医疗保健提供者将获得资金来遵守这些规定。服务于医疗保健和其他行业的公司,在发送至的电子邮件中 医疗保健 IT 新闻 周三 CPG 发布后。
美国卫生与公众服务部 (HHS) 在其报告中表示 概念文件 上个月发布的基本目标设定了“安全保障底线”,以更好地保护医疗机构免受网络攻击,改善事件响应并最大限度地降低风险,而增强的目标可以帮助医疗机构成熟其网络安全能力。
该机构随后将“与国会合作,获得新的权力和资金,以管理对国内医院实施高影响力网络安全实践的财政支持和激励措施”。
HHS 指出,它设想进行前期投资,帮助高需求的医疗保健提供者(如资源匮乏的医院)支付与实施基本 CPG 相关的成本,并制定激励计划,鼓励所有医院投资于增强的目标。
更大的趋势
在十月, CISA、HHS 和 HSCC 发布了医疗保健网络安全工具包 作为缩小资源和网络能力差距努力的一部分。 他们建议进行企业范围的风险分析和一系列最佳实践,包括对所有系统和设备进行漏洞扫描,以降低常见网络攻击的风险。
新的自愿 CPG 中的增强目标(包括制定资产清单)被认为是医疗保健网络保护的基础。 根据 CISA 的说法,资产清单是最初的缓解步骤。
CISA 在一份声明中表示:“了解组织网络上有哪些资产对于网络安全至关重要:‘你无法保护你看不到的资产’。” 缓解指南 该机构于 11 月发布了用于打击影响医疗保健和公共卫生部门的普遍网络威胁的奖项。
纽瓦克大学医院的首席信息安全官 Frank Sinatra 表示,他每年都会使用多种风险评估,包括 HICP。 他引用了 HICP 合规性有很多好处,包括改进的业务连续性规划。 但是,“这始终是一个优先级问题以及你将在哪里分配资源的问题,”他在 医疗信息管理系统卫星电视 在五月。
记录在案
美国卫生与公众服务部副部长安德里亚·帕尔姆在一份声明中表示:“我们有责任帮助我们的医疗保健系统抵御网络威胁,适应不断变化的威胁形势并建立一个更具弹性的部门。”
“这些网络安全绩效目标的发布是该行业向前迈出的一步,因为我们希望根据这些 CPG 的信息,在 HHS 政策和计划中提出新的可执行网络安全标准。”
Andrea Fox 是《医疗保健 IT 新闻》的高级编辑。
电子邮件: [email protected]
医疗保健 IT 新闻是 HIMSS 媒体出版物。
1706199067
#HHS #为卫生系统提供网络绩效目标
2024-01-24 22:01:19