小型医疗机构的网络安全合规建议

关键要点

卫生与公共健康行业协调委员会（HSCC）敦促国家标准与技术研究院（NIST）为资源不足和规模较小的医疗提供者提供更多定制化资源。这些提供者面临着独特的挑战，相较其他医疗实体，他们更需要支持，并且通常难以快速采纳新的标准。

理想情况下，NIST应创建“一个完全独立的文档，专门针对中小型实体，以简单易懂的语言解释为什么恰当的网络卫生实践对合规、商业运营以及最终的护理服务和患者安全至关重要……并提供保障电子受保护健康信息所需的建议及不这样做的后果。”

HSCC 对 NIST的评论是回应其于七月份发布的请求，征询对健康保险流通与问责法（HIPAA）安全规则实施指导的意见，以确保诸如医疗记录、实验室结果、处方和疫苗接种等电子受保护健康信息的保密性和完整性。

在发布的材料中，NIST 解释说，该框架旨在由各种医疗实体使用。尽管 HSCC 指出 NIST 的文档“写得很好，资源丰富”，但当前框架不容易适应受
HIPAA 监管的小型和资源有限的医疗机构。

为这些医疗提供者提供的专项指导也应包括针对 405(d)/HCIP 资源的洞见，这些资源专为小型实体设计，并可能减轻遵循 NIST CSF、405(d)
HICP 和其他公认安全实践的实体的 HIPAA 违规罚款和/或审计。同时，还应强调遵循网络安全最佳实践的好处，例如商业理由和患者安全的提升。

如 HSCC 所述，资源有限的医疗提供者“没有能力处理” NIST 指导文件中提供的细节。这一关切在 HSCC中的表达为“该出版物试图为所有实体提供解决方案，采取了一刀切的方法。”

对于这一点，HSCC 指出：“HIPAA 安全规则旨在灵活，而如果文档能更清楚地表明——与规则类似——没有单一的方法适用于所有实体，则文档将会改善。”

这些看法也反映出医疗利益相关者团体早期向卫生与人类服务部（HHS）发送的评论，涉及基于 HITECH 基于当前安全实践的状况审查请求。

指出目前指南的挑战，并要求该机构承认公认安全实践的广泛法定定义，并支持提供者选择认可的框架，而不是具体规定实践。MGMA解释说，这一举措反映了所有规模的医疗集团之间在技术和财务能力上的巨大差异。

对 AHIMA 而言，民权办公室应依赖 HHS工作组的健康行业网络实践（HICP）自愿指南，这在行业中备受赞赏，因为它专门针对组织的具体需求进行量身定制，包括规模和提供者类型。

如 HSCC强调的，“传统上，规模较小和资源较少的实体通常更慢采用标准、最佳实践和技术，并满足合规截止日期。”医疗行业是受监管程度较高的行业之一，这对实体存在挑战，特别是他们本身就需要更多的资源或支持。

特别是许多小型实体在没有额外帮助的情况下进行风险评估和风险管理规划面对困难。而随着小型提供者中的网络攻击日益增加，医疗行业仍然是一个“目标丰富的环境”，确保这些实体获得更多支持至关重要。

“忽视这一社区会对整个行业和患者安全造成风险，”HSCC 说明。

NIST 应依赖于，该指引经过广泛研究和合作编写，并与N