外媒 | NIST 800-66r2更新HIPAA事件响应指南-你需要了解的内容-普瑞纯证

拜登政府发布了国家网络安全战略，这是联邦政府计划加强数据保护的最新信号。NIST 800-66r2是另一个特别针对医疗保健机构的信号。

NIST 800-66r2提供了更新的实施指南，供HIPAA监管实体使用，以评估和管理电子保护健康信息（ePHI）风险。当与消费者隐私的变化、新兴法规如国家网络安全战略和NIST 800-66r2相结合时，这凸显了医疗保健机构积极保护敏感患者数据的重要性。

微软已将NIST 800-66r2的修订分解为三个部分，以帮助医疗保健机构了解实现合规所需的内容。本文介绍了该系列的第二部分，重点关注事件响应。欲了解更多实施指南的见解，请阅读该系列的第一篇文章，其中涉及身份和访问管理。

事件响应变得更加全面

关于事件响应的实施指南，NIST 800-66r2两次强调HIPAA监管实体必须“确保事件响应计划涵盖创建、存储、处理或传输ePHI的组织的所有部分。”

这对医疗保健机构来说是一个巨大的要求，因为远程医疗和相关虚拟护理技术的日益普及大大增加了ePHI创建、存储、处理和传输的位置数量。医疗保健机构不再能够将努力限制在本地存储库和物理文件上。相反，他们必须扩大范围，包括OT和IoT设备、混合云和多云网络、第三方应用程序等。此外，虚拟医疗保健所产生的威胁向量扩大了“所有部分”的范围，远程医疗引发了额外的HIPAA合规问题。

这个问题不仅仅存在于医疗保健行业。混合云和多云解决方案的日益普及为许多行业创造了一个复杂的安全环境。根据Gartner的数据，78%的CISO在其网络安全供应商组合中拥有16个或更多的工具，而12%的CISO拥有46个或更多的工具。这创造了一个扩展的攻击面，安全团队往往难以准确监测，关键的安全警报经常会在混乱中丢失。Orca Security 2022云安全警报Fati

版权声明 本网站所有注明“来源：普瑞纯证”或“来源：pureFDA”的文字、图片和音视频资料，版权均属于普瑞纯证网站所有。非经授权，任何媒体、网站或个人不得转载，否则将追究法律责任。取得书面授权转载时，须注明“来源：普瑞纯证”。其它来源的文章系转载文章，本网所有转载文章系出于传递更多信息之目的，转载内容不代表本站立场。