网络安全iStock_000041562536_Large鉴于OFCCP最近关于哪些实体符合联邦承包商和分包商资格的决定在医疗保健行业中产生的不确定性,本文解释了最终规则可能会影响哪些类型的医疗保健提供者。

2016年5月16日,国防部(DoD),总务管理局(GSA)和美国国家航空航天局(NASA)发布了期待已久的修订《联邦采购条例》(FAR)的最终规则,以增加新的子部分,合同条款,旨在保护处理,存储或传输联邦合同信息的承包商信息系统。

最终规则,发布于美联储81。 Reg。 30439,要求联邦承包商对某些信息系统实施最低限度的保障,“反映出谨慎的商人将采取的行动”,以保护这些系统上的联邦合同信息。鉴于联邦合同合规计划办公室(OFCCP)最近关于哪些实体符合联邦承包商和分包商资格的决定在医疗保健行业中产生的不确定性,本文解释了最终规则可能会影响哪些类型的医疗保健提供者。

最终规则的提供者

《最终规则》规定了新的FAR合同条款52.204-21“基本保护涵盖的承包商信息系统”,以进行招标和合同,承包商或分包商可以“在其信息系统中驻留或传递联邦合同信息”。联邦总承包商包括直接与联邦政府签定合同以提供物资或服务的任何个人或实体,而分包商通常可以包括为履行联邦合同或分包合同而提供物资或服务的任何供应商,卖方或公司。

医疗保健提供者根据联邦合同可能提供的用品示例包括药品,医疗用品和医疗设备,而服务可能包括根据与联邦机构签订的合同向联邦人员提供医疗服务,或与​​该机构签订合同以补偿医疗。重要的是,由于OFCCP依靠一套不同的法规来指导其决策,因此受该机构规章约束的医疗保健提供者不一定要受最终法规约束。因此,提供者应仔细审查其参与的任何联邦计划的性质,以确保他们了解哪些要求因此适用于哪些要求或不适用于它们。

对于受最终规则约束的那些提供商,新合同条款“适用于所有采购”,其中承包商的信息系统“可能包含联邦合同信息”。这包括低于简化的收购门槛的收购,并且只有商业上可买到的现成物品免于最终规则。 《最终规则》的范围和适用性故意是宽泛的,“因为该规则仅要求最基本的保障水平。”

最终规则要求

最终规则的要求适用于“承包承包商信息系统”,其中广泛包括“由处理,存储或传输联邦合同信息的承包商拥有或运营的任何信息系统”。 “联邦合同信息”的定义非常广泛,通常涵盖“由政府根据向政府开发或交付产品或服务的合同提供或生成的非公共信息[。]”

FAR合同条款确定了承包商必须实施的15种基于性能的安全保护措施,以保护其涵盖的信息系统。这些控件包括:

  1. 将系统对授权用户的访问限制为允许授权用户执行的交易类型和功能;
  2. 在处置或释放以供再次使用之前,对包含联邦合同信息的信息系统介质进行消毒或销毁;
  3. 限制个人对组织信息系统,设备及其操作环境的物理访问;
  4. 陪同访客并监控访客的活动,包括维护实际访问的审核日志;和
  5. 在信息系统的外部和关键内部边界监视,控制和保护组织通信。

此外,承包商必须按照FAR合同条款将合同转交给分包商,以便“分包商可以将联邦合同信息保存在其信息系统中或在其信息系统中传递”。

由于最终规则仅规定了最低标准,因此不会影响涉及敏感信息(如受控非机密信息)的合同中可能指定的任何其他保护要求。与医疗保健提供者特别相关的是,《最终规则》对他们根据《健康保险可移植性和责任法案》保护患者信息的义务没有影响。

《最终规则》于2016年6月15日生效。由于《最终规则》仅基于国防部,GSA和NASA认为是私营部门的普遍惯例的基本保障措施,因此许多承包商可能已经合规。但是,与联邦政府有直接主要合同的医疗保健提供者应仔细审查其信息安全惯例以及适用的分包商的惯例,以确认它们符合《最终规则》的要求;此外,虽然最终规则仅限于可能存储或传输联邦合同信息的信息系统,但承包商应考虑在更广泛的基础上实施这些保障措施的成本效益,以避免无意间违反规定。