数字安全最近,政府问责办公室(GAO)审查了美国卫生与公共服务部(188足球比赛)的安全和隐私监督,并发现了188足球比赛向受HIPAA监管的实体提供的网络安全指南中的重大空白。报告的主要批评是,尽管188足球比赛与美国国家标准技术研究院(NIST)的网络安全框架进行了人行横道,但该人行横道仅包含了NIST识别出的19个网络安全因素。根据GAO的说法,这使NIST框架的98个子类别无法得到解决,并且不必要地使EHR(因此受保护的健康信息)受到安全威胁。

的 GAO报告 recommends that 188足球比赛:

  • 更新用于保护电子健康信息的188足球比赛指南,以解决188足球比赛当前指南未从NIST网络安全框架中解决的其余控制措施。
  • 改善向被覆盖实体提供的技术援助,以确保与已确定的问题有关。
  • 调查结束后,继续采取纠正措施建议。
  • 建立基准以评估审计计划的有效性。

188足球比赛的回应总体上同意了GAO的建议,尽管它也阐明了NIST网络安全人行横道的性质并不能成为所有寻求保护受电子保护的健康信息的实体的全面指南,但作为其他许多188足球比赛的指南,用于风险管理。

建议的其余部分未考虑到188足球比赛正在第二阶段审核中,或纠正措施计划的结构需要长期监控(两年或更长时间),188足球比赛在对188足球比赛的回应中指出。 GAO报告。

GAO强调,NIST网络安全框架人行横道缺乏有关风险评估和相应风险管理计划的详细指南。对于医疗保健提供者而言,OCR的2016年决议协议(一再强调需要进行企业范围的风险评估)和GAO关于风险评估和风险管理指南的报告结果均反映了进行全面风险评估并适当管理这些风险的重要性防止对受保护的健康信息的安全威胁。医疗保健提供者至少应实施符合188足球比赛最低要求的保障措施,并利用NIST指南完全保护受保护的健康信息。