數(shù)字化轉(zhuǎn)型使所有行業(yè)都面臨更大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，醫(yī)療保健行業(yè)也不例外。隨著美國(guó)醫(yī)療保健組織出于數(shù)據(jù)共享、流程自動(dòng)化和系統(tǒng)互操作性等目的增加對(duì)健康信息技術(shù)的依賴，它們的攻擊面迅速擴(kuò)大。這種迅速增加的攻擊向量數(shù)量大大增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

健康行業(yè)最容易受到勒索軟件攻擊、數(shù)據(jù)盜竊和端點(diǎn)入侵。

• 勒索軟件攻擊可以通過(guò)相對(duì)簡(jiǎn)單的途徑進(jìn)入系統(tǒng)，例如網(wǎng)絡(luò)釣魚電子郵件。他們?cè)卺t(yī)療保健行業(yè)擁有更高的利益，因?yàn)榛颊咦o(hù)理機(jī)構(gòu)的數(shù)據(jù)丟失不僅會(huì)造成不便，還會(huì)危及患者安全。網(wǎng)絡(luò)犯罪分子可以利用這種緊迫性，利用這種緊迫性要求更高的金額和更快的付款來(lái)發(fā)布醫(yī)療記錄等關(guān)鍵數(shù)據(jù)。
• 健康記錄中的患者數(shù)據(jù)可以在暗網(wǎng)上出售，并用于實(shí)施利潤(rùn)豐厚的網(wǎng)絡(luò)犯罪，例如保險(xiǎn)欺詐和身份盜竊。
• 現(xiàn)代物聯(lián)網(wǎng) (IoT) 醫(yī)療設(shè)備的連接性使其成為黑客的理想攻擊媒介——未經(jīng)授權(quán)訪問(wèn)僅一個(gè)不安全的設(shè)備會(huì)危及所有連接設(shè)備和計(jì)算機(jī)系統(tǒng)的整個(gè)網(wǎng)絡(luò)安全。

與金融業(yè)一樣，美國(guó)醫(yī)療保健行業(yè)也受到嚴(yán)格監(jiān)管。醫(yī)療保健提供者和其他相關(guān)實(shí)體必須實(shí)施有效的網(wǎng)絡(luò)安全計(jì)劃，以識(shí)別、減輕和防止網(wǎng)絡(luò)攻擊。

8 條醫(yī)療保健行業(yè)最關(guān)鍵的網(wǎng)絡(luò)安全法規(guī)

2021 年，醫(yī)療保健行業(yè)的平均數(shù)據(jù)泄露總成本最高，為 923 萬(wàn)美元。此外，2021 年有 44,993,618 份健康記錄被泄露或被盜，成為泄露記錄第二高的年份。遵守醫(yī)療保健法規(guī)不僅可以幫助組織避免巨額罰款。合規(guī)性的另一個(gè)好處是以更一致和可衡量的速度 體驗(yàn)安全態(tài)勢(shì)成熟度的可能性。通過(guò)公認(rèn)的安全框架獲得認(rèn)證為組織提供了額外的可信度，并允許他們?cè)u(píng)估自己對(duì)法規(guī)的遵守情況。

這樣的框架消除了從頭開始設(shè)計(jì)網(wǎng)絡(luò)安全路線圖的勞動(dòng)密集型任務(wù)。如果預(yù)算或時(shí)間不足，即使只是遵守框架要求，也有助于組織評(píng)估其安全狀況并確定合規(guī)和不合規(guī)領(lǐng)域。對(duì)如何實(shí)現(xiàn)網(wǎng)絡(luò)彈性的清晰愿景有助于確保解決所有能力差距，并為安全態(tài)勢(shì)成熟設(shè)定明確的途徑。以下是美國(guó)醫(yī)療保健組織在制定其信息安全政策時(shí)應(yīng)牢記的 8 項(xiàng)主要網(wǎng)絡(luò)安全法規(guī)和框架。

該列表沒(méi)有按任何有意的順序列出，并提供了有關(guān)每個(gè)法規(guī)/框架的以下信息：

• 合規(guī)是強(qiáng)制性的嗎？
• 覆蓋哪些國(guó)家？
• 不合規(guī)的處罰是什么（如果合規(guī)是強(qiáng)制性的）？
• 其他資源

1. 美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 改善關(guān)鍵基礎(chǔ)設(shè)施的框架

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 網(wǎng)絡(luò)安全框架是一套全面的行業(yè)指南，旨在降低組織網(wǎng)絡(luò)風(fēng)險(xiǎn)。NIST 發(fā)布了廣泛的網(wǎng)絡(luò)安全出版物，包括NIST 800-53。NIST 800-53 最初建立了僅適用于聯(lián)邦和政府實(shí)體的安全控制和隱私控制。該出版物的最新修訂版（修訂版 5）具有更廣泛的關(guān)注點(diǎn)，也適用于非政府實(shí)體，包括醫(yī)療保健部門。修訂版 5 將隱私控制集成到安全控制中，為系統(tǒng)和組織創(chuàng)建了一套統(tǒng)一的控制。

NIST 合規(guī)性是強(qiáng)制性的嗎？

所有聯(lián)邦實(shí)體及其承包商都必須遵守 NIST 合規(guī)性。NIST 合規(guī)性對(duì)所有私營(yíng)部門企業(yè)都是自愿的，包括私營(yíng)醫(yī)療保健。

建議醫(yī)療保健組織實(shí)現(xiàn) NIST 合規(guī)性以獲得以下好處：

• 免費(fèi)： NIST 框架是免費(fèi)的，允許組織在不影響預(yù)算質(zhì)量的情況下投資于更強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃。

使用經(jīng)過(guò)驗(yàn)證的框架而不是從頭開始創(chuàng)建一個(gè)框架，還可以使組織更好地將其資源分配給其他風(fēng)險(xiǎn)管理工作。

• 靈活性： NIST 框架可以在包括醫(yī)療保健在內(nèi)的所有行業(yè)中采用。NIST 的適應(yīng)性還允許它在組織擴(kuò)展其網(wǎng)絡(luò)安全計(jì)劃時(shí)保持相關(guān)性。
• 集成：遵守多個(gè)框架和法規(guī)很快就變成了一項(xiàng)復(fù)雜的工作，尤其是在考慮額外的內(nèi)部風(fēng)險(xiǎn)管理和合規(guī)要求時(shí)。NIST 通過(guò)無(wú)縫映射到其他框架和法規(guī)（如HIPAA和ISO 27001），最大限度地減少了由各種合規(guī)要求引起的許多復(fù)雜性。

NIST 涵蓋哪些國(guó)家/地區(qū)？

任何國(guó)家的組織都可以采用 NIST，因?yàn)樗先蚬J(rèn)的標(biāo)準(zhǔn)。

不遵守 NIST 的處罰是什么？

不遵守 NIST 會(huì)導(dǎo)致政府機(jī)構(gòu)及其承包商和第三方供應(yīng)商失去所有聯(lián)邦資金。在美國(guó)，NIST 合規(guī)性是根據(jù)聯(lián)邦信息安全管理法(FISMA) 強(qiáng)制執(zhí)行的。

NIST 合規(guī)資源

以下資源是實(shí)現(xiàn)和維護(hù) NIST 合規(guī)性的有用指南：

• 10 步清單：如何在 2021 年符合 GDPR (UpGuard)
• 您需要了解的有關(guān) GDPR 合規(guī)性的所有信息(GDPR.EU)

2. 健康保險(xiǎn)流通與責(zé)任法案 (HIPAA)

HIPAA是一系列美國(guó)聯(lián)邦法律，于 1996 年簽署生效，旨在規(guī)范該國(guó)健康信息的披露和保護(hù)。該法案由三個(gè)主要規(guī)則組成——隱私規(guī)則、安全規(guī)則和違規(guī)通知規(guī)則。HIPAA 隱私規(guī)則旨在定義和限制個(gè)人醫(yī)療保健信息可能被涵蓋實(shí)體使用或披露的情況 。涵蓋實(shí)體不能使用或披露受保護(hù)的健康信息 (PHI)，包括電子健康保護(hù)信息 (ePHI)，除非：

• 隱私規(guī)則允許或要求它；或者
• 信息主體（或代表）提供書面授權(quán)。

只有兩種情況必須披露 PHI：

1. 當(dāng)個(gè)人或其代表要求訪問(wèn)它或披露信息時(shí)。
2. 當(dāng) HHS 進(jìn)行合規(guī)調(diào)查、審查或執(zhí)法行動(dòng)時(shí)。

安全規(guī)則規(guī)定，相關(guān)實(shí)體及其業(yè)務(wù)伙伴必須進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估通過(guò)突出合規(guī)領(lǐng)域并發(fā)現(xiàn)任何構(gòu)成安全風(fēng)險(xiǎn)的合規(guī)漏洞來(lái)幫助組織實(shí)現(xiàn)和維護(hù) HIPAA 合規(guī)性。違規(guī)通知規(guī)則規(guī)定，涵蓋實(shí)體及其業(yè)務(wù)伙伴必須在違反不受保護(hù)的受保護(hù)健康信息后提供通知。

HIPAA 合規(guī)性是強(qiáng)制性的嗎？

在美國(guó)，以下實(shí)體必須遵守 HIPAA：

• 健康計(jì)劃
• 醫(yī)療保健機(jī)構(gòu)
• 醫(yī)療保健票據(jù)交換所
• 商業(yè)伙伴

HIPAA 涵蓋哪些國(guó)家/地區(qū)？

HIPAA 僅適用于美國(guó)。但是，大多數(shù)其他國(guó)家/地區(qū)都有自己的國(guó)家對(duì)等物。

不遵守 HIPAA 的處罰是什么？

不合規(guī)的涵蓋實(shí)體可能會(huì)通過(guò)衛(wèi)生與公眾服務(wù)部 (HHS) 下屬的民權(quán)辦公室 (OCR) 承擔(dān)民事處罰責(zé)任。每次違規(guī)的罰款從 100 美元到 50,000 美元以上不等，日歷年上限為 1,500,000 美元。某些違反隱私規(guī)則的行為也可能會(huì)受到刑事起訴。

HIPAA 合規(guī)資源

以下資源是實(shí)現(xiàn)和維護(hù) HIPAA 合規(guī)性的有用指南：

• HIPAA 隱私規(guī)則摘要和合規(guī)提示(UpGuard)
• HIPAA 隱私規(guī)則(HHS)
• HIPAA 安全規(guī)則(HHS)
• HIPAA 違規(guī)通知規(guī)則(HHS)

3. 互聯(lián)網(wǎng)安全中心 (CIS) 關(guān)鍵安全控制

CIS 開發(fā)了關(guān)鍵安全控制措施，以保護(hù)私人和公共組織免受網(wǎng)絡(luò)安全威脅。CIS 控制優(yōu)先考慮一組 18 項(xiàng)（之前為 20 項(xiàng)）行動(dòng)，以幫助保護(hù)組織免受網(wǎng)絡(luò)攻擊。這些控制包括：

• 獨(dú)聯(lián)體控制1：企業(yè)資產(chǎn)的庫(kù)存和控制
• CIS 控制 2：軟件資產(chǎn)的庫(kù)存和控制
• CIS 控制 3：數(shù)據(jù)保護(hù)
• CIS Control 4：企業(yè)資產(chǎn)和軟件的安全配置
• CIS 控制 5：賬戶管理
• CIS 控制 6：訪問(wèn)控制管理
• CIS 控制 7：持續(xù)漏洞管理
• CIS 控制 8：審計(jì)日志管理
• CIS 控制 9：電子郵件 Web 瀏覽器和保護(hù)
• CIS 控制 10：惡意軟件防御
• CIS 控制 11：數(shù)據(jù)恢復(fù)
• CIS 控制 12：網(wǎng)絡(luò)基礎(chǔ)設(shè)施管理
• CIS 控制 13：網(wǎng)絡(luò)監(jiān)控和防御
• CIS 控制 14：安全意識(shí)和技能培訓(xùn)
• CIS 控制 15：服務(wù)提供商管理
• CIS 控制 16：應(yīng)用軟件安全
• CIS 控制 17：事件響應(yīng)管理
• CIS 控制 18：滲透測(cè)試

CIS 控制映射到大多數(shù)主要安全框架，包括NIST 網(wǎng)絡(luò)安全框架、NIST 800-53、ISO 27000 系列以及PCI DSS、HIPAA和FISMA等法規(guī)。

是否必須遵守 CIS 控制？

不，CIS 控制不是強(qiáng)制性的，但建議用于增強(qiáng)醫(yī)療網(wǎng)絡(luò)安全。對(duì)于高度監(jiān)管的醫(yī)療保健行業(yè)，CIS 控制為加強(qiáng)網(wǎng)絡(luò)防御和遵守其他強(qiáng)制性要求提供了一個(gè)簡(jiǎn)化的起點(diǎn)。

獨(dú)聯(lián)體控制涵蓋哪些國(guó)家？

CIS 控制是國(guó)際公認(rèn)的，適用于各種規(guī)模的組織。

CIS 控制合規(guī)資源

以下資源是實(shí)現(xiàn)和維護(hù) CIS 控制合規(guī)性的有用指南：

• 有效網(wǎng)絡(luò)防御的 CIS 控制是什么？（上衛(wèi)）
• 18 項(xiàng) CIS 關(guān)鍵安全控制(CIS)

4. 信息及相關(guān)技術(shù)控制目標(biāo) (COBIT)

COBIT 是由信息系統(tǒng)審計(jì)和控制協(xié)會(huì) (ISACA) 開發(fā)的 IT 治理和管理框架。COBIT 的最新版本是 COBIT 2019。COBIT 2019 旨在通過(guò)六項(xiàng)（之前為五項(xiàng)）原則使 IT 活動(dòng)與更廣泛的組織目標(biāo)保持一致：

1. 提供利益相關(guān)者價(jià)值
2. 整體分析
3. 動(dòng)態(tài)治理體系
4. 治理與管理不同
5. 為企業(yè)需求量身定制
6. 端到端的治理系統(tǒng)

COBIT 2019 的全面覆蓋確保醫(yī)療保健組織清楚地了解其網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的管理方式、監(jiān)管合規(guī)要求以及投資于深入的信息安全政策的價(jià)值。使用 COBIT 成熟度模型，醫(yī)療保健組織還可以識(shí)別 IT 能力差距并有效地規(guī)劃如何彌合它們。

COBIT 是強(qiáng)制性的嗎？

不，COBIT 不是強(qiáng)制性的，但建議在醫(yī)療保健行業(yè)作為實(shí)現(xiàn)統(tǒng)一治理結(jié)構(gòu)、簡(jiǎn)化護(hù)理和降低成本的基礎(chǔ)。

COBIT 涵蓋哪些國(guó)家/地區(qū)？

COBIT 是一個(gè)全球認(rèn)可和使用的框架。

COBIT 資源

• 信息技術(shù)資源控制目標(biāo)(ISACA)
• 使用 COBIT 2019 (ISACA)管理數(shù)字化轉(zhuǎn)型

5. ISO/IEC 27001

ISO/IEC 27001（通常稱為 ISO 27001）是一種被廣泛采用的國(guó)際標(biāo)準(zhǔn)，用于通過(guò)信息安全管理實(shí)踐守則實(shí)現(xiàn)數(shù)據(jù)安全監(jiān)管。該標(biāo)準(zhǔn)由國(guó)際標(biāo)準(zhǔn)化組織 (ISO) 和國(guó)際電工委員會(huì) (IEC) 共同制定。它由一組標(biāo)準(zhǔn)組成，涵蓋信息安全管理系統(tǒng) (ISMS)、信息技術(shù)、信息安全技術(shù)和信息安全要求。

對(duì)于醫(yī)療保健組織而言，實(shí)施 ISO 27001是一種有效的方法來(lái)規(guī)范、管理和處理敏感數(shù)據(jù)，例如患者信息。一旦建立起來(lái)，ISMS 將確保有有效的流程來(lái)識(shí)別和減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)，并確保在發(fā)生安全事件時(shí)有效的事件響應(yīng)計(jì)劃。

該標(biāo)準(zhǔn)的最新版本是 2013 年發(fā)布的 ISO/IEC 27001:2013。

ISO 27001 是強(qiáng)制性的嗎？

在大多數(shù)國(guó)家/地區(qū)，ISO/IEC 27001 不是強(qiáng)制性要求，但由于大量網(wǎng)絡(luò)攻擊和醫(yī)療保健行業(yè)的嚴(yán)格法規(guī)，強(qiáng)烈建議醫(yī)療保健組織實(shí)施 ISO 27001。

ISO 27001 涵蓋哪些國(guó)家/地區(qū)？

ISO 27001 是國(guó)際公認(rèn)的信息安全標(biāo)準(zhǔn)。

ISO 27001 資源

• 什么是 ISO 27001？2022 年簡(jiǎn)明扼要的解釋（UpGuard）
• ISO 27001 實(shí)施清單(UpGuard)
• ISO/IEC 27001:2013 (ISO)

6. HITRUST（原Health Information Trust）通用安全框架（CSF）

HITRUST 聯(lián)盟旨在通過(guò)其風(fēng)險(xiǎn)和合規(guī)管理框架和方法來(lái)“為所有行業(yè)和整個(gè)第三方供應(yīng)鏈的全球組織保護(hù)敏感信息并管理信息風(fēng)險(xiǎn)”。該組織與公共和私營(yíng)部門的多個(gè)行業(yè)的隱私、信息安全和風(fēng)險(xiǎn)管理領(lǐng)域的領(lǐng)導(dǎo)者合作。HITRUST 開發(fā)了HITRUST CSF，以幫助醫(yī)療保健組織及其云服務(wù)提供商清晰有效地展示其網(wǎng)絡(luò)安全措施和合規(guī)性。該框架映射到美國(guó)醫(yī)療保健法HIPAA和HITECH 法案，這些法案強(qiáng)制執(zhí)行有關(guān)整個(gè)行業(yè)的個(gè)人身份信息 (PII)的使用、披露和保護(hù)的要求。

HITRUST CSF 分為 19 個(gè)不同的域：

1. 信息保護(hù)計(jì)劃
2. 端點(diǎn)保護(hù)
3. 便攜式媒體安全
4. 移動(dòng)設(shè)備安全
5. 無(wú)線網(wǎng)絡(luò)安全
6. 配置管理
7. 漏洞管理
8. 網(wǎng)絡(luò)保護(hù)
9. 傳輸保護(hù)
10. 密碼管理
11. 訪問(wèn)控制
12. 審計(jì)日志和監(jiān)控
13. 教育、培訓(xùn)和意識(shí)
14. 第三方保證
15. 事件管理
16. 業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)
17. 風(fēng)險(xiǎn)管理
18. 物理和環(huán)境安全
19. 數(shù)據(jù)保護(hù)和隱私

涵蓋的健康實(shí)體及其云服務(wù)提供商也可以使用 HITRUST 作為衡量其他行業(yè)框架合規(guī)性的基準(zhǔn)，例如ISO 27001、NIST、HIPAA、COBIT 和PCI DSS。

HITRUST 合規(guī)性是強(qiáng)制性的嗎？

HITRUST 對(duì)組織不是強(qiáng)制性的。但是，任何生產(chǎn)、訪問(wèn)、存儲(chǔ)或交換與個(gè)人健康相關(guān)的信息的組織都應(yīng)實(shí)現(xiàn) HITRUST 合規(guī)性，以明確證明其符合強(qiáng)制性行業(yè)法規(guī)，例如 HIPAA。這些組織包括醫(yī)療保健供應(yīng)商、藥房、醫(yī)院、保險(xiǎn)公司和醫(yī)生辦公室。作為一個(gè)備受推崇的安全框架，HITRUST 認(rèn)證為這些組織建立了信譽(yù)。

HITRUST CSF 涵蓋哪些國(guó)家/地區(qū)？

HITRUST CSF 是一項(xiàng)全球認(rèn)證計(jì)劃，可根據(jù)不同組織的類型、規(guī)模、系統(tǒng)和合規(guī)要求進(jìn)行定制和調(diào)整。

HITRUST CSF 資源

以下資源是實(shí)現(xiàn)和維護(hù) CIS 控制合規(guī)性的有用指南：

• HITRUST CSF - 我們的框架(HITRUST)
• HITRUST CSF v9.6.0 下載(HITRUST)

7. 質(zhì)量體系法規(guī) (QSR)

美國(guó)食品和藥物管理局 (FDA) 在設(shè)計(jì)過(guò)程中對(duì)醫(yī)療設(shè)備實(shí)施更嚴(yán)格的網(wǎng)絡(luò)安全要求。這些要求旨在降低設(shè)備因未經(jīng)授權(quán)的訪問(wèn)而受損時(shí)的操作關(guān)閉風(fēng)險(xiǎn)。FDA 聲明“網(wǎng)絡(luò)安全是利益相關(guān)者的共同責(zé)任，包括原始設(shè)備制造商 (OEM)、醫(yī)療保健機(jī)構(gòu)、醫(yī)療保健提供者和獨(dú)立服務(wù)組織 (ISO)。”

除了利益相關(guān)者的共同責(zé)任外，醫(yī)療器械制造商還必須確保其風(fēng)險(xiǎn)管理、設(shè)計(jì)控制、維護(hù)、監(jiān)督和響應(yīng)流程整合有效的安全控制。示例控制包括實(shí)施設(shè)備用戶身份驗(yàn)證和加密存儲(chǔ)在設(shè)備上的任何患者數(shù)據(jù)以增強(qiáng)數(shù)據(jù)保護(hù)。QSR 進(jìn)一步定義了設(shè)備制造商必須遵循的要求，以保護(hù)連接的醫(yī)療設(shè)備免受網(wǎng)絡(luò)犯罪分子的侵害。設(shè)備制造商必須確保設(shè)計(jì)更改得到驗(yàn)證和驗(yàn)證，其中包括針對(duì)已識(shí)別漏洞的軟件修補(bǔ)。

QSR 合規(guī)性是強(qiáng)制性的嗎？

所有醫(yī)療器械制造商都必須遵守 QSR 以解決與其產(chǎn)品相關(guān)的所有網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。雖然 QSR 合規(guī)性不是其他醫(yī)療保健實(shí)體的直接責(zé)任，但 FDA 建議“所有感興趣的利益相關(guān)者 [應(yīng)該] 就可用于有效開發(fā)、驗(yàn)證和實(shí)施醫(yī)療設(shè)備軟件變更的方法或途徑進(jìn)行合作。”

QSR 涵蓋哪些國(guó)家/地區(qū)？

任何希望在美國(guó)銷售其產(chǎn)品的醫(yī)療器械供應(yīng)商都必須遵守 QSR。

QSR 不合規(guī)的處罰是什么？

FDA 可以對(duì)不合規(guī)的組織實(shí)施幾種不同類型的處罰，從警告信到對(duì)公司處以高達(dá) 500,000 美元的罰款和刑事起訴等嚴(yán)重程度不等。

QSR 資源

以下資源是實(shí)現(xiàn)和維護(hù) QSR 合規(guī)性的有用指南：

• 加強(qiáng)與醫(yī)療器械服務(wù)相關(guān)的網(wǎng)絡(luò)安全實(shí)踐：挑戰(zhàn)與機(jī)遇(FDA)
• FDA 在醫(yī)療器械網(wǎng)絡(luò)安全(FDA)中的作用
• CFR - 聯(lián)邦法規(guī)第 21 篇(FDA)

8. 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS）

支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)是一組旨在防止信用卡欺詐和保護(hù)信用卡持有人免遭個(gè)人數(shù)據(jù)盜竊的標(biāo)準(zhǔn)。所有接受商品和服務(wù)支付卡的醫(yī)療保健組織都必須遵守 PCI DSS。PCI DSS 概述了用于保護(hù)信用卡數(shù)據(jù)生命周期三個(gè)主要階段的控制措施，包括：

• 信用卡數(shù)據(jù)處理
• 信用卡數(shù)據(jù)存儲(chǔ)
• 信用卡數(shù)據(jù)傳輸

PCI DSS 覆蓋哪些國(guó)家/地區(qū)？

PCI DSS 是國(guó)際公認(rèn)的標(biāo)準(zhǔn)。

PCI DSS 合規(guī)性是強(qiáng)制性的嗎？

任何存儲(chǔ)、處理或傳輸持卡人數(shù)據(jù)的組織都必須遵守法規(guī)。

PCI DSS 不合規(guī)的處罰是什么？

不合規(guī)的組織將面臨每月 5,000 至 100,000 美元的罰款，直到他們實(shí)現(xiàn)經(jīng)驗(yàn)證的合規(guī)性。

PCI DSS 合規(guī)性資源

以下資源是實(shí)現(xiàn)和維護(hù) PCI DSS 合規(guī)性的有用指南：

• 無(wú)痛的 PCI 合規(guī)性(UpGuard)
• 2021 年網(wǎng)絡(luò)安全合規(guī)監(jiān)控最佳實(shí)踐（UpGuard）
• 支付卡行業(yè) (PCI) 數(shù)據(jù)安全標(biāo)準(zhǔn)自我評(píng)估問(wèn)卷（PCI 安全標(biāo)準(zhǔn)）

如何保持醫(yī)療保健部門的網(wǎng)絡(luò)安全合規(guī)性

以下網(wǎng)絡(luò)安全最佳實(shí)踐可以幫助醫(yī)療保健組織實(shí)現(xiàn)并保持對(duì)法規(guī)和公認(rèn)框架的遵守。

實(shí)施零信任架構(gòu) (ZTA)

零信任架構(gòu)將所有網(wǎng)絡(luò)活動(dòng)視為安全威脅，直到用戶證明并非如此。該架構(gòu)的審查性質(zhì)增加了額外的安全層，防止未經(jīng)授權(quán)訪問(wèn)敏感信息。ZTA 現(xiàn)在是喬·拜登的網(wǎng)絡(luò)安全行政命令下的一項(xiàng)強(qiáng)制性要求。

實(shí)施第三方風(fēng)險(xiǎn)管理 (TPRM) 解決方案

TPRM 解決方案通過(guò)安全評(píng)估、安全評(píng)級(jí)和攻擊面的實(shí)時(shí)掃描來(lái)評(píng)估組織的第三方和第四方生態(tài)系統(tǒng)的安全狀況。理想的 TPRM 解決方案還應(yīng)根據(jù)監(jiān)管要求識(shí)別和映射供應(yīng)商的安全評(píng)估響應(yīng)，以發(fā)現(xiàn)合規(guī)和不合規(guī)領(lǐng)域。

識(shí)別和修復(fù)數(shù)據(jù)泄漏

數(shù)據(jù)泄露不僅會(huì)使數(shù)據(jù)泄露發(fā)生得更快，還會(huì)暴露可能違反監(jiān)管準(zhǔn)則的敏感信息。數(shù)據(jù)泄漏不僅是即將發(fā)生數(shù)據(jù)泄露的主要指標(biāo)，而且可能違反監(jiān)管要求。有效的數(shù)據(jù)泄漏檢測(cè)解決方案可以幫助在內(nèi)部和第三方攻擊面中實(shí)時(shí)識(shí)別這些暴露，以確保合規(guī)性。

投資攻擊面監(jiān)控解決方案

攻擊面監(jiān)控解決方案可以比手動(dòng)方法更快地識(shí)別導(dǎo)致數(shù)據(jù)泄露的漏洞。醫(yī)療保健組織可以利用這項(xiàng)技術(shù)來(lái)改善其安全狀況并滿足大多數(shù)行業(yè)法規(guī)嚴(yán)格的網(wǎng)絡(luò)彈性期望。