即将到来的HIPAA安全规则全面改革：医疗组织需要了解的内容

美国卫生与公众服务部（HHS）已提议对HIPAA安全规则进行重大更新，旨在加强对电子受保护健康信息（ePHI）的保护，以应对日益增长的网络安全威胁。这些拟议的变更于2025年1月发布，预计将在2025年底或2026年初最终确定。

即将到来的HIPAA安全规则改革 - 关键拟议变更：

强制性多因素认证（MFA）： 所有ePHI访问点都需要MFA，增强用户验证流程以防止未经授权的访问。

全面资产管理： 组织必须维护影响ePHI机密性、完整性和可用性的所有技术资产的详细清单和网络地图。

加速补丁管理： 关键漏洞必须在15天内修补，高风险漏洞在30天内修补，以减轻潜在的安全漏洞。

增强的供应商通知要求： 覆盖实体和业务伙伴必须在任何安全事件发生后24小时内相互通知，这需要更严格的业务伙伴协议（BAA）。

取消"可寻址"保障措施： “必需"和"可寻址"实施规范之间的区别将被取消，使几乎所有保障措施成为强制性要求。

对医疗组织的影响

这些拟议的更新代表了HIPAA合规性的重大转变，使安全规则与现代网络安全实践保持一致。组织应通过以下方式开始准备：

• 在所有访问ePHI的系统中实施MFA
• 执行和维护全面的资产清单和网络地图
• 建立或更新补丁管理协议以满足新的时间要求
• 审查和更新BAA以包含新的通知要求
• 评估当前保障措施并解决任何差距以符合即将到来的强制性标准

通过主动处理这些领域，医疗组织可以加强其网络安全态势，并确保符合预期的HIPAA安全规则更新。

有关更详细的信息，请参阅HHS关于拟议规则的情况说明书和联邦登记通知。