HHS OCR 提议更新 HIPAA 安全规则，以加强受保护电子健康信息 (ePHI) 的网络安全。

2024 年 12 月 27 日，美国卫生与公众服务部（HHS）公民权利办公室（OCR）提议更新 HIPAA 安全规则，以加强受保护电子健康信息（ePHI）的网络安全。

对安全规则的拟议更新旨在加强医疗保健网络安全，与拜登政府的国家网络安全战略努力保持一致。

拟议的 HIPAA 安全规则更新包括安全措施和控制，如强制实施规范、定期合规性审计、电子医疗信息加密、多因素身份验证、漏洞扫描和改进应急计划。主要建议包括创建技术资产清单、进行具体的风险分析，以及要求及时通知访问变更或应急启动。这些更新与不断发展的技术和网络安全威胁保持一致，强调更严格的文件记录、网络分段和一致的安全做法。

为了加强应急计划和事件响应，拟议的规则要求在员工访问电子健康信息发生变化的 24 小时内通知受监管实体。要求包括在 72 小时内恢复关键系统，优先恢复系统，制定详细的事件响应计划，并定期测试和更新这些计划。

HHS 指出：“加强应急计划和应对安全事件的要求。”具体来说，受监管的实体将被要求，例如：

制定书面程序，在 72 小时内恢复丢失的某些相关电子信息系统和数据。对相关电子信息系统和技术资产的相对重要性进行分析，以确定恢复的优先顺序。制定书面的安全事件应对计划和程序，记录员工如何报告可疑或已知的安全事件，以及受监管实体如何应对可疑或已知的安全事件。实施测试和修订书面安全事件响应计划的书面程序”。

提案更新包括每 12 个月进行一次合规性审计，并要求业务关联方每年通过专家分析和认证，验证电子健康信息安全防护措施的部署情况。

“HHS 鼓励所有利益相关者，包括患者及其家属、医疗计划、医疗服务提供者、医疗专业协会、消费者权益倡导者和政府实体，通过 regulations.gov 提交意见。公众对 NPRM 征求意见的截止日期是 NPRM 在《联邦登记册》上公布后的 60 天。该部还将很快举行一次部落磋商会议。相关信息和 RSVP 详情即将公布。”