美国关基保护｜美国卫生部发布《医疗保健和公共卫生部门网络安全框架实施指南》

近日，美国卫生部门协调委员会（HSCC）网络安全工作组和美国卫生服务部（HHS）发布了《医疗保健和公共卫生部门网络安全框架实施指南》，帮助公共和私营医疗部门将其网络安全计划与国家标准与技术研究所（NIST）的网络安全框架（CSF）相一致。该行业-政府联合出版物旨在帮助医疗保健提供者和公司实施NIST CSF，使医疗保健组织能够评估其当前的网络安全实践和风险，并确定需要补救的差距。

该指南是医疗保健和私营卫生部门组织实施NIST网络安全框架的路线图。它包括指导风险管理原则和最佳实践，提供解决和管理网络安全风险的通用语言，概述组织理解和应用网络安全风险管理的结构，并确定有效的标准、指导方针和实践，以根据业务需求经济高效地管理网络安全。

该文件将帮助医疗保健和公共卫生（HPH）部门组织理解和使用NIST CSF的信息参考，以实现NIST CSF的目标。上周，HSCC网络安全工作组发布了《健康产业网络安全——管理遗留技术安全》（HIC-MaLTS）指南，该指南解决了医疗环境中使用的遗留技术造成的网络风险管理问题。

该指南是在美国见证数字技术和网络物理系统（CPS）的使用显著增加之后发布的，这些技术和系统在医疗保健中是医疗设备网络的关键集成。这些系统逐渐在医院中使用，以实现持续的高质量医疗保健，从而增加了网络攻击的风险，网络攻击的目标是组织利用网络空间窃取信息或破坏、禁用或破坏相关信息资源。

该指南指出，医疗设备是HPH部门CPS的一个例子，它“越来越多地连接到互联网、医院网络和其他医疗设备，以提供改善医疗保健和提高医疗保健提供者治疗患者能力的功能。”。这些相同的功能也增加了潜在网络安全威胁的风险。医疗设备和其他计算机系统一样，很容易受到安全漏洞的攻击，可能会影响设备的安全性和有效性。”

NIST CSF通过全面风险分析的视角应用，特别包括CPS相关威胁，除了保护敏感健康信息和个人隐私外，还将有助于进一步确保患者安全。

安全控制是指系统或组织内部为保护系统及其信息的机密性、完整性和可用性以及管理信息安全风险而采用的保障措施或对策。隐私控制是指系统或组织内为管理隐私风险和确保遵守适用的隐私要求而采用的行政、技术和物理保护措施。

选择和实施安全和隐私控制是为了满足对系统或组织提出的安全和隐私要求。安全和隐私要求源自适用的法律、行政命令、指令、法规、政策、标准和任务需求，以确保处理、存储或传输的信息的机密性、完整性和可用性，并管理个人隐私风险。

NIST网络安全框架还提供了确保行业部门和组织解决强大而全面的网络安全计划的三个额外关键要素所需的结构：威胁建模、威胁情报和协作。

威胁建模可以通过传统的风险分析或从适当的安全框架中选择控制基线来完成。威胁情报对于组织了解和主动应对活跃和新出现的网络威胁至关重要，与其他公共和私营部门实体的合作使组织能够比其他组织更有效地应对网络威胁。

不同组织具有独特的网络安全风险，包括不同的威胁、漏洞和容忍度，所有这些都会影响网络安全风险管理投资的收益，它们必须将NIST CSF中提供的原则、最佳实践、标准和指南应用于其特定环境，并根据自身需求实施实践。

HPH部门接受NIST CSF提供的灵活性，但也认识到各组织可能需要更多关于如何将该框架具体应用于其特定情况的指导。此外，HPH部门认识到NIST CSF在改善所有关键基础设施行业部门的网络安全风险管理方面的潜力。

该指南呼吁采用一种通用的实施方法，可以对其进行修改，以适应基于受控框架的风险分析和控制规范方法。