Wed. Aug 10th, 2022
    en flag
    nl flag
    et flag
    fi flag
    fr flag
    de flag
    he flag
    ja flag
    lv flag
    pl flag
    pt flag
    es flag
    uk flag

    Note d'information : L'Information Technology Laboratory (ITL) du National Institute of Standards and Technology (NIST) promeut l'économie américaine et le bien-être public en fournissant un leadership technique pour l'infrastructure de mesure et de normes du pays. ITL développe des tests, des méthodes de test, des données de référence, des implémentations de preuve de concept et des analyses techniques pour faire progresser le développement et l'utilisation productive des technologies de l'information. Les responsabilités du RIT comprennent l'élaboration de normes et de lignes directrices de gestion, administratives, techniques et physiques pour la sécurité et la confidentialité rentables des informations autres que celles liées à la sécurité nationale dans les systèmes d'information fédéraux. Ce document du NIST fournit des conseils pratiques et des ressources qui peuvent être utilisés par des entités réglementées de toutes tailles pour protéger ePHI et mieux comprendre les concepts de sécurité abordés dans la règle de sécurité HIPAA.

    Annonce et publication spéciale du NIST*

    Le NIST met à jour ses directives relatives à la cybersécurité des soins

    Le projet de publication révisé vise à aider les organisations à se conformer à la règle de sécurité HIPAA.

    Annonce (21 juillet 2022)

    Dans le but d'aider les organisations de soins de santé à protéger les informations de santé personnelles des patients, le National Institute of Standards and Technology (NIST) a mis à jour ses directives en matière de cybersécurité pour le secteur des soins de santé.

    Le nouveau projet de publication du NIST, officiellement intitulé Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule : A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), est conçu pour aider l'industrie à maintenir la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques, ou ePHI. Le terme couvre un large éventail de données sur les patients, y compris les ordonnances, les résultats de laboratoire et les dossiers de visites à l'hôpital et de vaccinations.

    « L'un de nos principaux objectifs est de contribuer à faire de la publication mise à jour un guide de ressources », a déclaré Jeff Marron, spécialiste de la cybersécurité au NIST. « La révision est plus exploitable afin que les organisations de soins de santé puissent améliorer leur posture de cybersécurité et se conformer à la règle de sécurité. »

    La Health Insurance Portability and Accountability Act de 1996 (HIPAA) est une loi fédérale qui exige la création de normes nationales pour protéger les informations sensibles sur la santé des patients contre la divulgation sans le consentement ou à l'insu du patient. Une partie de la loi HIPAA est la règle de sécurité, qui met spécifiquement l'accent sur la protection des données ePHI qu'un organisme de santé crée, reçoit, maintient ou transmet. Le NIST ne crée pas de réglementation pour appliquer la loi HIPAA, mais le projet révisé est conforme à la mission du NIST de fournir des conseils en matière de cybersécurité. Les directives mises à jour du NIST arrivent particulièrement à point nommé, car le ministère américain de la Santé et des Services sociaux a noté une augmentation des cyberattaques affectant les soins de santé.

    Le NIST sollicite des commentaires sur le projet de publication jusqu'au 21 septembre 2022.

    L'une des principales raisons pour lesquelles le NIST a développé la révision est de l'intégrer à d'autres directives du NIST en matière de cybersécurité qui n'existaient pas lorsque la révision 1 a été publiée en 2008. Depuis lors, le NIST a développé son célèbre cadre de cybersécurité et a également mis à jour à plusieurs reprises sa collection de contrôles de sécurité et de confidentialité (NIST SP 800-53) que les organisations peuvent utiliser pour adapter leurs propres approches de gestion des risques. Le nouveau projet d'orientation de la règle de sécurité HIPAA établit des liens explicites avec ces ressources et d'autres ressources de cybersécurité du NIST.

    « Nous avons mappé tous les éléments de la règle de sécurité HIPAA aux sous-catégories du cadre de cybersécurité et aux contrôles de la dernière version du NIST SP 800-53 », a déclaré Marron. « Nous avons mis davantage l'accent sur la composante de gestion des risques du guide, y compris l'intégration des concepts de gestion des risques d'entreprise. »

    Le projet tient compte de plus de 400 réponses uniques que le NIST a reçues à la suite de son appel à commentaires de l'avant-projet l'année dernière. Marron décrit le projet comme une actualisation plutôt qu'une refonte, car la structure du document n'a que légèrement changé, mais que le contenu a été mis à jour avec un accent accru sur l'évaluation et la gestion des risques pour ePHI. Bon nombre des changements importants sont sous-entendus dans la « Note aux critiques » de la publication, qui demande aux lecteurs de réfléchir à des sections spécifiques.

    Marron a déclaré que, comme pour de nombreuses publications connexes du NIST sur la cybersécurité, le projet révisé n'était pas destiné à être une liste de contrôle à suivre par les organisations de soins de santé, mais plutôt à les guider dans l'amélioration de leur gestion des risques liés à l'ePHI.

    « Nous fournissons une ressource qui peut vous aider à mettre en œuvre la règle de sécurité dans votre propre organisation, qui peut avoir des besoins particuliers », a-t-il dit. « Notre objectif est d'offrir des conseils et des ressources que vous pouvez utiliser dans une seule publication lisible. »

    Le NIST accepte les commentaires sur le projet jusqu'au 21 septembre 2022, par e-mail à sp800-66-comments@nist.gov.

    Lisez l'annonce originale.

    Publication spéciale du NIST - Initial Public Draft : Implementing the HIPAA Security Rule - A Cybersecurity Resource Guide (PDF) - Passez la souris pour faire défiler

    NIST - Implementing the HIPAA Security Rule - A Cybersecurity Resource Guide

    Lisez la publication originale.

    *Partagé avec autorisation.

    Lectures supplémentaires

    Un espace sûr ? L'EDPB et le CEPD adoptent un avis conjoint sur la proposition d'espace européen des données sanitaires

    Une base solide ? Le NIST publie une revue des méthodes de criminalistique numérique

    Source : ComplexDiscovery

    Tu vis avec Leeds ? Exterro réalise une recapitalisation de plus de 1 milliard de dollars

    According to the press release, with the support of a group...

    TCDI finalise l'acquisition de l'eDiscovery Practice d'Aon

    According to TCDI Founder and CEO Bill Johnson, “We chose Aon’s...

    Fusions, acquisitions et investissements dans l'eDiscovery au deuxième trimestre 2022

    From Magnet Forensics and TCDI to ArcherHall, the following findings, data...

    TCDI va acquérir la pratique eDiscovery d'Aon

    According to TCDI Founder and CEO Bill Johnson, “For 30 years,...

    En mouvement ? Cinétique du marché de l'eDiscovery 2022 : cinq domaines d'intérêt

    Recently ComplexDiscovery was provided an opportunity to share with the eDiscovery...

    Vous faites confiance au processus ? Données sur les tâches, les dépenses et les coûts de traitement de l'eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Bilan de l'année ? Points de données sur les tâches, les dépenses et les coûts de révision de l'eDiscovery 2021

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Regard sur la collection eDiscovery en 2021 : points de données sur les tâches, les dépenses et les coûts

    Based on the complexity of cybersecurity, information governance, and legal discovery,...

    Cinq bonnes lectures sur la cybernétique, les données et la découverte sur demande juridique pour juillet 2022

    From lurking business undercurrents to captivating deepfake developments, the July 2022...

    Cinq lectures intéressantes sur le cybernétique, les données et la découverte juridique pour juin 2022

    From eDiscovery ecosystem players and pricing to data breach investigations and...

    Cinq lectures intéressantes sur le cybernétique, les données et la découverte juridique pour mai 2022

    From eDiscovery pricing and buyers to cyberattacks and incident response, the...

    Cinq excellentes lectures sur la cybersécurité, les données et la découverte juridique pour avril 2022

    From cyber attack statistics and frameworks to eDiscovery investments and providers,...

    Le bourdonnement ? Évaluations du conflit en Ukraine sur des cartes (3 au 7 août 2022)

    According to a recent update from the Institute for the Study...

    Soulager la détresse ? Évaluations du conflit en Ukraine sur des cartes (29 juillet — 2 août 2022)

    According to a recent update from the Institute for the Study...

    Des défis Momentum Évaluations du conflit en Ukraine sur des cartes (24 — 28 juillet 2022)

    According to a recent update from the Institute for the Study...

    Support du port ? Évaluations du conflit en Ukraine sur des cartes (19-23 juillet 2022)

    According to a recent update from the Institute for the Study...