美国医疗保险和医疗补助服务中心于2026年3月4日正式以ARC-AMPE框架取代原有MARS-E v2.2框架,面向《合理医疗费用法案》及医疗补助计划经办机构的合规要求出现重大调整。
核心合规相关数据如下:
- 框架锚定标准:美国国家标准与技术研究院《NIST SP 800-53第5修订版》
- 授权实体基准管控要求共402项,直接注册实体基准管控要求共308项
- 授权实体合规截止日期已过,直接注册实体合规截止日期为2026年6月
新框架与原MARS-E v2.2的核心差异包括三点:更新NIST基准要求、整合隐私与安全治理为统一模式、新增两个原框架未覆盖的管控家族:“个人可识别信息处理与透明度(PT)”和“供应链风险管理(SR)”。
所有在亚马逊云科技等云平台运行医疗补助计划工作负载的机构均需符合该框架要求,强制规定所有数据处理与存储行为需在美国司法管辖区域内开展,配套区域锁定与文档驻留管控,同时取消云环境与本地部署环境的区分,对所有基础设施类型执行统一安全管控标准。
已持有联邦风险与授权管理计划或美国州政府云安全认证授权的机构,现有合规能力大概率已覆盖大部分ARC-AMPE管控要求,可降低合规负担,但新增的隐私相关管控与供应链风险要求仍需额外投入落地资源,监管部门建议相关机构开展差距评估,依托互认分析简化合规流程。
