HITRUST® er blandt mange sikkerheds- og complianceeksperter blevet et velkendt navn med stor vægt bag sig. Og det er der en meget god grund til. Men før vi kommer ind på, hvorfor HITRUST er vigtig, skal vi tale om, hvad HITRUST helt præcist er.
Hvad er HITRUST?
HITRUST blev grundlagt i 2007 og er en organisation, der fokuserer på sikkerhed, privatlivets fred og risikostyring. Den har udviklet HITRUST CSF® for at give organisationer et omfattende sikkerheds- og privatlivsprogram, der er designet til at styre data, overholdelse og risiko. Det er blevet den mest udbredte ramme for sikkerhed og beskyttelse af personlige oplysninger på tværs af brancher globalt.
Gennem at certificere i forhold til HITRUST CSF kan en organisation demonstrere sin overholdelse af rammen over for alle, der har brug for denne sikkerhed, lige fra sundhedsudbydere, hospitaler og forsikringsselskaber til enhver anden organisation, der har brug for sikkerhed.
Det gode ved HITRUST er, at det har kortlagt forskellige rammer og regler – f.eks. dem, der er fastlagt af National Institute of Standards and Technology (NIST), International Organization for Standardization (ISO) og Health Insurance Portability and Accountability Act (HIPAA) – i ét centralt kontrollager. Når du overholder HITRUST CSF-rammen, hjælper du dig med at overholde alle disse andre rammer og regler, hvilket hjælper dig med at reducere den samlede mængde tid og kræfter, som din organisation årligt skal bruge på overholdelse af reglerne. Tag lige et øjeblik og tænk på, hvor rart det ville være at vide, at din organisation overholder HIPAA eller andre lovkrav ved at udføre en enkelt vurdering. Det er den slags ro i sindet, som HITRUST har til formål at give både vurderede organisationer og modtagere.
Hvorfor HITRUST er vigtig
HITRUST er vigtig, fordi den hjælper dig med at styre risici, reducere risikoen for databrud og bevise over for eksterne parter, at du tager sikkerhed og overholdelse alvorligt.
HITRUST har 19 domæner, der bliver vurderet, når du gennemgår HITRUST CSF-certificering. Disse domæner dækker en lang række sikkerheds- og privatlivsproblemer. Deres slutmål er at sikre, at du har alle de nødvendige kontroller på plads for drastisk at reducere den risiko, som din organisation påtager sig via sin daglige drift.
For at give nogle eksempler ønsker HITRUST at sikre, at din organisation gør ting som at sikre mobile enheder, frigive patches for at forhindre hackere i at afsløre en sårbarhed og få adgang til dine systemer, gennemgå dine leverandørers sikkerhedsprogrammer for at sikre, at dine data er i sikre hænder, og begrænse, hvem der har forhøjede privilegier til dit netværk. Den ønsker at sikre, at du har planer for forretningskontinuitet, katastrofeberedskab og respons på brud.
Mens din organisation gennemgår HITRUST CSF-certificering, kan den afdække eksisterende huller i sine kontroller og bestemme, hvad den skal implementere for at lukke disse huller og reducere sin risiko.
HITRUST CSF giver også den ekstra værdi, at det er et kontinuerligt program. Du gencertificerer hvert andet år, og i de mellemliggende år udfører du en foreløbig kontrol, hvor du tilfældigt udvælger forskellige kontroller og fastslår, om disse kontroller stadig følges. På denne måde kan du hvert år få sikkerhed for, at dine kontroller er på plads og fungerer effektivt, og at du fortsat overholder vigtige bestemmelser.
Så nu kan du se, hvorfor HITRUST har en vis vægt bag sit navn – og hvorfor mange virksomheder kræver HITRUST CSF-certificering af de tredjepartsleverandører, de samarbejder med. Uanset om du er et hospital, et forsikringsselskab, en teknisk virksomhed eller en anden type tjenesteudbyder, er det en rigtig god idé at opnå HITRUST CSF-certificering, hvis du håndterer nogen form for personligt identificerbare oplysninger (PII).
Hvad du ellers bør vide om HITRUST, før du går i gang
HITRUST tilbyder to vurderingsmuligheder.
Den første er en beredskabsvurdering (nogle gange kaldet en vurdering af mangler eller en selvevaluering). Det er den måde, hvorpå du afgør, hvad du allerede har på plads, som opfylder HITRUST CSF-kravene, og hvad du ikke har. Desuden identificerer den yderligere, hvad du skal gøre for at afhjælpe eventuelle huller.
Den anden er en valideret vurdering, som er et krav for HITRUST CSF-certificering. Den skal udføres af en HITRUST-godkendt ekstern assessor. Vurderingsmanden bruger HITRUST CSF’s vurderingsmetodologi, og kontrollerne scorer ved hjælp af HITRUST’s modenhedstilgang til implementering af kontrol.
MyCSF® er HITRUST’s webbaserede vurderingsværktøj, der hjælper organisationer med at spore og strømline hele processen for overholdelse og risikostyring – udfyldelse af parametre, fastlæggelse af omfang og upload af beviser. Det er også det samme værktøj, som eksterne assessorer bruger til at udføre validerede vurderinger.
Arbejde med en assessor som Wipfli fra starten kan være med til at forbedre din organisations effektivitet og forståelse, da de kender HITRUST ud og ind og kan hjælpe dig med at navigere i kravene og den overordnede proces. Hvis du gerne vil vide mere om, hvordan Wipfli kan hjælpe, kan du klikke her.
Og læs videre på:
HITRUST vs. HIPAA: Hvad er forskellen?
HITRUST vs SOC 2: Udnyttelse af den bedste vej til sikkerhed
Fælles misforståelser fra en HITRUST-autoriseret ekstern assessor
Vej til HITRUST-certificering: Fem grunde til at starte nu