HITRUST® on monien tietoturva- ja vaatimustenmukaisuuden asiantuntijoiden keskuudessa tunnettu nimi, jolla on paljon painoarvoa. Ja siihen on erittäin hyvä syy. Mutta ennen kuin menemme siihen, miksi HITRUST on tärkeä, puhutaan ensin siitä, mikä HITRUST tarkalleen ottaen on.
Mikä on HITRUST?
HITRUST perustettiin vuonna 2007, ja se on tietoturvaan, yksityisyydensuojaan ja riskienhallintaan keskittyvä organisaatio. Se kehitti HITRUST CSF®:n tarjotakseen organisaatioille kattavan tietoturva- ja tietosuojaohjelman, joka on suunniteltu tietojen, vaatimustenmukaisuuden ja riskien hallintaan. Siitä on tullut laajimmin hyväksytty tietoturva- ja yksityisyydensuojakehys eri toimialoilla maailmanlaajuisesti.
Sertifioimalla itsensä HITRUST CSF:n mukaiseksi organisaatio voi osoittaa noudattavansa tätä kehystä kaikille, jotka tarvitsevat tätä varmuutta, kuten terveydenhuollon tarjoajille, sairaaloille ja vakuutusyhtiöille sekä kaikille muille organisaatioille, jotka tarvitsevat varmuutta.
HITRUSTissa on hienoa se, että se on kartoittanut eri kehykset ja määräykset – kuten National Institute of Standards and Technologyn (NIST), Kansainvälisen standardisoimisjärjestön (ISO) ja Health Insurance Portability and Accountability Actin (HIPAA) määrittelemät kehykset ja määräykset – yhdeksi ainoaksi keskitetyksi valvontatietovarastoksi. HITRUST CSF -viitekehyksen noudattaminen auttaa sinua noudattamaan kaikkia näitä muita viitekehyksiä ja säädöksiä, mikä auttaa sinua vähentämään aikaa ja vaivaa, jota organisaatiosi joutuu käyttämään vuosittain sääntöjen noudattamiseen. Mieti hetki, miten mukavaa olisi tietää, että organisaatiosi noudattaa HIPAA:ta tai mitä tahansa muuta sääntelyvaatimusta tekemällä yhden ainoan arvioinnin. Tällaista mielenrauhaa HITRUST pyrkii tarjoamaan sekä arvioiduille organisaatioille että vastaanottajille.
Miksi HITRUSTilla on väliä
HITRUSTilla on väliä, koska se auttaa hallitsemaan riskejä, vähentämään tietomurron mahdollisuutta ja todistamaan ulkopuolisille, että suhtaudut vakavasti tietoturvaan ja vaatimustenmukaisuuteen.
HITRUSTissa on 19 osa-aluetta, jotka arvioidaan HITRUST CSF -sertifioinnin yhteydessä. Nämä osa-alueet kattavat valtavan määrän tietoturvaa ja yksityisyyttä koskevia huolenaiheita. Heidän päämääränään on varmistaa, että sinulla on kaikki tarvittavat kontrollit käytössäsi, jotta organisaatiosi päivittäisten toimintojen kautta ottamia riskejä voidaan vähentää huomattavasti.
HITRUST haluaa esimerkiksi varmistaa, että organisaatiosi suojaa mobiililaitteita, julkaisee korjaustiedostoja, jotka estävät hakkereita paljastamasta haavoittuvuutta ja pääsemästä käsiksi järjestelmiisi, tarkistaa toimittajiesi tietoturvaohjelmat varmistaakseen, että tietosi ovat turvallisissa käsissä, ja rajoittaa sitä, kenellä on korkeammat oikeudet verkkoosi pääsyssä. Se haluaa varmistaa, että sinulla on liiketoiminnan jatkuvuutta, katastrofista toipumista ja tietoturvaloukkauksiin reagoimista koskevat suunnitelmat.
HITRUST CSF -sertifioinnin aikana organisaatiosi voi paljastaa nykyiset puutteet valvonnassaan ja määritellä, mitä sen on toteutettava näiden puutteiden korjaamiseksi ja riskien pienentämiseksi.
HITRUST CSF -sertifioinnissa on myös se lisäarvo, että se on jatkuva ohjelma. Järjestelmä sertifioidaan uudelleen kahden vuoden välein, ja välivuosina suoritetaan välitarkastus, jossa valitaan satunnaisesti erilaisia valvontakeinoja ja määritetään, noudatetaanko kyseisiä valvontakeinoja edelleen. Näin saat vuosittain varmuuden siitä, että kontrollit ovat käytössä ja toimivat tehokkaasti ja että noudatat edelleen tärkeitä säännöksiä.
Voit siis nyt ymmärtää, miksi HITRUSTilla on painoarvoa nimensä takana – ja miksi monet yritykset vaativat HITRUST CSF -sertifiointia ulkopuolisilta toimittajilta, joiden kanssa ne tekevät yhteistyötä. Olitpa sitten sairaala, vakuutusyhtiö, teknologiayritys tai muunlainen palveluntarjoaja, jos käsittelet minkä tahansa tyyppisiä henkilökohtaisesti tunnistettavia tietoja (PII), HITRUST CSF -sertifioinnin saavuttaminen on erittäin hyvä ajatus.
Mitä muuta sinun pitäisi tietää HITRUSTista, ennen kuin aloitat
HITRUST tarjoaa kaksi arviointivaihtoehtoa.
Ensimmäinen on valmiusarviointi (jota kutsutaan toisinaan myös aukkoarvioinniksi tai itsearvioinniksi). Sen avulla määritetään, mitä HITRUSTin CSF-vaatimusten mukaisia asioita sinulla on jo käytössäsi ja mitä ei. Lisäksi siinä määritetään, mitä sinun on tehtävä puutteiden korjaamiseksi.
Toinen on validoitu arviointi, joka vaaditaan HITRUST CSF -sertifiointia varten. Sen on oltava HITRUSTin hyväksymän ulkoisen arvioijan suorittama. Arvioija käyttää HITRUST CSF:n arviointimenetelmää, ja kontrollit pisteytetään käyttäen HITRUSTin kypsyyslähestymistapaa kontrollien toteuttamiseen.
MyCSF® on HITRUSTin verkkopohjainen arviointityökalu, joka auttaa organisaatioita seuraamaan ja virtaviivaistamaan koko vaatimustenmukaisuus- ja riskinhallintaprosessia – parametrien täyttämistä, laajuuden määrittämistä ja todisteiden lataamista. Se on myös sama työkalu, jota ulkoiset arvioijat käyttävät suorittaessaan validoituja arviointeja.
Työskentely Wipflin kaltaisen arvioijan kanssa alusta alkaen voi auttaa parantamaan organisaatiosi tehokkuutta ja ymmärrystä, koska he tuntevat HITRUSTin läpikotaisin ja voivat auttaa sinua navigoimaan vaatimuksissa ja kokonaisprosessissa. Jos haluat lisätietoja siitä, miten Wipfli voi auttaa, klikkaa tästä.
Od continue reading on:
HITRUST vs. HIPAA:
HITRUST vs. SOC 2: Hyödyntämällä parasta tietä varmuuteen
Yleisiä väärinkäsityksiä HITRUST-valtuutetulta ulkopuoliselta arvioijalta
Tie HITRUST-sertifiointiin: Viisi syytä aloittaa nyt