Parmi de nombreux experts en sécurité et en conformité, HITRUST® est devenu un nom connu qui a beaucoup de poids derrière lui. Et c’est pour une très bonne raison. Mais avant de voir pourquoi HITRUST est important, parlons de ce qu’est, exactement, HITRUST.
Qu’est-ce que HITRUST ?
Fondée en 2007, HITRUST est une organisation axée sur la sécurité, la confidentialité et la gestion des risques. Elle a développé le HITRUST CSF® pour fournir aux organisations un programme complet de sécurité et de confidentialité conçu pour gérer les données, la conformité et les risques. Il est devenu le cadre de sécurité et de confidentialité le plus largement adopté dans les industries à l’échelle mondiale.
En se certifiant par rapport au HITRUST CSF, une organisation peut démontrer sa conformité au cadre à quiconque a besoin de cette assurance, des fournisseurs de soins de santé, des hôpitaux et des compagnies d’assurance, à toute autre organisation ayant besoin de garanties.
Ce qui est bien avec HITRUST, c’est qu’elle a mis en correspondance différents cadres et réglementations – comme ceux établis par le National Institute of Standards and Technology (NIST), l’Organisation internationale de normalisation (ISO) et le Health Insurance Portability and Accountability Act (HIPAA) – en un seul référentiel de contrôle central. Être en conformité avec le cadre HITRUST CSF vous aide à être en conformité avec tous ces autres cadres et réglementations, ce qui vous permet de réduire le temps et les efforts que votre organisation doit consacrer chaque année à la conformité. Prenez une seconde et pensez à l’avantage que vous auriez de savoir que votre organisation est conforme à l’HIPAA ou à toute autre exigence réglementaire en effectuant une seule évaluation. C’est le genre de tranquillité d’esprit que HITRUST vise à fournir aux organisations évaluées et aux bénéficiaires.
Pourquoi HITRUST est important
HITRUST est important parce qu’il vous aide à gérer les risques, à réduire les chances d’une violation des données et à prouver aux parties extérieures que vous prenez la sécurité et la conformité au sérieux.
HITRUST a 19 domaines qui sont évalués lorsque vous vous soumettez à la certification HITRUST CSF. Ces domaines couvrent un large éventail de préoccupations en matière de sécurité et de confidentialité. Leur objectif final est de s’assurer que vous avez mis en place tous les contrôles nécessaires pour réduire considérablement le risque que votre organisation prend par le biais de ses opérations quotidiennes.
Pour donner quelques exemples, HITRUST veut s’assurer que votre organisation fait des choses comme sécuriser les appareils mobiles, publier des correctifs pour empêcher les pirates d’exposer une vulnérabilité et d’accéder à vos systèmes, examiner les programmes de sécurité de vos fournisseurs pour s’assurer que vos données sont entre de bonnes mains, et restreindre qui a des privilèges élevés sur votre réseau. Il veut s’assurer que vous avez des plans de continuité des activités, de reprise après sinistre et de réponse aux violations.
Pendant la certification HITRUST CSF, votre organisation peut découvrir les lacunes existantes dans ses contrôles et déterminer ce qu’elle doit mettre en œuvre pour combler ces lacunes et réduire son risque.
Le HITRUST CSF offre également la valeur ajoutée d’être un programme continu. Vous recertifiez tous les deux ans, et pour les années intermédiaires, vous effectuez un contrôle intermédiaire qui sélectionne au hasard différents contrôles et détermine si ces contrôles sont toujours suivis. De cette façon, vous pouvez obtenir l’assurance annuelle que vos contrôles sont en place et fonctionnent efficacement, et que vous restez en conformité avec les réglementations importantes.
Donc, maintenant vous pouvez voir pourquoi HITRUST a un certain poids derrière son nom – et pourquoi de nombreuses entreprises exigent la certification HITRUST CSF des fournisseurs tiers avec lesquels elles travaillent. Peu importe que vous soyez un hôpital, une compagnie d’assurance, une entreprise de technologie ou un autre type de fournisseur de services, si vous traitez tout type d’informations personnellement identifiables (PII), obtenir la certification HITRUST CSF est une très bonne idée.
Ce que vous devez savoir d’autre sur HITRUST avant de commencer
HITRUST fournit deux options d’évaluation.
La première est une évaluation de l’état de préparation (parfois appelée évaluation des écarts ou auto-évaluation). C’est ainsi que vous déterminez ce que vous avez déjà en place qui répond aux exigences du CSF HITRUST et ce que vous n’avez pas. De plus, elle identifie en outre ce que vous devez faire pour combler les lacunes.
La seconde est une évaluation validée, qui est requise pour la certification HITRUST CSF. Elle doit être menée par un évaluateur externe approuvé par HITRUST. L’évaluateur utilise la méthodologie d’évaluation d’HITRUST CSF, et les contrôles sont notés en utilisant l’approche de maturité d’HITRUST pour la mise en œuvre des contrôles.
MyCSF® est l’outil d’évaluation en ligne d’HITRUST qui aide les organisations à suivre et à rationaliser l’ensemble du processus de conformité et de gestion des risques – en remplissant les paramètres, en déterminant la portée et en téléchargeant les preuves. C’est également le même outil utilisé par les évaluateurs externes pour effectuer des évaluations validées.
Travailler avec un évaluateur comme Wipfli dès le départ peut aider à améliorer l’efficacité et la compréhension de votre organisation, car ils connaissent HITRUST sur le bout des doigts et peuvent vous aider à naviguer dans les exigences et le processus global. Si vous souhaitez en savoir plus sur la façon dont Wipfli peut vous aider, cliquez ici.
Ou poursuivez votre lecture sur :
HITRUST vs HIPAA : Quelle est la différence ?
HITRUST vs SOC 2 : tirer parti de la meilleure voie vers l’assurance
Les idées fausses courantes d’un évaluateur externe autorisé HITRUST
Le chemin vers la certification HITRUST : Cinq raisons de commencer maintenant