A HITRUST® sok biztonsági és megfelelőségi szakértő körében jól ismert névvé vált, és nagy súlya van. És ennek nagyon jó oka van. Mielőtt azonban rátérnénk arra, hogy miért fontos a HITRUST, beszéljünk arról, hogy mi is pontosan a HITRUST.
Mi a HITRUST?
A 2007-ben alapított HITRUST egy olyan szervezet, amely a biztonságra, az adatvédelemre és a kockázatkezelésre összpontosít. Azért fejlesztette ki a HITRUST CSF®-t, hogy a szervezetek számára átfogó biztonsági és adatvédelmi programot biztosítson, amelynek célja az adatok, a megfelelés és a kockázatok kezelése. A HITRUST CSF a legszélesebb körben elfogadott biztonsági és adatvédelmi keretrendszerré vált világszerte.
A HITRUST CSF szerinti tanúsítással egy szervezet bizonyítani tudja a keretrendszernek való megfelelését bárki számára, akinek szüksége van erre a biztosítékra, az egészségügyi szolgáltatóktól kezdve a kórházakon és biztosítótársaságokon át bármely más, biztosítékot igénylő szervezetig.
A HITRUST-ban az a jó, hogy a különböző keretrendszereket és szabályozásokat – például a Nemzeti Szabványügyi és Technológiai Intézet (NIST), a Nemzetközi Szabványügyi Szervezet (ISO) és az Egészségbiztosítási hordozhatósági és elszámoltathatósági törvény (HIPAA) által meghatározottakat – egyetlen központi ellenőrzési tárházba illesztette. A HITRUST CSF keretrendszernek való megfelelés segít Önnek abban, hogy megfeleljen az összes többi keretrendszernek és szabályozásnak, így csökkentheti a szervezetének évente a megfelelésre fordítandó összes időt és erőfeszítést. Gondoljon csak egy pillanatra arra, milyen jó lenne tudni, hogy szervezete egyetlen értékelés elvégzésével megfelel a HIPAA vagy bármely más szabályozási követelménynek. A HITRUST célja, hogy ilyen nyugalmat nyújtson az értékelt szervezeteknek és a címzetteknek egyaránt.
Miért fontos a HITRUST
A HITRUST azért fontos, mert segít a kockázatok kezelésében, csökkenti az adatbiztonság megsértésének esélyét, és bizonyítja a külső feleknek, hogy komolyan veszi a biztonságot és a megfelelőséget.
A HITRUST 19 területet értékel a HITRUST CSF tanúsítás során. Ezek a területek a biztonsági és adatvédelmi aggályok széles skáláját fedik le. A végső céljuk az, hogy megbizonyosodjanak arról, hogy Ön rendelkezik az összes szükséges ellenőrzéssel ahhoz, hogy drasztikusan csökkentse a szervezet által a mindennapi működése során vállalt kockázatot.
A HITRUST néhány példával élve meg akar győződni arról, hogy a szervezete olyan dolgokat tesz, mint a mobileszközök biztosítása, javítások kiadása annak megakadályozására, hogy a hackerek sebezhetőséget fedjenek fel és hozzáférjenek a rendszereihez, a szállítók biztonsági programjainak felülvizsgálata annak érdekében, hogy az adatok biztonságos kezekben legyenek, valamint annak korlátozása, hogy ki rendelkezik megnövelt jogosultságokkal a hálózatához. Biztosítani akarja, hogy rendelkezzen üzletmenet-folytonossági, katasztrófa-helyreállítási és jogsértésre reagáló tervekkel.
A HITRUST CSF tanúsítás során a szervezet feltárhatja a meglévő hiányosságokat az ellenőrzéseiben, és meghatározhatja, hogy mit kell végrehajtania a hiányosságok megszüntetése és a kockázat csökkentése érdekében.
A HITRUST CSF azt a hozzáadott értéket is biztosítja, hogy egy folyamatos program. Kétévente újratanúsít, a közbeeső években pedig időközi ellenőrzést végez, amely véletlenszerűen kiválaszt különböző ellenőrzéseket, és meghatározza, hogy ezeket az ellenőrzéseket továbbra is követik-e. Így évente megbizonyosodhat arról, hogy a kontrollok a helyükön vannak és hatékonyan működnek, és hogy továbbra is megfelelnek a fontos előírásoknak.
Most már érti, miért van a HITRUST-nak némi súlya a neve mögött – és miért követeli meg sok vállalat a HITRUST CSF tanúsítást a harmadik féltől származó szállítóktól, akikkel együtt dolgoznak. Nem számít, hogy kórház, biztosítótársaság, technológiai vállalat vagy más típusú szolgáltató, ha bármilyen típusú személyazonosításra alkalmas információt (PII) kezel, a HITRUST CSF tanúsítás megszerzése nagyon jó ötlet.
Mit kell még tudnia a HITRUST-ról, mielőtt elkezdi
A HITRUST két értékelési lehetőséget kínál.
Az első a felkészültségi értékelés (amelyet néha hiányértékelésnek vagy önértékelésnek is neveznek). Ennek segítségével határozza meg, hogy mi az, ami már most is megfelel a HITRUST CSF követelményeinek, és mi az, ami még nem. Ezenkívül meghatározza, hogy mit kell tennie a hiányosságok megszüntetése érdekében.
A második egy validált értékelés, amely a HITRUST CSF tanúsításhoz szükséges. Ezt egy HITRUST által jóváhagyott külső értékelőnek kell elvégeznie. Az értékelő a HITRUST CSF értékelési módszertanát használja, és a kontrollokat a HITRUST kontrollok megvalósítására vonatkozó érettségi megközelítése alapján pontozza.
A MyCSF® a HITRUST webalapú értékelési eszköze, amely segít a szervezeteknek nyomon követni és egyszerűsíteni a teljes megfelelőségi és kockázatkezelési folyamatot – a paraméterek kitöltését, a hatály meghatározását és a bizonyítékok feltöltését. Ugyanezt az eszközt használják a külső értékelők is a hitelesített értékelések elvégzéséhez.
Az olyan értékelővel való együttműködés, mint a Wipfli, már a kezdetektől fogva hozzájárulhat a szervezet hatékonyságának és megértésének javításához, mivel az értékelő kívül-belül ismeri a HITRUST-ot, és segíthet eligazodni a követelmények és a teljes folyamat között. Ha többet szeretne megtudni arról, hogyan segíthet a Wipfli, kattintson ide.
Vagy olvasson tovább:
HITRUST vs HIPAA:
HITRUST vs SOC 2: A bizonyossághoz vezető legjobb út kihasználása
GYakori tévhitek egy HITRUST felhatalmazott külső értékelőtől
A HITRUST tanúsításhoz vezető út: Öt ok arra, hogy most kezdje el