Wśród wielu ekspertów ds. bezpieczeństwa i zgodności, HITRUST® stał się dobrze znaną nazwą z dużą wagą za nią. I to z bardzo dobrego powodu. Ale zanim zajmiemy się tym, dlaczego HITRUST jest ważny, porozmawiajmy o tym, czym dokładnie jest HITRUST.
Czym jest HITRUST?
Założony w 2007 roku, HITRUST jest organizacją skupiającą się na bezpieczeństwie, prywatności i zarządzaniu ryzykiem. Opracowała ona HITRUST CSF®, aby zapewnić organizacjom kompleksowy program bezpieczeństwa i prywatności zaprojektowany w celu zarządzania danymi, zgodnością i ryzykiem. Stało się to najszerzej przyjętym programem bezpieczeństwa i prywatności w różnych branżach na całym świecie.
Poprzez certyfikację w odniesieniu do HITRUST CSF, organizacja może zademonstrować swoją zgodność z ramami dla każdego, kto potrzebuje tego zapewnienia, od dostawców usług medycznych, szpitali i firm ubezpieczeniowych, do każdej innej organizacji potrzebującej zapewnienia.
Miłą rzeczą w HITRUST jest to, że zmapował on różne ramy i regulacje – takie jak te ustanowione przez National Institute of Standards and Technology (NIST), International Organization for Standardization (ISO) i Health Insurance Portability and Accountability Act (HIPAA) – w jedno centralne repozytorium kontroli. Bycie w zgodzie z HITRUST CSF Framework pomaga być w zgodzie z wszystkimi innymi ramami i regulacjami, pomagając zmniejszyć ogólną ilość czasu i wysiłku, który Twoja organizacja musi poświęcić rocznie na zapewnienie zgodności. Zastanów się przez chwilę, jak miło byłoby wiedzieć, że Twoja organizacja jest zgodna z HIPAA lub innymi wymaganiami regulacyjnymi poprzez przeprowadzenie pojedynczej oceny. To jest właśnie ten rodzaj spokoju ducha, który HITRUST ma na celu zapewnić zarówno ocenianym organizacjom, jak i odbiorcom.
Dlaczego HITRUST ma znaczenie
HITRUST ma znaczenie, ponieważ pomaga zarządzać ryzykiem, zmniejszyć szanse na naruszenie danych i udowodnić stronom zewnętrznym, że traktujesz bezpieczeństwo i zgodność z przepisami poważnie.
HITRUST ma 19 domen, które są oceniane, gdy poddajesz się certyfikacji HITRUST CSF. Domeny te obejmują ogromny zakres problemów związanych z bezpieczeństwem i prywatnością. Ich celem jest upewnienie się, że posiadasz wszystkie niezbędne mechanizmy kontrolne, aby drastycznie zredukować ryzyko, jakie podejmuje Twoja organizacja poprzez swoje codzienne działania.
Aby podać kilka przykładów, HITRUST chce się upewnić, że Twoja organizacja robi takie rzeczy, jak zabezpieczanie urządzeń mobilnych, wypuszczanie łatek, aby zapobiec ujawnieniu przez hakerów luk w zabezpieczeniach i uzyskaniu dostępu do Twoich systemów, przegląd programów bezpieczeństwa Twoich dostawców, aby upewnić się, że Twoje dane są w bezpiecznych rękach, oraz ograniczenie osób z podwyższonymi uprawnieniami do Twojej sieci. Chce się upewnić, że posiadasz plany ciągłości biznesowej, odzyskiwania danych po awarii i reagowania na naruszenia.
Poddając się Certyfikacji HITRUST CSF, Twoja organizacja może odkryć istniejące luki w swoich kontrolach i określić, co musi wdrożyć, aby zamknąć te luki i zmniejszyć swoje ryzyko.
HITRUST CSF zapewnia również wartość dodaną bycia ciągłym programem. Ponowna certyfikacja odbywa się co dwa lata, a w latach pomiędzy nimi przeprowadza się okresową kontrolę, w ramach której losowo wybiera się różne kontrole i określa, czy są one nadal przestrzegane. W ten sposób można uzyskać coroczne zapewnienie, że kontrole są na miejscu i działają efektywnie, i że pozostają w zgodności z ważnymi przepisami.
Więc, teraz możesz zobaczyć, dlaczego HITRUST ma pewną wagę za swoją nazwą – i dlaczego wiele firm wymaga Certyfikatu HITRUST CSF od zewnętrznych dostawców, z którymi współpracują. Nie ważne czy jesteś szpitalem, firmą ubezpieczeniową, firmą techniczną czy innego rodzaju dostawcą usług, jeśli obsługujesz jakikolwiek rodzaj danych osobowych (PII), uzyskanie Certyfikatu HITRUST CSF jest bardzo dobrym pomysłem.
Co jeszcze powinieneś wiedzieć o HITRUST zanim zaczniesz
HITRUST zapewnia dwie opcje oceny.
Pierwszą z nich jest ocena gotowości (czasami nazywana oceną luki lub samooceną). W ten sposób określasz, co już masz na miejscu, co spełnia wymagania HITRUST CSF, a co nie. Dodatkowo, identyfikuje ona, co należy zrobić, aby zlikwidować luki.
Druga to zwalidowana ocena, która jest wymagana do certyfikacji HITRUST CSF. Musi być ona przeprowadzona przez zatwierdzonego przez HITRUST zewnętrznego asesora. Asesor używa metodologii oceny HITRUST CSF, a kontrole są oceniane przy użyciu podejścia dojrzałości HITRUST do wdrażania kontroli.
MyCSF® jest internetowym narzędziem oceny HITRUST, które pomaga organizacjom śledzić i usprawniać cały proces zgodności i zarządzania ryzykiem – wypełnianie parametrów, określanie zakresu i przesyłanie dowodów. Jest to również to samo narzędzie używane przez zewnętrznych asesorów do przeprowadzania walidowanych ocen.
Współpraca z asesorem takim jak Wipfli od samego początku może pomóc poprawić wydajność i zrozumienie organizacji, ponieważ znają oni HITRUST na wylot i mogą pomóc w poruszaniu się po wymaganiach i całym procesie. Jeśli chcesz dowiedzieć się więcej o tym, jak Wipfli może pomóc, kliknij tutaj.
Albo kontynuuj czytanie dalej:
HITRUST vs HIPAA: Jaka jest różnica?
HITRUST vs SOC 2: Wykorzystanie najlepszej ścieżki do zapewnienia
Wspólne błędne przekonania Autoryzowanego Asesora Zewnętrznego HITRUST
Ścieżka do Certyfikacji HITRUST: Pięć powodów, dla których warto zacząć już teraz