För många experter på säkerhet och efterlevnad har HITRUST® blivit ett välkänt namn med stor betydelse. Och det är av en mycket god anledning. Men innan vi går in på varför HITRUST är viktigt, låt oss tala om vad exakt HITRUST är.
Vad är HITRUST?
HITRUST grundades 2007 och är en organisation som fokuserar på säkerhet, integritet och riskhantering. Den utvecklade HITRUST CSF® för att förse organisationer med ett omfattande säkerhets- och sekretessprogram som är utformat för att hantera data, efterlevnad och risker. Det har blivit det mest använda ramverket för säkerhet och sekretess inom olika branscher globalt.
Genom att certifiera sig mot HITRUST CSF kan en organisation visa att den uppfyller ramverket för alla som behöver denna försäkran, från vårdgivare, sjukhus och försäkringsbolag till alla andra organisationer som behöver försäkran.
Det fina med HITRUST är att det har kartlagt olika ramar och bestämmelser – t.ex. de som fastställts av National Institute of Standards and Technology (NIST), International Organization for Standardization (ISO) och Health Insurance Portability and Accountability Act (HIPAA) – i ett centralt kontrollregister. Att följa HITRUST CSF-ramverket hjälper dig att följa alla dessa andra ramverk och förordningar, vilket hjälper dig att minska den totala mängden tid och arbete som din organisation måste lägga ner årligen på efterlevnad. Ta en sekund och tänk på hur trevligt det skulle vara att veta att din organisation uppfyller HIPAA eller något av de andra lagstadgade kraven genom att utföra en enda bedömning. Det är den sortens sinnesfrid som HITRUST syftar till att ge både bedömda organisationer och mottagare.
Varför HITRUST är viktigt
HITRUST är viktigt eftersom det hjälper dig att hantera risker, minska risken för dataintrång och bevisa för utomstående parter att du tar säkerheten och efterlevnaden på allvar.
HITRUST har 19 domäner som bedöms när du genomgår HITRUST CSF-certifiering. Dessa domäner täcker ett stort antal säkerhets- och integritetsfrågor. Deras slutmål är att se till att du har alla nödvändiga kontroller på plats för att drastiskt minska den risk som din organisation tar på sig genom sin dagliga verksamhet.
För att ge några exempel vill HITRUST se till att din organisation gör saker som att säkra mobila enheter, släppa patchar för att förhindra att hackare avslöjar en sårbarhet och får tillgång till dina system, se över säkerhetsprogrammen hos dina leverantörer för att se till att dina data är i trygga händer, och begränsa vem som har förhöjda privilegier i ditt nätverk. Den vill se till att ni har planer för affärskontinuitet, katastrofåterställning och åtgärder vid överträdelser.
Under HITRUST CSF-certifieringen kan din organisation avslöja befintliga luckor i sina kontroller och avgöra vad den behöver genomföra för att täppa till dessa luckor och minska sin risk.
HITRUST CSF har också det mervärde att det är ett kontinuerligt program. Du recertifierar vartannat år, och under åren däremellan utför du en interimskontroll där du slumpmässigt väljer ut olika kontroller och fastställer om dessa kontroller fortfarande följs. På så sätt kan du få en årlig bekräftelse på att dina kontroller är på plats och fungerar effektivt, och att du fortsätter att följa viktiga bestämmelser.
Så, nu förstår du varför HITRUST har en viss tyngd bakom sitt namn – och varför många företag kräver HITRUST CSF-certifiering av de tredjepartsleverantörer som de samarbetar med. Oavsett om du är ett sjukhus, försäkringsbolag, teknikföretag eller annan typ av tjänsteleverantör, om du hanterar någon typ av personligt identifierbar information (PII), är det en mycket god idé att uppnå HITRUST CSF-certifiering.
Vad mer du bör veta om HITRUST innan du sätter igång
HITRUST erbjuder två bedömningsalternativ.
Den första är en beredskapsbedömning (ibland kallad en gapbedömning eller en självbedömning). Det är så du bestämmer vad du redan har på plats som uppfyller HITRUST CSF-kraven och vad du inte har. Dessutom identifierar den ytterligare vad du behöver göra för att åtgärda eventuella brister.
Den andra är en validerad bedömning, som krävs för HITRUST CSF-certifiering. Den måste utföras av en HITRUST-godkänd extern bedömare. Bedömaren använder HITRUST CSF:s bedömningsmetodik och kontrollerna poängsätts med hjälp av HITRUST:s mognadsstrategi för genomförande av kontroller.
MyCSF® är HITRUST:s webbaserade bedömningsverktyg som hjälper organisationer att spåra och effektivisera hela processen för efterlevnad och riskhantering – att fylla i parametrar, bestämma omfattningen och ladda upp bevis. Det är också samma verktyg som används av externa bedömare för att utföra validerade bedömningar.
Att arbeta med en bedömare som Wipfli från början kan bidra till att förbättra organisationens effektivitet och förståelse, eftersom de känner till HITRUST utan och innan och kan hjälpa dig att navigera i kraven och den övergripande processen. Om du vill veta mer om hur Wipfli kan hjälpa dig, klicka här.
Och fortsätt läsa på:
HITRUST vs HIPAA: Vad är skillnaden?
HITRUST vs SOC 2: Att utnyttja den bästa vägen till säkerhet
Gängse missuppfattningar från en HITRUST-auktoriserad extern bedömare
Vägen till HITRUST-certifiering: Fem skäl att börja nu