HITRUST合规
HITRUST通用安全框架(CSF)允许医疗保健实体证明符合许多不同的标准和法规,例如HIPAA, ISO, NIST, SOC 2, GDPR, PCI, CMS, MARS-E, and more. 你可以在这里了解更多关于他们的背景:http://hitrustalliance.net/about-us/
HITRUST脑脊液评估人员之一,LBMC 网络安全 参与了将医疗保险和医疗补助服务中心(CMS)和NIST的安全标准整合到HITRUST联盟框架中的工作. In 2010, 我们成为首批HITRUST脑脊液评估组织之一, making us exceptionally qualified to use HITRUST脑脊液 to assure your organization’s information is safe and secure.
浏览合乐官网app下载服务小册子 (PDF)
什么是HITRUST?
HITRUST, 与私营部门的领导人合作, 政府, 技术, 以及信息隐私和安全空间, 建立HITRUST脑脊液, 可被任何组织使用的可认证框架, accesses, stores, 或者交换敏感信息.
每个组织都可以获得梦寐以求的HITRUST脑脊液认证, 但这需要一点耐心, 很多行政支持, and, 有时, 援助之手.
Learn more about HITRUST, HITRUST脑脊液, and the top six key benefits of using a HITRUST assessment.
点播研讨会时间:0:05:47
Speaker:
- Robyn Barton, 股东, Practice Leader, HITRUST Authorized External Assessor Council & 质素小组委员会委员
您的政策和程序是否符合HITRUST标准?
Whether you are maintaining your existing HITRUST certification or pursuing certification for the first time, now may be a good time to review the HITRUST guidance and ensure your policies and procedures are up to par.
1. 政策和程序的适用性
The policy and procedure maturity levels and associated scoring are only applicable for a r2 assessment. 记住, however, that even though focus of the e1 and i1 assessments is on control implementation only, some requirement statements will still necessitate review of policy and procedure documents.
2. 政策和程序潜伏期
补救或新实施的政策或程序必须到位的最少天数为60天. 对于当前处于补救阶段的组织, policy and procedure updates need to be in existence for 60 days in order to be assessed during testing. 另外, 对于正在进行验证评估的组织, 可以利用已实施60天的政策和程序. Note: the number of days for implemented, measured, and managed maturity levels is 90 days.
3. 策略和程序评分
政策和程序的成熟度等级是根据 HITRUST控制成熟度评分标准 基于对政策或程序强度的计算, as well as the percentage of evaluative elements being addressed by the documentation.
4. 政策及程序格式
HITRUST引用了策略和过程的以下定义.
| Document | 定义 |
| Policy | 由管理层正式表达的总体意图和方向, most often articulated in documents that record high-level principles or course of actions; the intended purpose is to influence and guide both present and future decision making to be in line with the philosophy, 企业管理团队制定的目标和战略计划. |
| Procedure | 执行符合适用标准的特定操作所需步骤的详细描述. 过程被定义为过程的一部分. |
请注意,HITRUST并不要求策略语句只存在于策略文档中,或者过程只存在于过程文档中. Documentation can take many forms, including standards, handbooks, guidelines, directives, etc.
关于HITRUST的误解
HITRUST®通过帮助解决众多安全问题,继续在市场上取得巨大的增长和成功, 组织面临的隐私和监管挑战. 当公司开始他们的HITRUST之旅时,我们经常听到一些常见的误解.
1. 你能通过HIPAA认证吗?
不幸的是, the HIPAA Security Rule’s numerous standards and implementation specifications for administrative, 技术和物理保障措施, 不管这些术语意味着什么, lack the prescription necessary for actual implementation by a healthcare organization. HITRUST脑脊液®映射到HIPAA安全规则, 违反通知, and Privacy Rule as optional regulatory factors that can be selected for inclusion in a r2 assessment. 当选择, these will provide reasonable assurance that your organization is satisfying the rule’s requirements. 另外, HITRUST为HIPAA提供了MyCSF合规性和报告包,该包编译了来自r2评估的证据,并生成了一份报告,该报告将适用的HIPAA要求解析为组织的HITRUST评估. This report can be shared directly with auditors or investigators to demonstrate compliance.
2. 如果我不是医疗保健实体,我仍然可以获得HITRUST认证吗?
绝对! HITRUST, 与隐私合作, information security and risk management leaders from the public and private sectors, develops, maintains and provides broad access to its widely-adopted risk and compliance management framework. 它现在包括46+地图权威来源,并在包括制造业在内的广泛行业中具有很强的采用率, banking, 航空公司/娱乐, 和电信. Indeed, 如果你进入了这些行业, 您可能听说过HITRUST是一种使用HITRUST脑脊液来沟通组织安全和隐私实践的方式.
3. A popular misconception is that HITRUST came about as a result of failed OCR HIPAA audits, 这是真的吗??
OCR的HIPAA审计直到2011年才开始. HITRUST成立于2007年. 自2010年2月以来,LBMC一直是HITRUST脑脊液的坚定支持者.
4. 组织能否通过NIST网络安全框架认证?
NIST网络安全框架(CSF)是一套全球公认的标准,为组织提供了设计所需的基本要素, assess, 使他们的网络安全计划成熟.
HITRUST认识到许多组织更喜欢NIST网络安全框架中定义的报告结构. 结合r2验证评估, HITRUST发布NIST CSF报告记分卡,详细说明组织对HITRUST脑脊液框架中包含的NIST网络安全框架相关控制的遵守情况.
5. HITRUST程序是真正的一次评估,多次报告™审核程序吗?
Yes. 经验丰富的审计公司已经开发了流程,使其员工能够结合多种审计需求的标准,并通过提高效率将这些节省应用到您的组织中, 减少审计疲劳, 更高的质量, 结果的一致性和可靠性. 如果审计公司劝阻你不要采用这种方法, 他们可能没有员工技能或工具来正确执行.
6. HITRUST脑脊液框架的设计是否允许我获得ISO 27001认证?
The HITRUST脑脊液 framework and certification process can be leveraged to assist with ISO 27001 certification efforts. 和任何评估一样, 一定要对服务提供商的技能和知识做足功课,进行任何评估或准备考试. 当需要多个报告选项时,结合安全性和/或隐私评估测试可以获得许多好处. 在合并评估时, 从项目的规划阶段开始,必须考虑认证的意图和具体要求.
在最近的HITRUST白皮书中描述了一个很好的例子. http://hitrustalliance.net/casestudy/leveraging-hitrust-mycsf-to-maintain-iso-27001-certification/以下是HITRUST关于该主题的常见问题解答中的几点, if you are seeking a firm that can support you in your pursuit of multiple certifications:
- The focus of an ISO 27001 certification is on the information security management system (ISMS), which includes an evaluation of the information security risk assessment and treatment processes. However, 组织可以根据需要设计控制, 或从任何来源识别它们”(ISO 27001), § 6.1.3.b, p. 4). Further, 尽管ISO 27001附件A包含控制目标和控制的清单, they are not exhaustive and additional control objectives and controls may be needed” (Ibid., § 6.1.3.c, p. 4). And although the ISO assessor must produce a “Statement of Applicability that contains the necessary controls (see 6.1.(b和c)和纳入的理由, 不管它们是否被执行, 以及从附件A中排除管制的理由”(同上)., § 6.1.3.d, p. 4),不超出附件A的要求. 随后, 组织在他们指定的控制方面有很大的自由度,以在适合他们风险偏好的水平上处理他们识别的风险. ISO certification assessors also have some latitude in how they assess the effectiveness of the controls, 除了帮助组织准备ISO认证的顾问不执行认证评估的一般要求外,没有对评估进行质量控制.
- HITRUST脑脊液提供了一个全面的基线, 为特定组织量身定制的规定性控制需求, 系统和监管风险因素. 由这些基线需求规定的详细测试过程关注于使用特定的, 严格的评估方法和评分模型,以衡量组织中对ePHI的过度剩余风险的水平. Like ISO, 测试必须由经批准的评估人员进行, 被HITRUST称为授权外部评估机构. 质量保证由HITRUST提供.
关于这个主题的更多信息可以找到 here.
客户证明
HITRUST服务
HITRUST准备就绪和专业知识
作为HITRUST评估员,LBMC 网络安全当您踏上认证之旅并在任何行业中建立一个知名且普遍接受的安全框架时,合乐官网app下载专家可以帮助确保您的组织为HITRUST做好准备.
HITRUST认证
HITRUST开发了一个保证程序,允许针对框架进行独立的HITRUST认证或验证. 这些验证或认证业务必须由组织(评估人员)执行,这些组织(评估人员)必须经过HITRUST的专门培训和审查,具有医疗保健信息安全方面的经验和专业知识.
HITRUST中期评估
根据HITRUST的要求, an interim assessment must be completed as a follow-up after the first year of Certification. LBMC 网络安全 是否可以根据HITRUST脑脊液来评估组织的当前状态,并利用收集到的任何证据向HITRUST提交年度审查信.
HITRUST桥梁评估
由于旅行限制,COVID-19大流行给开展HITRUST脑脊液评估的某些方面造成了困难, meetings, 以及访问公司网站的权限. In response, HITRUST issued guidance for requesting an extension to the certification period. If you are seeking an external assessor to perform the assessment, LBMC stands ready to assist you. 拥有十年帮助公司满足HITRUST需求的经验, 以及业内最有经验的团队, 我们哪也不去!
网络研讨会:HITRUST 1评估
- 什么是HITRUST i1实施验证评估和认证?
- 为什么要创建这个新选项?
- i1和r2之间的关键区别.
- 如何选择适合你的选项.
按需网络研讨会时长:7:36
作为评估师“十年俱乐部”的负责人, LBMC stands as the longest-serving assessor in the business with the most experienced team in the industry. 回到2010年2月, 合乐官网app下载领导人签名加入了这场运动,这场运动已经成为当今安全和隐私评估的黄金标准. We have cultivated a team of assessors led by experts who have been contributing to this success the longest.
我们已经帮助无数组织实现了他们的目标 HITRUST脑脊液 认证的目标. 是的,我们在这一过程中吸取了很多教训. In fact, we are assessor council members and assist the industry with education and outreach. 我们感到被强迫, 也有一定的义务, to offer some words of encouragement and advice to those that are embarking on this journey. 请随时与我们联系,了解我们如何帮助您完成您的旅程!
管理团队
We’re happy to answer any questions you may have on what our security experts can do for you. 提交以下表格,合乐官网app下载专业人员将及时回复您.