HITRUST合规

HITRUST, 与私营部门的领导人合作, 政府, 技术, 以及信息隐私和安全空间, 建立了HITRUST脑脊液, 一个可被任何组织使用的认证框架, 访问, 商店, 或者交换敏感信息.

每个组织都可以获得令人垂涎的HITRUST脑脊液认证, 但这需要一点耐心, 大量的行政支持, 而且, 有时, 伸出援助之手.

了解更多关于HITRUST、HITRUST脑脊液以及使用HITRUST评估的六个主要好处.

按需网络研讨会时间:0:05:47

发言人:

• 罗宾 巴顿，股东，实践领导者，HITRUST授权外部评估委员会 & 品质小组委员

无论您是保持现有的HITRUST认证，还是首次寻求认证, 现在可能是回顾HITRUST指南并确保您的策略和过程达到标准的好时机.

1. 政策和程序的适用性

策略和过程成熟度级别以及相关评分仅适用于r2评估.  记住, 然而, 尽管e1和i1评估的重点只是控制实施, 一些需求陈述仍然需要对策略和过程文档进行审查.

2. 政策和程序孵化期

经过补救或新实施的政策或程序必须到位才能考虑评分的最低天数为60天. 适用于目前处于补救阶段的组织, 政策和程序更新需要存在60天，以便在测试期间进行评估. 另外, 适用于正在进行有效评估的组织, 可使用已实施60天的政策和程序. 注意:实现的、度量的和管理的成熟度级别的天数是90天.

3. 政策与程序评分

策略和过程成熟度级别根据 HITRUST控制成熟度评分标准 基于策略或程序强度的计算, 以及文档处理的评估元素的百分比.

4. 政策及程序格式

HITRUST引用了以下策略和过程的定义.

请注意，HITRUST并不要求策略语句只存在于策略文档中，也不要求过程只存在于过程文档中. 文档可以采用多种形式，包括标准、手册、指南、指令等.

HITRUST®通过帮助解决多种安全问题，继续在市场上取得巨大的增长和成功, 组织面临的隐私和监管挑战. 当公司开始他们的HITRUST之旅时，金沙乐娱app下载经常听到常见的误解.

1. 你能通过HIPAA认证吗?

不幸的是, HIPAA安全规则的众多标准和实现规范的管理, 技术和物质保障, 不管这些术语意味着什么, 缺乏医疗机构实际实施所需的处方. HITRUST脑脊液®映射到HIPAA安全规则, 违反通知, 和隐私规则作为可选的监管因素，可选择纳入r2评估. 当选择, 这些将为您的组织满足规则需求提供合理的保证. 另外, HITRUST为HIPAA提供了MyCSF合规性和报告包，它汇编了r2评估的证据，并生成了一个报告，该报告将适用于组织的HITRUST评估的HIPAA要求进行解析. 该报告可以直接与审计师或调查人员共享，以证明合规性.

2. 如果我不是医疗保健实体，我仍然可以获得HITRUST认证吗?

绝对! HITRUST, 与隐私合作, 来自公共和私营部门的信息安全和风险管理领导者, 发展, 维护并提供对其广泛采用的风险和合规管理框架的广泛访问. 它现在包括46个以上的地图权威来源，在包括制造业在内的广泛行业中具有很强的采用率, 银行, 航空公司/娱乐, 和电信. 事实上, 如果你进入这些行业, 您可能听说过HITRUST，它是一种使用HITRUST脑脊液来交流您组织的安全和隐私实践的方法.

3. 一个流行的误解是HITRUST是OCR HIPAA审计失败的结果, 这是真的吗??

OCR HIPAA审计直到2011年才开始. HITRUST成立于2007年. 金沙乐娱app下载自2010年2月以来一直是HITRUST脑脊液的坚定支持者.

4. 组织可以认证NIST网络安全框架吗?

NIST网络安全框架(CSF)是一套全球公认的标准，为组织提供了设计所需的基本要素, 评估, 完善他们的网络安全计划.

HITRUST认识到许多组织更喜欢NIST网络安全框架中定义的报告结构.  与r2验证评估相结合, HITRUST发布NIST CSF报告记分卡，详细说明组织对包含在HITRUST脑脊液框架中的NIST网络安全框架相关控制的符合性.

5. HITRUST项目是真正的“一次评估，多次报告”审计项目吗?

是的. 经验丰富的审计公司开发了流程，使其员工能够结合多种审计需求的标准，并通过提高效率将这些节省应用到您的组织, 减少审计疲劳, 更高的质量, 结果的一致性和可靠性. 如果一家审计公司劝阻你采用这种方法, 他们可能不具备正确执行的员工技能或工具.

6. HITRUST脑脊液框架的设计是否允许我获得ISO 27001认证?

HITRUST脑脊液框架和认证流程可用于协助ISO 27001认证工作.   和任何评估一样, 一定要对服务提供商的技能和知识做足功课，进行任何评估或准备考试. 当需要多个报告选项时，结合安全性和/或隐私评估测试可以获得许多好处.  当结合评估时, 认证的意图和具体要求必须从项目的规划阶段开始考虑.

最近的HITRUST白皮书中描述了一个很好的例子.  http://hitrustalliance.net/casestudy/leveraging-hitrust-mycsf-to-maintain-iso-27001-certification/下面是关于这个主题的HITRUST常见问题解答中需要考虑的两点, 如果您正在寻找一家能够支持您获得多项认证的公司:

• ISO 27001认证的重点是信息安全管理系统(ISMS), 其中包括信息安全风险评估和处理流程的评估. 然而, 组织可以根据需要设计控制, 或从任何来源识别它们”(ISO 27001, § 6.1.3.b, p. 4). 进一步, 虽然ISO 27001附录A包含了控制目标和控制的清单, 它们不是详尽的，可能需要额外的控制目标和控制”(同上., § 6.1.3.c, p. 4). 尽管ISO评审员必须出具一份“包含必要控制的适用性声明”(见6.1.3 b和c)和包含的理由, 它们是否被执行, 以及从附件A中排除控制的理由”(同上)., § 6.1.3.d, p. 4)不超出附件A的要求. 随后, 组织在其指定的控制中有很大的自由度，以在适合其风险偏好的水平上处理他们识别的风险. ISO认证评审员在如何评估控制措施的有效性方面也有一定的自由度, 除了一般要求帮助组织准备ISO认证的顾问不进行认证评估外，没有评估的质量控制.
• HITRUST脑脊液提供了一个全面的基线, 为特定组织量身定制的规定性控制需求, 制度和监管风险因素. 这些基准要求规定的详细测试程序侧重于使用特定的控制基准实现的成熟度, 严格的评估方法和评分模型，以衡量组织中过度剩余风险的水平. 像ISO, 测试必须由认可的评估人员进行, HITRUST称为授权外部评估机构. 质量保证由HITRUST提供.

关于这个主题的更多信息可以在这里找到 在这里.

HITRUST准备和专业

作为HITRUST评估员, 金沙乐娱app下载信息安全专家可以帮助确保您的组织在开始认证和在任何行业中建立知名和普遍接受的安全框架的过程中为HITRUST做好准备.

HITRUST认证

HITRUST开发了一个保证程序，允许针对框架进行独立的HITRUST认证或验证. 这些验证或认证业务必须由经过HITRUST专门培训和审查的组织(评估人员)执行，这些组织在医疗保健信息安全方面具有专门经验和专业知识.

HITRUST中期评估

按照HITRUST的要求, 作为第一年认证后的后续工作，必须完成临时评估. 金沙乐娱app下载信息安全可以帮助提供这种评估，以衡量组织的当前状态相对于HITRUST脑脊液，并将利用收集到的任何证据向HITRUST提交年度审查信.

HITRUST桥梁评估

由于旅行限制，COVID-19大流行给HITRUST脑脊液评估的某些方面造成了困难, 会议, 以及进入公司网站的权限. 作为回应，HITRUST发布了要求延长认证期限的指导方针. 如果您正在寻求外部评估人员进行评估，金沙乐娱app下载随时准备为您提供帮助.  拥有十年帮助公司满足HITRUST需求的经验, 以及业内最有经验的团队, 金沙乐娱app下载哪也不去!

• 什么是HITRUST i1实施的经过验证的评估和认证?
• 为什么要创建这个新选项?
• i1和r2的关键区别.
• 如何选择最适合你的选择.

按需网络会议时间:7:36

作为“十年俱乐部”的评估员领导, 金沙乐娱app下载是业内服务时间最长的评估机构，拥有业内最有经验的团队. 2010年2月, 金沙乐娱app下载的领导人在虚线上签字，加入了一项已成为现代安全和隐私评估黄金标准的运动. 金沙乐娱app下载培养了一支由专家领导的评估团队，他们为这一成功做出了最长的贡献.

金沙乐娱app下载已经帮助无数的组织达到他们的目标 HITRUST脑脊液 认证的目标.  是的，金沙乐娱app下载在这一过程中吸取了许多教训.  事实上，金沙乐娱app下载是评估委员会成员，并协助行业教育和推广.  金沙乐娱app下载感到被迫, 并且有一定的义务, 为那些踏上这段旅程的人提供一些鼓励和建议.  请随时与金沙乐娱app下载联系，告诉金沙乐娱app下载如何在您的旅程中为您提供帮助!

金沙乐娱app下载很乐意回答您的任何问题，金沙乐娱app下载的安全专家可以为您做什么. 请提交以下表格，金沙乐娱app下载的专业人员会及时回复您.