La raison pour laquelle beaucoup de gens ne reconnaissent pas l’opportunité est qu’elle se promène généralement en portant une salopette ressemblant à un travail difficile. – Thomas A. Edisons
Le terme « conforme à la loi HIPAA » est souvent lancé par les fournisseurs, les consultants, les développeurs, les audits et autres. Le problème avec la nature libre de ce terme est que « conforme à l’HIPAA » est subjectif. La seule façon de prouver la conformité est de réaliser – et de réussir – un audit externe, de préférence mené par un cabinet d’audit réputé ayant une expérience de l’HIPAA.
En raison de la nature subjective de l’HIPAA et de la variabilité des audits (en tant qu’ancien auditeur d’info sec, je me sens qualifié pour dire cela), les entités couvertes ont du mal à évaluer la conformité et la sécurité pour les fournisseurs externes ainsi que pour les projets internes (pensez aux groupes d’innovation et à la recherche). Souvent, le résultat est une réinvention de la roue chaque fois qu’un fournisseur vend à une nouvelle entité couverte et chaque fois qu’une entité couverte évalue la sécurité d’un nouveau fournisseur. Cette méthode est incroyablement inefficace et offre de nombreuses occasions de rater des choses ; or, les oublis en matière de sécurité et de conformité exposent les entités couvertes à des risques importants. Entrez dans HITRUST, un effort mené par l’industrie pour normaliser sur un cadre commun et certifiable pour bénéficier à la fois les fournisseurs et les entités couvertes.
Introduction à HITRUST
HITRUST, ou la Health Information Trust Alliance, n’est en fait pas du tout un cadre, mais l’organisation qui a créé et maintient le cadre de sécurité commun, ou CSF. Le CSF, actuellement dans sa version 7, est un cadre certifiable qui rassemble, ou harmonise, plusieurs autres cadres et normes de conformité, notamment HIPAA, PCI, ISO et NIST. Par « harmoniser », le CSF met en correspondance toutes ces normes, avec le CSF comme clé centrale de mise en correspondance.
Selon son site Web, HITRUST, et le CSF correspondant, « est né de la conviction que la sécurité des informations devrait être un pilier central de l’adoption à grande échelle des systèmes et des échanges d’informations de santé, plutôt qu’un obstacle à celle-ci. » La sécurité et la conformité sont un élément clé du succès des technologies de la santé ; elles ne peuvent être ignorées ou traitées après coup. En l’absence d’un cadre, d’un processus et d’un organisme de certification normalisés, l’HIPAA constitue souvent un obstacle pour les technologies de la santé. HITRUST est une tentative d’aider les fournisseurs à mieux prouver leur sécurité et d’aider les entités couvertes à rationaliser les examens de sécurité et de conformité des fournisseurs. Dans cette tentative, HITRUST est en train de réussir. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. La plupart des organisations ont des niveaux de mise en œuvre variés pour différents contrôles et ne sont pas seulement de niveau 1 ou 2 ou 3 dans l’ensemble.
Je pense que c’est le domaine dans lequel il y a le plus de confusion à propos de HITRUST, ou du moins le domaine dans lequel on nous pose le plus de questions sur notre propre certification HITRUST CSF. Le début de chaque évaluation HITRUST, quel que soit le type d’évaluation (voir les degrés d’assurance ci-dessous pour plus de détails), consiste à recueillir des informations sur l’entité évaluée. Ces informations sont utilisées pour évaluer l’organisation, le système et les exigences réglementaires de l’évaluation. Conceptuellement, on détermine le risque ou la portée de l’évaluation.
Cette étape est également inscrite dans l’HIPAA mais ne fait pas partie de la plupart des évaluations. L’HIPAA autorise des contrôles qui sont raisonnables et appropriés. Selon les mots du HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program.
La plupart des évaluations HIPAA sont à taille unique parce qu’il n’y a pas de cadre pour interpréter reasonable
et appropriate
; au final, c’est probablement une bonne chose que celles-ci ne soient pas interprétées.
Pour déterminer le niveau de mise en œuvre, HITRUST fixe dynamiquement les exigences pour chaque organisation et chaque évaluation. Comme le CSF plus largement, il s’agit d’un processus normalisé pour déterminer le niveau de mise en œuvre.
Degrés d’assurance du CSF
HITRUST propose 3 différents degrés d’assurance, qui sont essentiellement des niveaux d’évaluation. Les degrés d’assurance s’alignent sur le coût, le niveau d’effort, la quantité de temps et la rigueur. Chaque niveau s’appuie sur le niveau inférieur. Pour référence, Datica a terminé une évaluation CSF Certified, qui est le plus haut degré d’assurance.
Les options suivantes existent pour les degrés d’assurance, en commençant par le moins de coût, d’effort, de temps et de rigueur.
-
Auto-évaluation. Il s’agit simplement d’une organisation qui complète le CSF par elle-même. Il est précieux, généralement comme un outil interne pour l’organisation, parce qu’il est fait à nouveau un cadre normalisé. Il n’y a pas de parties externes qui vérifient les aspects de l’évaluation. Il en résulte un rapport d’auto-évaluation CSF délivré par HITRUST.
-
CSF Validated. Cette option, ainsi que l’option CSF Certified ci-dessous, nécessite un évaluateur CSF tiers pour vérifier les informations recueillies par l’organisation qui effectue l’évaluation. L’évaluateur CSF est approuvé par HITRUST. Ce degré d’assurance nécessite une visite sur site de l’évaluateur CSF. HITRUST examine l’évaluation complétée et validée et émet un rapport validé comme résultat.
-
Certifié CSF Semblable à l’évaluation validée CSF, l’organisation subissant l’évaluation se voit accorder une certification CSF HITRUST qui est bonne pour deux ans. Les principales différences pour ce degré d’assurance sont que l’organisation à laquelle est accordée la certification HITRUST CSF répond à toutes les exigences de certification du CSF. Cela s’appuie sur l’évaluation validée du CSF dans la mesure où HITRUST examine et certifie les entrées de l’organisation et la validation de l’évaluateur tiers. Dans le cas de Datica, cette étape finale pour la certification a pris 3-4 mois.
PCI pour les soins de santé
Il existe des parallèles entre HITRUST et PCI. Pour ceux qui ne sont pas familiers, PCI est le cadre de conformité pour l’industrie financière et de traitement des paiements. L’obtention de la conformité PCI est très impliquée, de manière similaire à une évaluation certifiée HITRUST. Alors que l’HIPAA a été rédigé et est techniquement appliqué par le gouvernement fédéral (HHS spécifiquement), le CSF a été rédigé et est maintenu par HITRUST, qui est gouverné par un organisme représentatif de l’industrie des soins de santé.
À bien des égards, HITRUST est une tentative de l’industrie des soins de santé de créer une certification normalisée, semblable à PCI. En termes d’application, l’industrie des soins de santé, par opposition au HHS, est censée faire appliquer HITRUST en exigeant des évaluations certifiées des associés commerciaux et des sous-traitants. Il existe encore des lacunes dans l’adoption au sein de l’industrie des soins de santé, mais le vent tourne clairement car de plus en plus d’entités attendent des fournisseurs qu’ils soient certifiés HITRUST CSF.
HITRUST vs HIPAA
Comme mentionné ci-dessus, HITRUST s’appuie sur HIPAA. Elle prend HIPAA, un cadre de conformité non normalisé et non prescriptif, et crée un cadre de conformité, une évaluation et un processus de certification normalisés pour le secteur des soins de santé. Ce faisant, il « harmonise » l’HIPAA avec d’autres cadres de conformité tels que PCI et NIST. HITRUST adapte également les exigences de certification aux risques d’une organisation en fonction de facteurs organisationnels, systémiques et réglementaires.
Par opposition à l’HIPAA, qui prévoit des sanctions définies en cas de violation de la sécurité, l’application d’HITRUST dépend de l’industrie des soins de santé elle-même, généralement des entités couvertes comme les hôpitaux et les payeurs, qui exigent la certification HITRUST CSF des fournisseurs. HITRUST a été adopté rapidement dans le secteur des soins de santé et nous constatons qu’il s’agit de plus en plus d’une attente de la part des fournisseurs. Bien qu’elle ne soit pas toujours requise comme étape de la mise en œuvre d’une nouvelle technologie, HITRUST rationalise certainement l’étape de sécurité et de conformité dans le processus de mise en œuvre.
Ayant été soumis à la fois à des audits HIPAA et à une évaluation CSF certifiée, il est sûr de dire que la certification CSF HITRUST est un processus beaucoup plus rigoureux, avec une charge de preuve plus élevée mise sur l’organisation qui tente d’obtenir la certification, qu’un audit HIPAA. L’obtention de la certification HITRUST CSF exige beaucoup plus de temps, d’efforts et de ressources qu’un audit HIPAA. Être certifié HITRUST CSF doit être considéré comme un badge plus important pour la sécurité et la conformité que l’achèvement d’un audit HIPAA.
Si vous envisagez ou avez réalisé une évaluation HITRUST, n’hésitez pas à nous contacter pour toute question ou tout commentaire.