Co to jest HITRUST?

Powodem, dla którego wielu ludzi nie rozpoznaje okazji, jest to, że zazwyczaj chodzą w kombinezonach wyglądających jak ciężka praca. – Thomas A. Edisons

Termin „zgodny z HIPAA” jest często rzucany przez sprzedawców, konsultantów, programistów, audytorów i innych. Problem z wolnym przepływem natury tego terminu jest taki, że „zgodność z HIPAA” jest subiektywna. Jedynym sposobem na udowodnienie zgodności jest ukończenie – i przejście – zewnętrznego audytu, najlepiej przeprowadzonego przez renomowaną firmę audytorską z doświadczeniem w zakresie HIPAA.

Z powodu subiektywnej natury HIPAA i zmienności audytów (jako były audytor info sec czuję się wykwalifikowany w mówieniu o tym), podmioty objęte ochroną mają trudny czas oceny zgodności i bezpieczeństwa dla zewnętrznych dostawców, jak również projektów wewnętrznych (pomyśl o grupach innowacyjnych i badaniach). Często wynik jest ponowne wynalezienie koła za każdym razem sprzedawca sprzedaje do nowego podmiotu objętego i za każdym razem podmiot objęty ocenia bezpieczeństwo nowego dostawcy. Jest to niewiarygodnie nieefektywne i dojrzałe do okazji, aby przegapić rzeczy, brakuje rzeczy z bezpieczeństwa i zgodności narażają podmioty objęte na znaczne ryzyko. Z pomocą przychodzi HITRUST, zainicjowany przez branżę wysiłek mający na celu standaryzację wspólnych, certyfikowanych ram, które przyniosą korzyści zarówno sprzedawcom, jak i podmiotom objętym ochroną.

wymagania audytu

raporty z audytu

Wprowadzenie do HITRUST

HITRUST, czyli Health Information Trust Alliance, to właściwie nie tyle ramy, co organizacja, która stworzyła i utrzymuje Common Security Framework, czyli CSF. CSF, obecnie w wersji 7, jest certyfikowaną strukturą, która łączy lub harmonizuje kilka innych ram i standardów zgodności, w tym HIPAA, PCI, ISO i NIST. Poprzez „harmonizację” CSF odwzorowuje wszystkie te standardy razem, z CSF jako centralnym kluczem odwzorowującym.

Zgodnie ze swoją stroną internetową, HITRUST, i odpowiadające mu CSF, „narodził się z przekonania, że bezpieczeństwo informacji powinno być głównym filarem, a nie przeszkodą w szerokim przyjęciu systemów i wymiany informacji zdrowotnych”. Bezpieczeństwo i zgodność są kluczową częścią sukcesu technologii medycznych; nie mogą być ignorowane lub traktowane jako kwestia poboczna. Bez znormalizowanych ram, procesu i jednostki certyfikującej, HIPAA jest często przeszkodą dla technologii opieki zdrowotnej. HITRUST jest próbą pomocy sprzedawcom lepiej udowodnić swoje bezpieczeństwo i pomóc podmiotom objętym ochroną usprawnić bezpieczeństwo i przeglądy zgodności sprzedawców. W tej próbie, HITRUST odnosi sukcesy. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.

academy-slide3

(Image credit: HITRUST CSF Assurance Program)

CSF Domains and Controls

The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.

  • Information Protection Program
  • Endpoint Protection
  • Portable Media Security
  • Mobile Device Security
  • Wireless Protection
  • Configuration Management
  • Vulnerability Management
  • Network Protection
  • Transmission Protection
  • Password Management
  • Access Control
  • Audit Logging & Monitoring
  • Education, Training & Awareness
  • Third Party Security
  • Incident Management
  • Business Continuity & Disaster Recovery
  • Risk Management
  • Physical & Environmental Security
  • Data Protection & Privacy

In addition to the above domains, HITRUST has 135 specific controls.

CSF Levels of Implementation

For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. Większość organizacji ma różne poziomy wdrożenia dla różnych kontroli, a nie tylko poziom 1, 2 lub 3 dla wszystkich.

Myślę, że jest to obszar, w którym jest najwięcej zamieszania wokół HITRUST, a przynajmniej obszar, w którym jesteśmy najczęściej pytani o nasze własne certyfikaty HITRUST CSF. Początkiem każdej oceny HITRUST, niezależnie od rodzaju oceny (więcej na ten temat w Stopniach Zapewnienia poniżej), jest zebranie informacji o ocenianym podmiocie. Informacje te są wykorzystywane do oceny organizacji, systemu i wymagań regulacyjnych dotyczących oceny. Koncepcyjnie, ryzyko lub zakres oceny jest określany.

Ten krok jest również zapisany w HIPAA, ale nie jest częścią większości ocen. HIPAA pozwala na kontrole, które są rozsądne i odpowiednie. W słowach HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program. Większość ocen HIPAA to jeden rozmiar dla wszystkich, ponieważ nie ma ram do interpretacji reasonable i appropriate; w końcu, to prawdopodobnie dobrze, że nie są one interpretowane.

W określaniu poziomu wdrożenia, HITRUST dynamicznie ustala wymagania dla każdej organizacji i każdej oceny. Podobnie jak CSF w szerszym ujęciu, jest to ustandaryzowany proces określania poziomu wdrożenia.

CSF Degrees of Assurance

HITRUST oferuje 3 różne Degrees of Assurance, które są zasadniczo poziomami oceny. Stopnie pewności dotyczą kosztów, poziomu wysiłku, ilości czasu i rygoru. Każdy poziom opiera się na innym, niższy. Dla odniesienia, Datica ukończyła ocenę CSF Certified, która jest najwyższym stopniem pewności.

Istnieją następujące opcje stopni pewności, zaczynając od najmniejszego kosztu, wysiłku, czasu i rygoru.

  1. Samoocena. Jest to po prostu samodzielne wypełnienie CSF przez organizację. Jest to wartościowe, zazwyczaj jako wewnętrzne narzędzie dla organizacji, ponieważ jest wykonywane ponownie w oparciu o standardowe ramy. Nie ma zewnętrznych stron, które weryfikowałyby jakiekolwiek aspekty oceny. Rezultatem jest wydany przez HITRUST raport CSF Self Assessment Report.

  2. CSF Validated. Ta opcja, oraz opcja CSF Certified poniżej, wymaga weryfikacji informacji zebranych przez organizację przeprowadzającą ocenę przez 3rd party CSF Assessor. Asesor CSF jest zatwierdzony przez HITRUST. Ten Stopień Zapewnienia wymaga wizyty na miejscu przez CSF Assessor. HITRUST dokonuje przeglądu zakończonej i zwalidowanej oceny i wydaje raport Validated Report jako wynik.

  3. CSF Certified Podobnie jak w przypadku oceny CSF Validated, organizacja poddana ocenie otrzymuje certyfikat HITRUST CSF Certification, który jest ważny przez dwa lata. Główną różnicą w przypadku tego stopnia pewności jest to, że organizacja, której przyznano certyfikat HITRUST CSF spełnia wszystkie wymagania certyfikacyjne CSF. Opiera się to na ocenie CSF Validated w tym sensie, że HITRUST dokonuje przeglądu i certyfikacji wpisów organizacji oraz walidacji 3rd party assessor. W przypadku Datica, ten ostatni etap certyfikacji trwał 3-4 miesiące.

PCI for Healthcare

Istnieją podobieństwa pomiędzy HITRUST i PCI. Dla tych, którzy nie są zaznajomieni, PCI jest ramą zgodności dla branży finansowej i przetwarzania płatności. Osiągnięcie zgodności z PCI jest bardzo zaangażowane, podobnie jak Certyfikowana Ocena HITRUST. Podczas gdy HIPAA zostało napisane i jest technicznie egzekwowane przez rząd federalny (konkretnie HHS), CSF zostało napisane i jest utrzymywane przez HITRUST, który jest zarządzany przez organ przedstawicielski z branży opieki zdrowotnej.

Na wiele sposobów HITRUST jest próbą stworzenia przez branżę opieki zdrowotnej standaryzowanej certyfikacji podobnej do PCI. Pod względem egzekwowania, branża opieki zdrowotnej, w przeciwieństwie do HHS, ma za zadanie egzekwować HITRUST poprzez wymaganie Certyfikowanej Oceny współpracowników biznesowych i podwykonawców. Nadal istnieją luki w przyjęciu w branży opieki zdrowotnej, ale fala wyraźnie się odwraca, ponieważ coraz więcej podmiotów oczekuje, że sprzedawcy będą certyfikowani w zakresie HITRUST CSF.

HITRUST vs HIPAA

Jak wspomniano powyżej, HITRUST opiera się na HIPAA. Bierze HIPAA, niestandaryzowane i nienakazowe ramy zgodności i tworzy standaryzowane ramy zgodności, ocenę i proces certyfikacji dla branży opieki zdrowotnej. W procesie tym „harmonizuje” HIPAA z innymi ramami zgodności, takimi jak PCI i NIST. HITRUST dostosowuje również wymagania dotyczące certyfikacji do ryzyka organizacji w oparciu o czynniki organizacyjne, systemowe i regulacyjne.

W przeciwieństwie do HIPAA, który ma zdefiniowane kary za naruszenia bezpieczeństwa, egzekwowanie HITRUST jest zależne od samej branży opieki zdrowotnej, zazwyczaj od podmiotów objętych certyfikacją, takich jak szpitale i płatnicy, wymagających certyfikacji HITRUST CSF od sprzedawców. HITRUST szybko przyjął się w służbie zdrowia i widzimy go coraz bardziej jako oczekiwanie dla sprzedawców. Chociaż nie zawsze jest wymagany jako krok w procesie wdrażania nowej technologii, HITRUST z pewnością usprawnia krok bezpieczeństwa i zgodności w procesie wdrażania.

Przechodząc zarówno przez audyty HIPAA, jak i Certyfikowaną Ocenę CSF, można bezpiecznie powiedzieć, że Certyfikacja CSF HITRUST jest znacznie bardziej rygorystycznym procesem, z większym ciężarem dowodu nałożonym na organizację próbującą uzyskać certyfikację, niż audyt HIPAA. Uzyskanie certyfikatu HITRUST CSF wymaga znacznie więcej czasu, wysiłku i zasobów niż audyt HIPAA. Uzyskanie certyfikatu HITRUST CSF powinno być postrzegane jako bardziej znacząca odznaka za bezpieczeństwo i zgodność niż ukończenie audytu HIPAA.

Jeśli rozważasz lub ukończyłeś ocenę HITRUST, nie wahaj się skontaktować z nami w przypadku pytań lub opinii.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.