Motivul pentru care o mulțime de oameni nu recunosc oportunitatea este pentru că, de obicei, aceasta se plimbă îmbrăcată în salopetă și arată ca o muncă grea. – Thomas A. Edisons
Termenul „conform HIPAA” este aruncat foarte des – de către furnizori, consultanți, dezvoltatori, audituri și alții. Problema cu natura liberă a termenului este că „conform cu HIPAA” este subiectivă. Singura modalitate de a dovedi conformitatea este de a finaliza – și de a trece – un audit extern, de preferință unul efectuat de o firmă de audit de renume cu experiență în domeniul HIPAA.
Din cauza naturii subiective a HIPAA și a variabilității auditurilor (în calitate de fost auditor Info Sec mă simt calificat să spun asta), entităților acoperite le este greu să evalueze conformitatea și securitatea pentru furnizorii externi, precum și pentru proiectele interne (gândiți-vă la grupuri de inovare și cercetare). De multe ori, rezultatul este o reinventare a roții de fiecare dată când un furnizor se vinde unei noi entități acoperite și de fiecare dată când o entitate acoperită evaluează securitatea unui nou furnizor. Este incredibil de ineficient și plin de oportunități de a omite anumite lucruri; omiterea unor lucruri în ceea ce privește securitatea și conformitatea expune entitățile acoperite la riscuri semnificative. Intră în joc HITRUST, un efort condus de industrie pentru a standardiza un cadru comun, certificabil, în beneficiul atât al furnizorilor, cât și al entităților acoperite.
Introducere la HITRUST
HITRUST, sau Health Information Trust Alliance, nu este de fapt un cadru, ci organizația care a creat și menține Cadrul comun de securitate, sau CSF. CSF, aflat în prezent în versiunea 7, este un cadru certificabil care reunește, sau armonizează, mai multe alte cadre și standarde de conformitate, inclusiv HIPAA, PCI, ISO și NIST. Prin „armonizare”, CSF cartografiază toate aceste standarde împreună, CSF fiind cheia centrală de cartografiere.
Potrivit site-ului său web, HITRUST, și CSF-ul său corespunzător, „s-a născut din convingerea că securitatea informațiilor ar trebui să fie un pilon de bază, și nu un obstacol în calea adoptării pe scară largă a sistemelor și schimburilor de informații din domeniul sănătății”. Securitatea și conformitatea sunt o parte esențială a succesului tehnologiei medicale; ele nu pot fi ignorate sau tratate ca o idee secundară. În lipsa unui cadru, a unui proces și a unui organism de certificare standardizat, HIPAA reprezintă adesea un obstacol pentru tehnologia din domeniul sănătății. HITRUST este o încercare de a ajuta furnizorii să își demonstreze mai bine securitatea și de a ajuta entitățile acoperite să raționalizeze analizele de securitate și de conformitate ale furnizorilor. În această încercare, HITRUST reușește. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. Cele mai multe organizații au niveluri variate de implementare pentru diferite controale și nu sunt doar de nivel 1, 2 sau 3 în general.
Cred că acesta este domeniul în care există cea mai mare confuzie cu privire la HITRUST, sau cel puțin domeniul în care suntem întrebați cel mai des despre propria noastră certificare HITRUST CSF. Începutul fiecărei evaluări HITRUST, indiferent de tipul de evaluare (a se vedea Gradele de asigurare de mai jos pentru mai multe informații în acest sens), constă în colectarea de informații despre entitatea care este evaluată. Aceste informații sunt folosite pentru a evalua organizația, sistemul și cerințele de reglementare pentru evaluare. Conceptual, se determină riscul sau domeniul de aplicare al evaluării.
Acest pas este, de asemenea, scris în HIPAA, dar nu face parte din majoritatea evaluărilor. HIPAA permite controale care sunt rezonabile și adecvate. În cuvintele HHS An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program.
Majoritatea evaluărilor HIPAA sunt unice pentru toate, deoarece nu există un cadru de interpretare a reasonable
și appropriate
; în cele din urmă, este probabil un lucru bun că acestea nu sunt interpretate.
În determinarea nivelului de implementare, HITRUST stabilește în mod dinamic cerințele pentru fiecare organizație și pentru fiecare evaluare. La fel ca și CSF-ul în sens mai larg, este un proces standardizat pentru determinarea nivelului de implementare.
Gradele de asigurare CSF
HITRUST oferă 3 grade diferite de asigurare, care sunt, în esență, niveluri de evaluare. Gradele de asigurare se aliniază cu costul, nivelul de efort, cantitatea de timp și rigoarea. Fiecare nivel se bazează pe cel de mai jos. Pentru referință, Datica a finalizat o evaluare CSF Certified, care este cel mai înalt grad de asigurare.
Există următoarele opțiuni pentru gradele de asigurare, începând cu cel mai mic cost, efort, timp și rigoare.
-
Autoevaluare. Aceasta este pur și simplu o organizație care completează CSF pe cont propriu. Este valoroasă, de obicei ca un instrument intern pentru organizație, deoarece se face din nou un cadru standardizat. Nu există părți externe care să verifice niciun aspect al evaluării. Aceasta are ca rezultat un raport de autoevaluare CSF emis de HITRUST.
-
CSF Validat. Aceasta, și opțiunea CSF Certified de mai jos, necesită un evaluator CSF de terță parte care să verifice informațiile colectate de organizația care finalizează evaluarea. Evaluatorul CSF este aprobat de HITRUST. Acest grad de asigurare necesită o vizită la fața locului din partea evaluatorului CSF. HITRUST analizează evaluarea finalizată și validată și emite un Raport validat ca rezultat.
-
CSF Certified Similar cu evaluarea CSF Validated, organizația care efectuează evaluarea primește o Certificare CSF HITRUST care este valabilă timp de doi ani. Diferențele majore pentru acest grad de asigurare constau în faptul că organizația căreia i s-a acordat certificarea HITRUST CSF îndeplinește toate cerințele de certificare ale CSF. Aceasta se bazează pe evaluarea validată CSF în sensul că HITRUST examinează și certifică înregistrările organizației și validarea evaluatorului terț. În cazul Datica, acest pas final pentru certificare a durat 3-4 luni.
PCI pentru sănătate
Există paralele între HITRUST și PCI. Pentru cei care nu sunt familiarizați, PCI este cadrul de conformitate pentru industria financiară și de procesare a plăților. Obținerea conformității PCI este foarte implicată, similar cu o evaluare certificată HITRUST. În timp ce HIPAA a fost scris și este aplicat din punct de vedere tehnic de guvernul federal (în special de HHS), CSF a fost scris și este menținut de HITRUST, care este guvernat de un organism reprezentativ din industria de sănătate.
În multe feluri, HITRUST este o încercare a industriei de sănătate de a crea o certificare standardizată, asemănătoare PCI. În ceea ce privește punerea în aplicare, industria sănătății, spre deosebire de HHS, este menită să pună în aplicare HITRUST prin solicitarea de evaluări certificate ale asociaților comerciali și subcontractanților. Există încă lacune în ceea ce privește adoptarea în cadrul industriei de asistență medicală, dar fluxul se schimbă în mod clar, deoarece din ce în ce mai multe entități se așteaptă ca furnizorii să fie certificați HITRUST CSF.
HITRUST vs HIPAA
Cum s-a menționat mai sus, HITRUST se bazează pe HIPAA. Acesta ia HIPAA, un cadru de conformitate nestandardizat și neprescriptiv, și creează un cadru de conformitate standardizat, o evaluare și un proces de certificare pentru industria medicală. În acest proces, HIPAA este „armonizat” cu alte cadre de conformitate, cum ar fi PCI și NIST. HITRUST adaptează, de asemenea, cerințele de certificare la riscurile unei organizații, pe baza factorilor organizaționali, de sistem și de reglementare.
Spre deosebire de HIPAA, care are definite sancțiuni pentru încălcări ale securității, aplicarea HITRUST depinde de însăși industria de asistență medicală, de obicei entitățile acoperite, cum ar fi spitalele și plătitorii, care solicită certificarea HITRUST CSF a furnizorilor. HITRUST a fost adoptat rapid în domeniul asistenței medicale și vedem din ce în ce mai multe așteptări din partea furnizorilor. Deși nu este întotdeauna necesară ca etapă în implementarea unei noi tehnologii, HITRUST raționalizează cu siguranță etapa de securitate și conformitate în procesul de implementare.
Având trecut atât prin audituri HIPAA, cât și printr-o evaluare CSF certificată, putem spune cu siguranță că certificarea HITRUST CSF este un proces mult mai riguros, cu o povară mai mare a dovezilor pusă pe umerii organizației care încearcă să obțină certificarea, decât un audit HIPAA. Obținerea certificării HITRUST CSF necesită mult mai mult timp, efort și resurse decât un audit HIPAA. Obținerea certificării HITRUST CSF ar trebui să fie văzută ca o insignă mai semnificativă pentru securitate și conformitate decât finalizarea unui audit HIPAA.
Dacă aveți în vedere sau ați finalizat o evaluare HITRUST, nu ezitați să ne contactați cu întrebări sau feedback.
.