Anledningen till att många människor inte känner igen möjligheterna är att de vanligtvis går runt i overaller och ser ut som hårt arbete. – Thomas A. Edisons
Uttrycket ”HIPAA-kompatibelt” används ofta av leverantörer, konsulter, utvecklare, revisorer och andra. Problemet med begreppets fria rörlighet är att ”HIPAA-kompatibelt” är subjektivt. Det enda sättet att bevisa överensstämmelse är att genomföra – och klara – en extern revision, företrädesvis utförd av ett välrenommerat revisionsföretag med HIPAA-erfarenhet.
På grund av HIPAA:s subjektiva karaktär och variationen i revisioner (som före detta info sec-revisor känner jag mig kvalificerad att säga detta) har de berörda enheterna svårt att bedöma efterlevnad och säkerhet för externa säljare såväl som för interna projekt (tänk på innovationsgrupper och forskning). Ofta blir resultatet att hjulet måste uppfinnas på nytt varje gång en leverantör säljer till en ny enhet och varje gång en enhet bedömer säkerheten hos en ny leverantör. Det är otroligt ineffektivt och fullt av möjligheter att missa saker och ting. Om man missar saker när det gäller säkerhet och efterlevnad utsätter man de berörda enheterna för stora risker. HITRUST är ett branschdrivet initiativ för att standardisera ett gemensamt, certifierbart ramverk som gynnar både leverantörer och täckta enheter.
Introduktion till HITRUST
HITRUST, eller Health Information Trust Alliance, är egentligen inte ett ramverk överhuvudtaget, utan den organisation som har skapat och upprätthåller det gemensamma säkerhetsramverket, Common Security Framework eller CSF. CSF, som för närvarande finns i version 7, är ett certifierbart ramverk som sammanför, eller harmoniserar, flera andra ramverk och standarder för efterlevnad, däribland HIPAA, PCI, ISO och NIST. Genom att ”harmonisera” kartlägger CSF alla dessa standarder tillsammans, med CSF som den centrala kartläggningsnyckeln.
Enligt sin webbplats ”föddes HITRUST, och dess motsvarande CSF, ur övertygelsen att informationssäkerheten bör vara en grundpelare för, snarare än ett hinder för, det breda antagandet av system och utbyten för hälsoinformation”. Säkerhet och efterlevnad är en viktig del av hälsoteknikens framgång och kan inte ignoreras eller behandlas som en eftertanke. Utan ett standardiserat ramverk, en standardiserad process och ett certifieringsorgan är HIPAA ofta ett hinder för hälsotekniken. HITRUST är ett försök att hjälpa leverantörer att bättre bevisa sin säkerhet och att hjälpa de berörda enheterna att effektivisera säkerhets- och efterlevnadsgranskningar av leverantörer. HITRUST är framgångsrik i detta försök. More and more health systems are asking for HITRUST and vendors that have it are moving more quickly through the process with covered entities.
(Image credit: HITRUST CSF Assurance Program)
CSF Domains and Controls
The CSF is divided into 19 different domains. In contrast to HIPAA, the CSF does not create broad buckets like Administrative and Security controls.
- Information Protection Program
- Endpoint Protection
- Portable Media Security
- Mobile Device Security
- Wireless Protection
- Configuration Management
- Vulnerability Management
- Network Protection
- Transmission Protection
- Password Management
- Access Control
- Audit Logging & Monitoring
- Education, Training & Awareness
- Third Party Security
- Incident Management
- Business Continuity & Disaster Recovery
- Risk Management
- Physical & Environmental Security
- Data Protection & Privacy
In addition to the above domains, HITRUST has 135 specific controls.
CSF Levels of Implementation
For each of the 135 controls defined by HITRUST, there are 3 distinct implementation levels. Each implementation level builds on the one below – level 2 includes all of level 1 plus additional requirements, level 3 includes all of level 2 plus additional requirements. So technically level 3 is the most stringent set of requirements. De flesta organisationer har varierande genomförandenivåer för olika kontroller och har inte bara nivå 1, 2 eller 3 över hela linjen.
Jag tror att detta är det område där det råder mest förvirring om HITRUST, eller åtminstone det område där vi får flest frågor om vår egen HITRUST CSF-certifiering. I början av varje HITRUST-bedömning, oavsett typ av bedömning (se grader av säkerhet nedan för mer information om detta), samlas information in om den enhet som ska bedömas. Denna information används för att bedöma organisationen, systemet och de rättsliga kraven för bedömningen. Begreppsmässigt bestäms risken eller omfattningen av bedömningen.
Detta steg är också inskrivet i HIPAA men ingår inte i de flesta bedömningar. HIPAA tillåter kontroller som är rimliga och lämpliga. Med HHS:s ord An important step in protecting electronic protected health information (EPHI) is to implement reasonable and appropriate administrative safeguards that establish the foundation for a covered entity’s security program. De flesta HIPAA-bedömningar är en storlek som passar alla eftersom det inte finns någon ram för att tolka reasonable och appropriate; i slutändan är det troligen bra att de inte tolkas.
När det gäller att bestämma genomförandenivån ställer HITRUST dynamiskt upp krav för varje organisation och varje bedömning. Liksom CSF mer allmänt är det en standardiserad process för att bestämma implementeringsnivån.
CSF Degrees of Assurance
HITRUST erbjuder 3 olika Degrees of Assurance, som i huvudsak är bedömningsnivåer. Graderna av säkerhet anpassar sig till kostnad, ansträngningsnivå, tidsåtgång och noggrannhet. Varje nivå bygger på den underliggande nivån. Som referens kan nämnas att Datica har genomfört en CSF-certifierad bedömning, vilket är den högsta graden av säkerhet.
Följande alternativ finns för grader av säkerhet, som börjar med den lägsta kostnaden, ansträngningen, tiden och strängheten.
-
Självbedömning. Detta är helt enkelt en organisation som genomför CSF på egen hand. Det är värdefullt, vanligtvis som ett internt verktyg för organisationen, eftersom det görs igen ett standardiserat ramverk. Det finns inga externa parter som verifierar några aspekter av bedömningen. Den resulterar i en av HITRUST utfärdad CSF Self Assessment Report.
-
CSF Validated. Detta, och CSF Certified-alternativet nedan, kräver att en tredje part, CSF Assessor, verifierar den information som samlats in av den organisation som genomför bedömningen. CSF-assessorn är godkänd av HITRUST. Denna grad av säkerhet kräver ett besök på plats av CSF-assessorn. HITRUST granskar den genomförda och validerade bedömningen och utfärdar en validerad rapport som resultat.
-
CSF-certifierad På samma sätt som vid validerad CSF-bedömning får den organisation som genomgår bedömningen en HITRUST CSF-certifiering som är giltig i två år. De viktigaste skillnaderna för denna grad av säkerhet är att den organisation som beviljats HITRUST CSF-certifiering uppfyller alla certifieringskrav i CSF. Detta bygger på den validerade CSF-bedömningen genom att HITRUST granskar och certifierar organisationens poster och valideringen av den tredjepartsbedömare. I Daticas fall tog detta sista steg för certifiering 3-4 månader.
PCI för hälso- och sjukvården
Det finns paralleller mellan HITRUST och PCI. För dem som inte är bekanta är PCI ett ramverk för efterlevnad för finans- och betalningsindustrin. Att uppnå PCI-överensstämmelse är mycket komplicerat, vilket liknar en certifierad HITRUST-bedömning. Medan HIPAA skrevs och tekniskt sett upprätthålls av den federala regeringen (särskilt HHS), skrevs och upprätthålls CSF av HITRUST, som styrs av ett representativt organ från hälso- och sjukvårdsbranschen.
På många sätt är HITRUST ett försök från hälso- och sjukvårdsbranschen att skapa en standardiserad, PCI-liknande certifiering. När det gäller tillämpningen är det meningen att hälso- och sjukvårdsbranschen, i motsats till HHS, ska tillämpa HITRUST genom att kräva certifierade bedömningar av affärspartner och underleverantörer. Det finns fortfarande brister i antagandet inom hälso- och sjukvårdsbranschen, men det är tydligt att tidvattnet håller på att vända, eftersom fler och fler enheter förväntar sig att leverantörer ska vara HITRUST CSF-certifierade.
HITRUST vs HIPAA
Som nämnts ovan bygger HITRUST på HIPAA. Det tar HIPAA, ett icke standardiserat och icke normativt ramverk för efterlevnad, och skapar ett standardiserat ramverk för efterlevnad, bedömning och certifieringsprocess för hälso- och sjukvårdsbranschen. I processen ”harmoniseras” HIPAA med andra ramverk för efterlevnad, t.ex. PCI och NIST. HITRUST anpassar också kraven för certifiering till riskerna i en organisation utifrån organisatoriska, system- och regleringsmässiga faktorer.
I motsats till HIPAA, som har definierade påföljder för säkerhetsöverträdelser, är verkställandet av HITRUST beroende av själva sjukvårdsbranschen, vanligtvis täckta enheter som sjukhus och betalare, som kräver HITRUST CSF-certifiering av leverantörer. HITRUST har snabbt fått ett stort genomslag inom hälso- och sjukvården och vi ser det mer och mer som en förväntan för leverantörerna. Även om HITRUST inte alltid krävs som ett steg i implementeringen av ny teknik, effektiviserar HITRUST säkert säkerhets- och efterlevnadssteget i implementeringsprocessen.
Att ha genomgått både HIPAA-revisioner och en certifierad CSF-bedömning gör att det är säkert att säga att HITRUST CSF-certifiering är en mycket strängare process, med en högre bevisbörda för den organisation som försöker uppnå certifiering, än en HIPAA-revision. Att uppnå HITRUST CSF-certifiering kräver betydligt mer tid, arbete och resurser än en HIPAA-revision. Att vara HITRUST CSF-certifierad bör ses som en mer betydelsefull utmärkelse för säkerhet och efterlevnad än att genomföra en HIPAA-revision.
Om du överväger eller har genomfört en HITRUST-bedömning är du välkommen att höra av dig med frågor eller feedback.