HITRUST
HITRUST, ou Health Information Trust Alliance, n'est pas un cadre, mais l'organisation qui a créé et maintenu le cadre de conformité CSF (Common Security Framework).
Le cadre (CSF) est un cadre certifié qui réunit ou harmonise plusieurs
autres cadres et normes de conformité, dont HIPAA, PCI, ISO et NIST.
Le cadre (CSF) cartographie et unifie toutes ces normes, le cadre (CSF)
étant la clé centrale de la cartographie.
Le cadre commun de sécurité (CSF) de HITRUST est un cadre de sécurité
complet et certifié utilisé par les organisations de soins de santé et leurs
partenaires pour gérer la conformité réglementaire et la gestion des risques. HITRUST unifie les normes reconnues et les exigences réglementaires de NIST, HIPAA/HITECH, ISO 27001, PCI DSS, FTC, COBIT, et peut être complétée selon les critères de SOC 2, ce qui en fait le cadre de sécurité le plus largement adopté dans le secteur des soins de santé aux États-Unis.
Le cadre (CSF) de HITRUST
Le cadre (CSF) de HITRUST est organisé par 14 catégories de contrôle, qui contiennent 49 objectifs de contrôle et 156 spécifications de contrôle basées sur ISO/IEC 27001:2005 et 27002:2005. Chaque spécification de contrôle se compose de trois niveaux de mise en œuvre appliqués aux organismes de soins de santé en fonction de facteurs organisationnels, de système et réglementaires spécifiques.
Catégories de contrôle
Les catégories de contrôle du cadre (CSF), accompagnées du nombre d'objectifs et de spécifications pour chaque catégorie, sont les suivantes:
0. Programme de gestion de la sécurité de l'information (1, 1)
1. Contrôle d'accès (7, 25)
2. Sécurité des ressources humaines (4, 9)
3. Gestion des risques (1, 4)
4. Politique de sécurité (1, 2)
5. Organisation de la sécurité de l'information (2, 11)
6. Conformité (3, 10)
7. Gestion d'actifs (2, 5)
8. Sécurité physique et environnementale (2, 13)
9. Gestion des communications et des opérations (10, 32)
10. Acquisition, développement et maintenance de systèmes d'information (6, 13)
11. Gestion des incidents de sécurité de l'information (2, 5)
12. Gestion de la continuité des activités (1, 5)
13. Pratiques en matière de protection de la vie privée (7, 21)
Quelle organisation est concernée par HITRUST?
Le cadre (CSF) de HITRUST s'applique aux organisations de soins de santé de taille et de complexité variables en raison de l'incorporation de toutes les principales exigences et pratiques liées à la sécurité de l'information en matière de soins de santé. En plus des principales catégories de contrôle contenues dans le cadre ISO/IEC, le cadre (CSF) de HITRUST comprend également des catégories spécifiques pour un « système de gestion de la sécurité de l'information » (SMSI) et des pratiques de gestion des risques qui aident à s'assurer que le système contrôle sont correctement spécifiés et mis en œuvre
Quand le cadre (CSF) de HITRUST est-il requis?
Si vous faites affaire avec d'importantes organisations de soins de santé américaines, celles-ci peuvent exiger que votre organisation se conforme au cadre (CSF) de HITRUST.
Comment mon organisation peut-elle démontrer qu'elle est conforme au cadre (CSF) de HITRUST?
La façon la plus simple est que, si votre organisation a déjà un rapport SOC 2, vous pouvez ajuster votre rapport SOC 2 pour vous conformer au cadre (CSF) de HITRUST. Plusieurs principes SOC 2 seront utilisés pour intégrer le cadre (CSF) de HITRUST.
Yucca Conseils TI peut vous assister
Nous pouvons vous aider tout au long de votre processus de préparation à respecter le cadre (CSF) de HITRUST, de l'analyse des écarts au rapport indépendant SOC 2 (avec HITRUST inclus). Avec l'aide de votre pilote interne, un calendrier réaliste sera documenté et accepté par votre direction.
