医疗保健组织面临的诸多难题之一是信息安全. 除了大肆宣传的卫生数据大数据泄露, 最近的头条新闻与好莱坞长老会医疗中心等医疗机构有关,这些机构也成为勒索软件的目标.
勒索软件是一种对大量系统进行加密的恶意软件, 通常会破坏组织的系统, 然后向一个秘密组织索要报酬,以表面上解密数据. 如果这还不足以阻止坏人的话, 一旦烟雾散去, 你可以相当肯定的是,监管机构会突然介入,对你的安全程序的弱点进行彻底的检查.
《明升app》(HIPAA)为处理电子保护健康信息(ePHI)的组织建立了一些高层目标和实施标准,但这些组织很难知道要设置多高的标准来符合监管要求. 除此之外, 没有人能保证变得“兼容”就能保证组织的安全.
考虑到行业的这些动态, 许多组织外包关键业务流程,需要与3rd 各方对其商业伙伴的安全实践越来越感兴趣. 如果你在数据的接收端, 您可能还在接收越来越多的请求,以探测您的安全程序的质量. 要求的范围从问卷调查到现场审计, 独立报告的要求,如SOC认证或 HITRUST认证.
HITRUST是一个安全框架,旨在解决上述3个挑战:
HITRUST CSF正迅速成为医疗行业的新“标准”. 它是一个建立在许多以前的标准之上的框架,最显著的是ISO 27001/2. 除了, HITRUST还覆盖了其他标准和监管要求,如支付卡行业数据安全标准(PCI-DSS), 联邦信息系统管理法(FISMA - NIST 800-53), 联邦贸易委员会(FTC)红旗规则, 以及一些与数据安全和隐私相关的州法规,包括马萨诸塞州和内华达州. 在构建框架时, 以及相应的评估工具, HITRUST专注于19个对降低数据泄露的可能性和/或严重性有最大影响的关键领域.
与HIPAA安全规则不同, HITRUST采用了一种规范性的方法来开发这个框架. 然而, 它并不是一个万能的标准,因为它考虑了组织的规模及其数据和系统的性质,因为它使用了一种分层的方法,有多达3个层次的需求,这些需求根据组织的不同而不同, 系统, 和监管因素. 在最基本的层面上, 在CSF中实施控制将满足HIPAA的要求, 这当然是行业中每个人的目标.
为了解决行业中许多服务提供商面临的问题,即“证明”他们的安全程序的质量,并对数十个服务程序做出响应, 如果不是数以百计的信息索取, HITRUST已经开发了一个保证程序,允许对框架进行独立的验证或认证. 这些验证或认证活动由经过HITRUST专门培训和审查的具有医疗信息安全专门经验和专业知识的组织(评估员)执行.
LBMC在帮助组织准备HITRUST认证和执行认证评估方面的经验表明,许多组织还没有为满足CSF要求而增加的安全严密性和成熟度做好准备. 然而,这不应该是一种威慑,而更应该是一种激励. 如果您正在考虑将CSF作为您的安全程序的一个选项,这里有一些操作项.
总之, 如果您的组织正在寻求使其安全程序成熟,并面临上面讨论的一些挑战, HITRUST或许值得研究. 一些非常大的付款人现在要求他们的业务伙伴遵守框架,并提供认证报告作为他们供应商管理过程的一部分. 用这种类型的催化剂在工业上, CSF将继续成为医疗保健Infosec的首选标准.
有关HITRUST的其他资料,请浏览 www.hitrustalliance.净. 了解更多明升体育app下载的团队在LBMC信息安全可以帮助您的团队装甲与广泛的网络防御服务. 今天明升体育app下载!
