HITRUST合规

LBMC HITRUST外部评估

HITRUST通用安全框架(CSF)允许医疗保健实体证明符合许多不同的标准和法规,例如HIPAA, ISO, NIST, SOC 2, GDPR, PCI, CMS, MARS-E, and more. You can learn more about their background here: http://hitrustalliance.net/about-us/

One of a select group of HITRUST脑脊液 assessors, LBMC 网络安全 参与了将医疗保险和医疗补助服务中心(CMS)和NIST的安全标准整合到HITRUST联盟框架中的工作. In 2010, we became one of the first HITRUST脑脊液 assessor organizations, 使我们非常有资格使用HITRUST脑脊液来确保您组织的信息安全可靠.

浏览明升体育app下载服务小册子 (PDF)

什么是HITRUST?

HITRUST, in collaboration with leaders from the private sector, 政府, 技术, and information privacy and security spaces, 建立HITRUST脑脊液, a certifiable framework that can be used by any organization that creates, accesses, stores, 或者交换敏感信息.

Every organization can achieve the coveted HITRUST脑脊液 Certification, 但这需要一点耐心, 很多行政支持, and, sometimes, 援助之手.

了解更多关于HITRUST、HITRUST脑脊液的信息,以及使用HITRUST评估的六大主要优势.

点播研讨会时间:0:05:47

Speaker:

  • Robyn Barton, HITRUST授权外部评估委员会股东,实践领导者 & 质素小组委员会委员
看网络研讨会

Do your policies and procedures address the HITRUST criteria?

无论您是维护现有的HITRUST认证还是第一次寻求认证, 现在可能是审查HITRUST指南并确保您的政策和程序达到标准的好时机.

1. 政策和程序的适用性

策略和过程成熟度级别以及相关评分仅适用于r2评估.  记住, however, 尽管e1和i1评估的重点只放在控制实施上, 一些需求陈述仍然需要审查政策和程序文件.

2. Policy and Procedure Incubation Period

补救或新实施的政策或程序必须到位的最少天数为60天. For organizations currently in the remediation phase, 政策和程序更新需要存在60天,以便在测试期间进行评估. 另外, for organizations undergoing a validated assessment, policies and procedures that have been in place for 60 days can be utilized. 注意:实现、度量和管理成熟度级别的天数为90天.

3. 策略和程序评分

Policy and procedure maturity levels are scored in accordance with the HITRUST Control Maturity Scoring Rubric based on a calculation of the strength of the policy or procedure, 以及由文档处理的评价元素的百分比.

Do your policies and procedures address the HITRUST criteria?

4. 政策及程序格式

HITRUST references the following definitions for policy and procedure.

Document定义
PolicyOverall intention and direction as formally expressed by management, most often articulated in documents that record high-level principles or course of actions; the intended purpose is to influence and guide both present and future decision making to be in line with the philosophy, objectives and strategic plans established by the enterprise’s management teams.
Procedure执行符合适用标准的特定操作所需步骤的详细描述. Procedures are defined as part of processes.

请注意,HITRUST并不要求策略语句只存在于策略文档中,或者过程只存在于过程文档中. 文档可以采用多种形式,包括标准、手册、指导方针、指令等.

关于HITRUST的误解

HITRUST®通过帮助解决众多安全问题,继续在市场上取得巨大的增长和成功, privacy and regulatory challenges facing organizations. As companies start their HITRUST journey we often hear common misconceptions.

1. 你能通过HIPAA认证吗?

不幸的是, HIPAA安全规则的众多管理标准和实现规范, 技术和物理保障措施, 不管这些术语意味着什么, 缺乏医疗保健组织实际实施所需的处方. The HITRUST脑脊液® is mapped to the HIPAA Security Rule, 违反通知, 和隐私规则作为可选的监管因素,可以选择纳入r2评估. 当选择, 这些将为您的组织满足规则的要求提供合理的保证. 另外, HITRUST为HIPAA提供了MyCSF合规性和报告包,该包编译了来自r2评估的证据,并生成了一份报告,该报告将适用的HIPAA要求解析为组织的HITRUST评估. 该报告可以直接与审核员或调查员共享,以证明合规性.

2. If I am not a healthcare entity, can I still be HITRUST certified?

绝对! HITRUST, 与隐私合作, 来自公共和私营部门的信息安全和风险管理领导者, develops, 维护并提供对其广泛采用的风险和遵从性管理框架的广泛访问. 它现在包括46+地图权威来源,并在包括制造业在内的广泛行业中具有很强的采用率, banking, 航空公司/娱乐, 和电信. Indeed, if you fall into any of these industries, 您可能听说过HITRUST是一种使用HITRUST脑脊液来沟通组织安全和隐私实践的方式.

3. 一个普遍的误解是,HITRUST是由于OCR HIPAA审计失败而产生的, 这是真的吗??

The OCR HIPAA audits did not begin until 2011. HITRUST成立于2007年. LBMC has remained a steadfast supporter of the HITRUST脑脊液 since February of 2010.

4. Can an organization certify to NIST CyberSecurity Framework?

NIST网络安全框架(CSF)是一套全球公认的标准,为组织提供了设计所需的基本要素, assess, 使他们的网络安全计划成熟.

HITRUST认识到许多组织更喜欢NIST网络安全框架中定义的报告结构.  In conjunction with a r2 validated assessment, HITRUST发布NIST CSF报告记分卡,详细说明组织对HITRUST脑脊液框架中包含的NIST网络安全框架相关控制的遵守情况.

5. Is the HITRUST program a true Assess Once, Report Many™ audit program?

Yes. 经验丰富的审计公司已经开发了流程,使其员工能够结合多种审计需求的标准,并通过提高效率将这些节省应用到您的组织中, 减少审计疲劳, 更高的质量, consistency and reliability of results. If an audit firm dissuades you from this approach, they may not have the staff skill or tools to execute properly.

6. Is the HITRUST脑脊液 framework designed to allow me to become ISO 27001 certified?

HITRUST脑脊液框架和认证流程可用于协助ISO 27001认证工作.   和任何评估一样, 一定要对服务提供商的技能和知识做足功课,进行任何评估或准备考试. 当需要多个报告选项时,结合安全性和/或隐私评估测试可以获得许多好处.  在合并评估时, 从项目的规划阶段开始,必须考虑认证的意图和具体要求.

A great example of this is described in a recent HITRUST white paper.  http://hitrustalliance.net/casestudy/leveraging-hitrust-mycsf-to-maintain-iso-27001-certification/Here are a couple of points to consider from HITRUST’s FAQ on the subject, 如果您正在寻找一家能够支持您获得多个认证的公司:

  • ISO 27001认证的重点是信息安全管理体系(ISMS)。, 其中包括对信息安全风险评估和处理过程的评估. However, “organizations can design controls as required, or identify them from any source” (ISO 27001, § 6.1.3.b, p. 4). Further, although ISO 27001 Annex A contains a list of control objectives and controls, 它们并非详尽无遗,可能需要额外的控制目标和控制”(同上)., § 6.1.3.c, p. 4). 尽管ISO审核员必须出具一份“适用性声明”,其中包含必要的控制措施(见6).1.3 b and c) and justification for inclusions, 不管它们是否被执行, and the justification for exclusions of controls from Annex A” (Ibid., § 6.1.3.d, p. 4), it doesn’t extend beyond what’s required in Annex A. 随后, 组织在他们指定的控制方面有很大的自由度,以在适合他们风险偏好的水平上处理他们识别的风险. ISO认证评审员在如何评估控制的有效性方面也有一定的自由度, 除了帮助组织准备ISO认证的顾问不执行认证评估的一般要求外,没有对评估进行质量控制.
  • The HITRUST脑脊液 provides a baseline of comprehensive, prescriptive control requirements tailored to specific organizational, 系统和监管风险因素. 由这些基线需求规定的详细测试过程关注于使用特定的, 严格的评估方法和评分模型,以衡量组织中对ePHI的过度剩余风险的水平. Like ISO, the testing must be performed by an approved assessor, referred to by HITRUST as an Authorized External Assessor Organization. Quality assurance is provided by HITRUST.

More information on this subject can be found here.

客户证明

的图标
我在技术领域工作了30多年,并与这个领域的所有大型公司的评估人员都有过接触, and I can say proudly with confidence that LBMC is second to none. 通过HITRUST进程, the team simply became an extension of us, and it ended up being a very enjoyable and an extremely rewarding experience!
一家全国领先的急性后医疗保健公司的副总裁兼首席信息安全官
的图标
LBMC is very flexible and accommodating to our specific needs. LBMC has given us a unique seat at the table with HITRUST certification, 这允许医疗保健实体证明符合许多标准和法规. With LBMC, you get a “Big 4” type of business without the extreme costs. The local access and level of service LBMC offers is no comparison to those large, 国家服务提供商.
在一家大型医疗技术公司担任信息安全风险管理副总裁
的图标
需要HITRUST评估, 我们想要一个有HITRUST经验的合作伙伴,我们可以经常面对面交流. 这使我们选择了一家拥有足够大资源和良好声誉的本地公司. LBMC was attractive because they had it all. 总而言之,明升体育app下载团队非常重视LBMC的高素质专业人员和可访问的专业知识.
Chief Information Security Officer at a healthcare management company in Nashville

HITRUST服务

HITRUST准备就绪和专业知识

作为HITRUST评估员,LBMC 网络安全当您踏上认证之旅并在任何行业中建立一个知名且普遍接受的安全框架时,明升体育app下载专家可以帮助确保您的组织为HITRUST做好准备.

HITRUST认证

HITRUST开发了一个保证程序,允许针对框架进行独立的HITRUST认证或验证. 这些验证或认证业务必须由组织(评估人员)执行,这些组织(评估人员)必须经过HITRUST的专门培训和审查,具有医疗保健信息安全方面的经验和专业知识.

HITRUST中期评估

根据HITRUST的要求, 在认证的第一年之后,必须完成一项临时评估,作为后续行动. LBMC 网络安全 是否可以根据HITRUST脑脊液来评估组织的当前状态,并利用收集到的任何证据向HITRUST提交年度审查信.

HITRUST桥梁评估

由于旅行限制,COVID-19大流行给开展HITRUST脑脊液评估的某些方面造成了困难, meetings, 以及访问公司网站的权限. 作为回应,HITRUST发布了要求延长认证期限的指南. 如果您正在寻找外部评估员来执行评估,LBMC随时准备为您提供帮助.  With ten years of experience helping companies with their HITRUST needs, and the most experienced team in the industry, 我们哪也不去!

网络研讨会:HITRUST 1评估

2021年12月, HITRUST宣布了最新的服务产品-新的i1实施认证.
在本视频中,你将学习:
  • What is the HITRUST i1 Implemented Verified Assessment and Certification?
  • 为什么要创建这个新选项?
  • i1和r2之间的关键区别.
  • How to choose which option is right for you.

按需网络研讨会时长:7:36

看网络研讨会

As the leader of the “10 year club” of assessors, LBMC是业内服务时间最长的评估员,拥有业内最有经验的团队. 回到2010年2月, 明升体育app下载领导人签名加入了这场运动,这场运动已经成为当今安全和隐私评估的黄金标准. 我们已经培养了一个由专家领导的评估团队,他们为这一成功做出了最长的贡献.

We have helped countless organizations reach their HITRUST脑脊液 认证的目标.  And, yes, we have learned many lessons along the way.  事实上,我们是评估委员会的成员,并协助教育和推广行业.  我们感到被强迫, 也有一定的义务, 为那些即将踏上这段旅程的人提供一些鼓励和建议.  Please reach out any time with how we can assist you on your journey!

管理团队

链接到Drew HITRUST

Drew Hendrickson

股东 & 网络安全实践负责人

手机图标 电子邮件图标 Nashville
手机图标 电子邮件图标 Nashville
链接到Robyn HITRUST

Robyn Barton

股东,网络安全

手机图标 电子邮件图标 Nashville
手机图标 电子邮件图标 Nashville

我们很乐意回答您明升体育app下载的安全专家可以为您做什么的任何问题. Submit the form below and one of our professionals will get back to you promptly.