什么是 HITRUST？

HITRUST，即Health Information Trust Alliance（健康信息信任联盟），是医疗保健行业中最杰出的认证组织之一。由于拥有大量的患者数据和过多的集成技术，医疗保健行业是网络窃贼的主要目标。仅在2018年，平均每天就发生一起医疗保健数据泄露事件，导致1500万条患者记录丢失。

《健康保险流通与责任法案》(HIPAA) 的安全和隐私规则要求对医疗保健数据进行“合理和适当”的保护。但它们并没有明确规定组织如何证明合规性。

HIPAA 合规性很快成为医疗保健公司面临的障碍。2007年，一个由多家医疗保健组织的安全专家组成的委员会聚集在一起，成立了一个名为 Health Information Trust Alliance (HITRUST) 的组织。该组织的目标只有一个，即标准化电子受保护的健康信息 (ePHI) 的安全控制，以创建一条可验证的 HIPAA 合规路径。

HITRUST CSF

自2007年以来，HITRUST 已仔细选择并评估了联邦和行业最佳实践中的控制措施，这些措施支持 HIPAA 的信息保护要求，并将它们整合到一个可认证的控制框架中，即 HITRUST CSF。

HITRUST CSF 目前是美国医疗保健行业采用最广泛的框架，超过80% 的医院和健康计划已采用 CSF 作为资源或作为其整体计划的基础。

HITRUST 希望为医疗保健组织提供有关如何根据HIPAA应用安全控制的指导。该联盟认识到，在全球市场数据保护标准各不相同的情况下，需要一种统一且一致的方法来应用安全性。

因此，ISO/IEC 27001 被选为 HITRUST CSF 的基础，因为它提供的高级控制措施适用于任何组织、任何行业和任何国家。HITRUST CSF 在此基础上不断发展，通过包含HIPAA、HITECH、PCI、ISO/IEC、COBIT、SOX、NIST 和GDPR 等多项标准和法规的要求，朝着“一个框架，一次评估”的承诺迈进。

HITRUST 已迅速成为医疗保健及其他行业评估和报告信息风险安全和合规性的黄金标准。如果您的组织需要遵守 HIPAA，但需要第三方验证来证明您已接受审计并达到了适用的安全要求，那么 HITRUST 是一个极好的选择。

此外，HITRUST 认证为任何行业的组织带来以下好处：

• 在美国，许多主要的医疗保健支付方要求此认证。
• 提升品牌形象，并向潜在客户展示您的安全承诺。
• 降低风险，并证明符合主要的全球法规。
• 节省用于合规性审计的时间和金钱。
• 它通过一个框架不断适应新兴的网络威胁。

HITRUST 的要求

HITRUST CSF 可分为三个主要部分：控制、实施级别和要求。HITRUST CSF v9 的发布将 HITRUST CSF 认证所需控制的数量从66个增加到75个。每个控制都有三个实施级别，每个级别都有自己的要求。每个级别都建立在上一级别的要求之上。HITRUST 的设计比其他框架更严格，其要求可能高达数百项。

HITRUST CSF 认证

HITRUST CSF^® 认证过程包括五个步骤。NCC Group 将与组织一起完成这五个步骤，平均需要 6 个月到 1 年的时间才能完成，具体取决于组织的准备程度以及需要采取哪些措施来实施适当的控制。步骤如下：

步骤 1：范围界定

下载 HITRUST CSF 以详细了解该框架及其控制措施。这样做的好处是避免承担过多的要求，或者相反，不足以满足组织的需求。准确定义范围是缩短 HITRUST CSF 认证时间和减轻财务负担的最佳方法。

步骤 2：访问 MyCSF

联系 HITRUST 以获得对 **HITRUST MyCSF**^® 工具的访问权限。然后，您可以根据之前定义的范围创建评估，并上传现有的策略和程序，以评估它们是否符合评估的 HITRUST CSF 控制要求陈述。购买 HITRUST MyCSF 的年度订阅有许多好处，包括减少自助评估和验证评估之间的重复工作。

步骤 3：自我评估

此步骤完全由内部进行，但选择评估员可以进行简化的自我评估。此评估包括对文档、评分、控制描述进行审查，当然，还会识别差距并提供建议。HITRUST 还提供 HITRUST CSF 自我评估报告，该报告将以正式报告的形式记录发现，可用于向客户提供保证。

步骤 4：验证评估

当您准备好开始 HITRUST CSF 验证评估时，组织可以利用之前已界定范围并生成的评估，或者根据您的 HITRUST MyCSF 访问级别创建一个新评估。

NCC Group 在所有安全措施到位并有效至少 90 天后才会进行验证。之后，大约需要90 天的时间来完成对控制措施的测试、抽样和验证，然后提交给HITRUST。

HITRUST 要求 NCC Group 对所有验证的评估进行彻底的质量保证，然后才能提交。我们通常看到客户的控制集在低端大约有 300 项要求，对于更广泛的项目则高达 600 多项。未达到 HITRUST 认证评分要求的 HITRUST CSF 验证评估将获得 HITRUST CSF 验证报告。

步骤 5：持续测试

HITRUST CSF 认证有效期为两年，之后需要进行全面的重新验证。验证的第一年之后需要进行一次可信审查。

HITRUST 与 HIPAA 的区别

HIPAA 是由律师和立法者制定的法律，而 HITRUST 是由包括 HIPAA 在内的各个方面在内的安全行业专家创建的框架。

HITRUST 提供了一种方式，使 CSF 组织能够证明其符合 HIPAA 所需的安全控制。HITRUST 借鉴并扩展了 HIPAA 的要求，将其纳入一个基于安全和风险的框架中。

根据HHS 的说法，《HIPAA 隐私规则》要求受保护的实体采取适当的管理、技术和物理保障措施，以保护受保护健康信息 (PHI) 的机密性。

这意味着受保护的实体应实施适当的保障措施。以限制偶然性信息，并避免在处置此类信息时使用和披露 PHI。

HITRUST 可以帮助为实施适当的管理、技术和物理安全措施提供可衡量的标准和目标。HITRUST 不能取代HIPAA 合规性，也不能证明某个实体已获得 HIPAA 合规性，但它被广泛接受为一种良好的方法。