HITRUST
Was ist HITRUST?
HITRUSTRisiko- und compliance-orientiertes Sicherheitsrahmenwerk HITRUST CSF, das im US-Gesundheitswesen breit genutzt wird, um Konformitaet mit HIPAA, NIST und weiteren Quellen zu belegen.
HITRUST (urspruenglich Health Information Trust Alliance) ist eine US-amerikanische Organisation, die das HITRUST Common Security Framework (CSF) herausgibt - ein kontrollbasiertes Rahmenwerk, das 2009 erstmals veroeffentlicht und regelmaessig aktualisiert wird (aktuelle Hauptversion: CSF v11). Das CSF harmonisiert Anforderungen aus HIPAA, HITECH, NIST SP 800-53 und 800-171, ISO/IEC 27001/27002, PCI DSS, DSGVO, der EU-KI-Verordnung und weiteren Quellen zu einem einheitlichen, praeskriptiven und scope-fokussierten Kontrollkatalog. Organisationen koennen drei Zertifizierungsstufen (e1, i1, r2) ueber akkreditierte HITRUST-Assessoren erreichen. Obwohl stark mit dem Gesundheitswesen verbunden, wird das Framework zunehmend auch in Finanzdienstleistungen, Technologie und anderen regulierten Branchen als einheitlicher pruefbarer Nachweis genutzt.
● Beispiele
- 01
Ein US-Healthcare-SaaS erreicht eine HITRUST-r2-Zertifizierung, um HIPAA-Anforderungen seiner Krankenhauskunden zu erfuellen.
- 02
Eine Krankenversicherung verlangt von einem kleinen Startup-Anbieter eine HITRUST-e1-Zertifizierung vor dem Onboarding.
● Häufige Fragen
Was ist HITRUST?
Risiko- und compliance-orientiertes Sicherheitsrahmenwerk HITRUST CSF, das im US-Gesundheitswesen breit genutzt wird, um Konformitaet mit HIPAA, NIST und weiteren Quellen zu belegen. Es gehört zur Kategorie Compliance und Frameworks der Cybersicherheit.
Was bedeutet HITRUST?
Risiko- und compliance-orientiertes Sicherheitsrahmenwerk HITRUST CSF, das im US-Gesundheitswesen breit genutzt wird, um Konformitaet mit HIPAA, NIST und weiteren Quellen zu belegen.
Wie funktioniert HITRUST?
HITRUST (urspruenglich Health Information Trust Alliance) ist eine US-amerikanische Organisation, die das HITRUST Common Security Framework (CSF) herausgibt - ein kontrollbasiertes Rahmenwerk, das 2009 erstmals veroeffentlicht und regelmaessig aktualisiert wird (aktuelle Hauptversion: CSF v11). Das CSF harmonisiert Anforderungen aus HIPAA, HITECH, NIST SP 800-53 und 800-171, ISO/IEC 27001/27002, PCI DSS, DSGVO, der EU-KI-Verordnung und weiteren Quellen zu einem einheitlichen, praeskriptiven und scope-fokussierten Kontrollkatalog. Organisationen koennen drei Zertifizierungsstufen (e1, i1, r2) ueber akkreditierte HITRUST-Assessoren erreichen. Obwohl stark mit dem Gesundheitswesen verbunden, wird das Framework zunehmend auch in Finanzdienstleistungen, Technologie und anderen regulierten Branchen als einheitlicher pruefbarer Nachweis genutzt.
Wie schützt man sich gegen HITRUST?
Schutzmaßnahmen gegen HITRUST kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für HITRUST?
Übliche alternative Bezeichnungen: HITRUST CSF, Health Information Trust Alliance.
● Verwandte Begriffe
- compliance№ 475
HIPAA
US-Gesetz Health Insurance Portability and Accountability Act, das nationale Standards für den Schutz individuell identifizierbarer Gesundheitsdaten festlegt.
- compliance№ 557
ISO/IEC 27001
Internationaler Standard mit Anforderungen an ein Information Security Management System (ISMS), nach dem Organisationen formal zertifiziert werden können.
- compliance№ 731
NIST Cybersecurity Framework
Freiwilliges, risikobasiertes Rahmenwerk des US-amerikanischen NIST, das Cybersicherheitsziele in sechs Kernfunktionen gliedert.
- compliance№ 1063
SOC 2
Bescheinigungsstandard des AICPA, bei dem ein unabhängiger Prüfer die Kontrollen einer Dienstleistungsorganisation anhand der Trust Services Criteria bewertet.
- compliance№ 807
PCI DSS
Weltweiter Sicherheitsstandard für Organisationen, die Zahlungskartendaten speichern, verarbeiten oder übertragen, gepflegt vom PCI Security Standards Council.
- compliance№ 737
NIST SP 800-53
NIST-Publikation mit einem umfassenden Katalog von Sicherheits- und Datenschutzkontrollen für US-Bundessysteme und viele Anwender im Privatsektor.