HITRUST
HITRUST 是什么?
HITRUST以风险与合规为核心的安全框架 HITRUST CSF,广泛用于美国医疗行业以证明对 HIPAA、NIST 等权威来源的对齐。
HITRUST(最初称 Health Information Trust Alliance)是一家美国组织,负责发布 HITRUST 通用安全框架(CSF)。该控制框架于 2009 年首次发布并定期更新,当前主要版本为 CSF v11。CSF 将 HIPAA、HITECH、NIST SP 800-53 与 800-171、ISO/IEC 27001/27002、PCI DSS、GDPR、欧盟 AI 法案等多项来源的要求整合为一套范围明确、可操作性强的控制要求。组织可申请由获认证 HITRUST 评估机构出具的三个级别(e1、i1、r2)的证书。尽管该框架与医疗行业关联紧密,但越来越多的金融、科技及其他受监管行业也将其作为一站式审计就绪保障使用。
● 示例
- 01
美国医疗 SaaS 公司获得 HITRUST r2 认证,以满足要求 HIPAA 保障的医院客户。
- 02
支付方组织在引入小型创业供应商前要求其取得 HITRUST e1 认证。
● 常见问题
HITRUST 是什么?
以风险与合规为核心的安全框架 HITRUST CSF,广泛用于美国医疗行业以证明对 HIPAA、NIST 等权威来源的对齐。 它属于网络安全的 合规与框架 分类。
HITRUST 是什么意思?
以风险与合规为核心的安全框架 HITRUST CSF,广泛用于美国医疗行业以证明对 HIPAA、NIST 等权威来源的对齐。
HITRUST 是如何工作的?
HITRUST(最初称 Health Information Trust Alliance)是一家美国组织,负责发布 HITRUST 通用安全框架(CSF)。该控制框架于 2009 年首次发布并定期更新,当前主要版本为 CSF v11。CSF 将 HIPAA、HITECH、NIST SP 800-53 与 800-171、ISO/IEC 27001/27002、PCI DSS、GDPR、欧盟 AI 法案等多项来源的要求整合为一套范围明确、可操作性强的控制要求。组织可申请由获认证 HITRUST 评估机构出具的三个级别(e1、i1、r2)的证书。尽管该框架与医疗行业关联紧密,但越来越多的金融、科技及其他受监管行业也将其作为一站式审计就绪保障使用。
如何防御 HITRUST?
针对 HITRUST 的防御通常结合技术控制与运营实践,详见上方完整定义。
HITRUST 还有哪些其他名称?
常见的别称包括: HITRUST CSF, Health Information Trust Alliance。
● 相关术语
- compliance№ 475
HIPAA
美国《健康保险流通与责任法》,为可识别个人健康信息的保护设立国家级标准。
- compliance№ 557
ISO/IEC 27001
信息安全管理体系(ISMS)要求的国际标准,组织可据此通过正式认证。
- compliance№ 731
NIST 网络安全框架
由美国国家标准与技术研究院发布的自愿性、基于风险的框架,将网络安全目标分为六大核心功能。
- compliance№ 1063
SOC 2
由 AICPA 制定的鉴证标准,由独立审计师依据 Trust Services Criteria 评估服务型组织的控制措施。
- compliance№ 807
PCI DSS
适用于存储、处理或传输支付卡数据的组织的全球信息安全标准,由 PCI 安全标准委员会维护。
- compliance№ 737
NIST SP 800-53
NIST 发布的安全与隐私控制综合目录,适用于美国联邦信息系统及众多私营部门采用者。