Definition und Zweck

Das HITRUST CSF bietet einen strukturierten Ansatz zur Einhaltung von Vorschriften und zum Risikomanagement. In Anerkennung der Vielzahl von Sicherheits- und Datenschutzvorschriften, denen Gesundheitsorganisationen gegenüberstehen, konsolidiert das HITRUST CSF mehrere Compliance-Frameworks, Standards und Best Practices in einem einzigen übergreifenden Sicherheitsframework, das auf Gesundheitsinformationen und verwandte Systeme zugeschnitten ist.

Aufsichtsorgan

Das Aufsichtsorgan für HITRUST ist die Health Information Trust Alliance (HITRUST).

Zuletzt aktualisiert

Das letzte Update war Version 11, die im Januar 2023 veröffentlicht wurde.

Gilt für

Obwohl das HITRUST CSF hauptsächlich auf die Gesundheitsbranche zugeschnitten ist – einschließlich Gesundheitsplänen, Gesundheitsdienstleistern, Pharmaunternehmen und IT-Anbietern im Gesundheitswesen – hat es seine Anwendbarkeit aufgrund seiner umfassenden Natur und Anpassungsfähigkeit auf andere Branchen ausgeweitet. Unternehmen oder Organisationen, die sensible oder regulierte Daten speichern, verarbeiten oder übermitteln, insbesondere personenbezogene Gesundheitsinformationen (PHI), sind Hauptkandidaten für die HITRUST-Zertifizierung.

Kontrollen und Anforderungen

Das HITRUST CSF umfasst eine Reihe vorschreibender Kontrollen, die die besten Praktiken in der Informationssicherheit widerspiegeln. Diese Kontrollen sind in verschiedene Bereiche organisiert, wie zum Beispiel::

• Informationsschutzprogramm
• Endpunktschutz
• Netzwerkschutz
• Schwachstellenmanagement
• Zugangskontrolle
• Protokollierung und Überwachung
• Bildung, Schulung und Sensibilisierung
• Vorfallmanagement
• Geschäftskontinuität und Katastrophenwiederherstellung
• Risikomanagement
• Physische und Umweltsicherheit
• Datenschutz
• Sicherstellung durch Dritte
• Sichere Softwareentwicklung

Jeder Bereich umfasst eine Reihe spezifischer Kontrollen. Die genaue Anzahl der Kontrollen, die eine Organisation einhalten muss, hängt von verschiedenen Faktoren ab, einschließlich des Typs und der Größe der Organisation, der verwendeten Systeme und der regulatorischen Anforderungen.

Bitte beachten Sie die offizielle HITRUST CSF-Dokumentation für eine detaillierte Liste der Kontrollen und Anforderungen.

Audittyp, -frequenz und -dauer

Der HITRUST-Zertifizierungsprozess umfasst sowohl Selbstbewertungs- als auch validierte Bewertungsoptionen. Eine validierte Bewertung beinhaltet einen externen Prüfer, der die Einhaltung der HITRUST CSF-Kontrollen einer Organisation bewertet.

Die Dauer der Prüfung variiert je nach Umfang sowie Größe und Komplexität der Organisation. In der Regel kann eine validierte HITRUST-Bewertung von mehreren Wochen bis zu mehreren Monaten dauern. Organisationen, die eine HITRUST-Bewertung durchführen lassen möchten, sollten sich für detaillierte Zeitpläne und Anforderungen an einen von HITRUST autorisierten externen Prüfer wenden.

Die HITRUST-Zertifizierung gilt für zwei Jahre. Im zweiten Jahr sind Organisationen jedoch verpflichtet, eine Zwischenprüfung durchzuführen, um die kontinuierliche Einhaltung sicherzustellen.