Définition et objectif

Le HITRUST CSF offre une approche structurée de la conformité réglementaire et de la gestion des risques. Reconnaissant la multitude de réglementations en matière de sécurité et de confidentialité auxquelles les organisations de santé sont confrontées, le HITRUST CSF consolide plusieurs cadres de conformité, normes et meilleures pratiques en un cadre de sécurité global adapté aux informations de santé et aux systèmes connexes.

Organe directeur

L'organe directeur de HITRUST est la Health Information Trust Alliance (HITRUST).

Dernière mise à jour

La dernière mise à jour était la version 11 publiée en janvier 2023.

S'applique à

Bien que le HITRUST CSF soit principalement adapté à l'industrie de la santé - englobant les régimes de santé, les fournisseurs de soins de santé, les sociétés pharmaceutiques et les fournisseurs de technologies de l'information pour la santé - il a élargi son applicabilité à d'autres industries en raison de sa nature complète et de son adaptabilité. Les entreprises ou organisations qui stockent, traitent ou transmettent des données sensibles ou réglementées, en particulier les informations personnelles de santé (PHI), sont les principales candidates à la certification HITRUST.

Contrôles et exigences

Le HITRUST CSF comprend un ensemble de contrôles prescriptifs qui reflètent les meilleures pratiques en matière de sécurité de l'information. Ces contrôles sont organisés en plusieurs domaines, tels que :

• Programme de protection de l'information
• Protection des terminaux
• Protection du réseau
• Gestion des vulnérabilités
• Contrôle d'accès
• Journalisation et surveillance des audits
• Éducation, formation et sensibilisation
• Gestion des incidents
• Continuité des opérations et reprise après sinistre
• Gestion des risques
• Sécurité physique et environnementale
• Protection et confidentialité des données
• Assurance des tiers
• Développement de logiciels sécurisés

Chaque domaine comprend un ensemble de contrôles spécifiques. Le nombre exact de contrôles auxquels une organisation doit adhérer dépendra de divers facteurs, notamment du type et de la taille de l'organisation, des systèmes utilisés et des exigences réglementaires.

Veuillez consulter la documentation officielle du HITRUST CSF pour une liste détaillée des contrôles et des exigences.

Type d'audit, fréquence et durée

Le processus de certification HITRUST comprend des options d'auto-évaluation et d'évaluation validée. Une évaluation validée implique qu'un évaluateur externe évalue l'adhérence d'une organisation aux contrôles du CSF HITRUST.

La durée de l'audit dépend de la portée ainsi que de la taille et de la complexité de l'organisation. En général, une évaluation validée HITRUST peut prendre de plusieurs semaines à plusieurs mois du début à la fin. Les organisations cherchant à subir une évaluation HITRUST devraient consulter un évaluateur externe autorisé HITRUST pour obtenir des délais et des exigences détaillés.

La certification HITRUST est valable pendant deux ans. Cependant, la deuxième année, les organisations doivent effectuer une revue intermédiaire pour garantir la conformité continue.