HITRUST的背景已牢牢扎根于美国医疗保健领域,但其他行业的公司已表示,通过获得HITRUST CSF认证,他们正在获得竞争优势。各种以服务为基础的行业,从金融服务到语言服务公司,都在转向HITRUST,因为它的总体框架和权威来源越来越与行业无关。这些行业的一个共同点是,敏感数据的交换和保护越来越重要。
计划于2021年发布的HITRUST CSF v.10将继续与行业无关,并满足旅行、旅游和金融服务部门的需求,以支持其在医疗保健行业之外的持续扩张。
更新HITRUST PRISMA成熟度模型
用于评估控件的HITRUST方法不同于用于系统评审和元分析的首选报告项(PRISMA)。它不是二元的,也不关注操作效率和设计。HITRUST使用一个五点成熟度模型,我们将在下面详细介绍。
PRISMA参照的HITRUST五点成熟度模型如下:
- 政策-公司的期望是否在书面政策中明确?它们是否得到了相关人员的批准,是否得到了清晰的沟通?
- 过程控制的操作方面是否有定义、批准和沟通?
- 实现控制是否到位并按预期执行?
- 测量组织是否有必要的可见性来了解控制是否不起作用?
- 管理组织是否对风险做出了反应并解决了它们?
评估人员现在评估的更新的PRISMA模型已经改变,对实现给予了最大的权重。除非所有事情都被有效地实现,否则成熟度模型的所有其他方面都没有什么相关性。
那么,这对于寻求HITRUST CSF认证的组织意味着什么呢?
成熟度模型各要素权重的变化表明网络安全越来越受到重视。HITRUST从这些PRISMA权重更新中得到的信息是明确的:有良好记录的政策和过程是不够的;有效实施内部控制对HITRUST CSF认证至关重要。
组织需要专注于设计和实现健壮的安全程序和策略。虽然不是遵从性的唯一基础,但有效的设计和实现是对基础设施的真实威胁的最佳防御。
全球扩张
向海外市场的扩张正在进行中,正在进行探索性的推进亚洲及太平洋市场.这是针对任何类型、规模或地点的企业的信息风险管理和合规的全球信息保护目标的一部分。该计划将在当地、全国和全球范围内提供服务。
HITRUST的首席隐私官Anne Kimbol说:“随着世界各国不断采用和推进数据保护法律,在全球范围内开展业务的挑战变得越来越复杂。许多国家都有独特的监管要求,这给企业确定是否合规开展全球业务带来了成本和挑战。”
考虑到这一点,HITRUST扩展了它的框架以包括一般数据保护条例(GDPR)新加坡的《个人数据保护法》(PDPA)。此外,HITRUST还向欧盟数据保护委员会和爱尔兰数据保护委员会提交了正式申请,以使HITRUST CSF正式被认可为GDPR认证的标准。
这将建立在HITRUST方法和他们的愿景之上一个框架,一个评估,全球。
为了实现国际扩张的目标,他们已经开始了几个重点项目,包括:
- 建立亚洲咨询委员会并呼吁从符合条件的申请人中提名。在风险管理,隐私和安全方面的丰富经验将是先决条件。了解与亚洲企业相关的安全和隐私法律将是必不可少的。亚洲咨询委员会将确保HITRUST方法与亚太社区的需求保持相关性。亚洲咨询委员会的主要作用将是与HITRUST合作,确保HITRUST方法为该地区的公司设定标准,以实现全面、量身定制的隐私和安全风险管理解决方案。
- 他们更新了HITRUST CSF框架与亚洲特有的权威消息来源。这些更新将分三个阶段交付。第一阶段将包括香港、马来西亚和菲律宾的数据隐私法规,将这些国家的议会法案纳入权威来源。第二阶段将涉及银行和金融服务法规,第三阶段将包括网络安全和IT法规。
- 支持HITRUST CSF中的数据本地化,使用户可以指定数据保存的位置。这将确保它们符合数据本地化要求。
- 申请成为问责代理人亚太经济合作组织(亚太经合组织)跨境私隐规则制度(CBPRS)及处理者私隐认可制度(PRPS)。
HITRUST决心为各种规模的企业提供最全面的、全球相关的信息保护框架和服务。HITRUST CSF和CSF保障计划为信息风险管理提供了一个单一的集成方法,可以轻松地与客户和当局共享。
作为HITRUST CSF认证机构,ISI语言解决方案是理想的语言访问和本地化专家,可将您的品牌推向全球,并支持您的公司在世界各地开拓新市场。
了解更多关于HITRUST与我们的免费电子书:
