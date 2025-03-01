صمم برنامج HITRUST Assurance Program، الذي يتضمن المعايير والتقييمات والشهادات وإطار العمل المركزي، لمساعدة المؤسسات التي تعتمد على البيانات والجهات الضامنة على إدارة تهديدات الأمن الإلكتروني المتزايدة مثل اختراق البيانات والتصيد الاحتيالي/التحايل واختراق البريد الإلكتروني للأعمال (BEC). يستند نهج HITRUST لحماية المعلومات إلى ستة مبادئ:

الشفافية: وضع توقعات واضحة لضوابط تهديدات الأمن الإلكتروني، وتقديم الأساس المنطقي لاختيارها وتفصيل منهجية كيفية تقييمها؛





وضع توقعات واضحة لضوابط تهديدات الأمن الإلكتروني، وتقديم الأساس المنطقي لاختيارها وتفصيل منهجية كيفية تقييمها؛ قابلية التوسع: تنفيذ عملية تقييم قابلة للتكيف مع التهديدات من خلال نهج متدرج يلبي الاحتياجات والمخاطر الفريدة لأي مؤسسة؛





الاتساق: إعداد عملية تقييم موحدة تثمر عن نتائج موحدة، بغض النظر عن المقيّم؛





الدقة: تنفيذ الآليات التي تقيّم فعالية الضوابط بشكل موثوق؛





النزاهة: تنفيذ العمليات التي تثمر عن نتائج يمكن التحقق منها ودقيقة ومتسقة؛





الكفاءة: الحصول على نتائج يسهل على جميع الأطراف المعنيين استخدامها.





مستويات الشهادة



لتلبية احتياجات المؤسسات بمختلف أحجامها، يقدم برنامج HITRUST Assurance Program ثلاثة أنواع من الشهادات.

e1: شهادة لمدة عام واحد للمؤسسات التي تتعرض للمخاطر بنسبة أقل والشركات الناشئة. صُممت هذه الشهادة لمساعدة الجهات الضامنة على إعداد نظام أساسي للوقاية من تهديدات الأمن الإلكتروني الشائعة مثل هجمات التصيد الاحتيالي وبرامج الفدية. الهدف من هذا التقييم المعتمد هو تقييم 44 مطلبًا أمنيًا أساسيًا، كما أنه يركز على الممارسات الأمنية المهمة لتحقيق الشفافية، والاتساق، والدقة، والنزاهة.

إلى جانب كونها أقل صرامة من عملية التقييم i1 أو r2، فإن شهادة e1 هي تقييم قابل للتكيف مع التهديدات يتضمن عددًا ثابتًا من بيانات المتطلبات، وتقييمات الجاهزية والتقييمات المعتمدة، ولا يمكن تعديله ليشمل الخصوصية. تتطلب هذه الشهادة عادةً أن تطبق الجهات الضامنة نظام لإدارة الامتيازات وإدارة كلمات مرور المستخدمين وحقوق وصول المستخدمين وتسجيل الدخول الآمن وغيرها من ضوابط الأمن الإلكتروني الأساسية بشكل مُرضٍ.

i1: تقييم معتمد لمدة عام واحد يوفر مستوى معتدل نسبيًا من الضمان لحالات مشاركة المعلومات ذات مستويات المخاطر المنخفضة. يقيّم هذا التقييم المعتمد 182 مطلبًا وغالبًا ما يكون خطوة تدريجية بين شهادتَي e1 و r2.

كما هو الحال مع شهادة e1، فإن شهادة i1 هي تقييم قابل للتكيف مع التهديدات يتضمن عددًا ثابتًا من بيانات المتطلبات وتقييمات الجاهزية والتقييمات المعتمدة، ولا يمكن تعديله ليشمل الخصوصية. وبالمثل، كما هو الحال مع تقييم e1، عادةً ما يفرض تقييم i1 على الجهات الضامنة تطبيق نظام لإدارة الامتيازات وإدارة كلمات مرور المستخدمين وحقوق وصول المستخدمين وتسجيل الدخول الآمن وغيرها من ضوابط الأمن الإلكتروني الأساسية، ولكنه في الوقت نفسه يضيف متطلبات إضافية مثل تطبيق برنامج إدارة أمن المعلومات وسياسة التحكم في الوصول.

r2: مخصصة للمؤسسات التي يجب أن تثبت أعلى مستوى ضمان. صُمم هذا التقييم المعتمد لمدة عامين للمؤسسات التي تتعامل مع معلومات حساسة أو كميات هائلة من البيانات أو تواجه متطلبات تنظيمية صارمة. يضمن تقييم r2 الذي تم تحديد نطاقه بشكل صحيح أن تكون متطلبات التحكم فعالة وممتثلة للوائح، ويوفر اختيار تحكم مرنًا وقابلاً للتخصيص وقائمًا على المخاطر لتلبية الاحتياجات الأكثر صرامة. يحتوي تصنيف HITRUST r2 على أكثر من 2000 بيان بمتطلبات تحكم متاحة ومصممة خصوصًا للتقييم بناءً على اختيارات التحكم ونطاق التقييم.

تتطلب شهادة r2 أن تطبق الجهات الضامنة نظامًا لإدارة الامتيازات وإدارة كلمات مرور المستخدمين وحقوق وصول المستخدمين وتسجيل الدخول الآمن وغيرها من ضوابط الأمن الإلكتروني الأساسية—بالإضافة إلى برنامج إدارة أمن المعلومات وسياسة التحكم في الوصول. كما تتطلب أيضًا أن تقيّم الجهات الضامنة استمرارية الأعمال في مجال أمن المعلومات وتصمم إطار عمل تخطيطيًا ذا صلة وتنفّذ ضوابط وإجراءات متقدمة أخرى.



الحصول على الشهادة



يمكن للمؤسسات الحصول على مستوى الشهادة المناسب من خلال المقيّمين الخارجيين المعتمدين من HITRUST. ويمكن الوصول إلى جميع أدوات تقييم HITRUST الثلاث، بالإضافة إلى أدوات الحوكمة والمخاطر والامتثال الإضافية، من خلال تطبيق HITRUST MyCSF® المركزي.



موارد إضافية



يُعد برنامج HITRUST Assurance Program™ أحد جوانب إطار عمل إدارة المخاطر (RMF) الشامل في المؤسسة، وهو عبارة عن مجموعة من الشهادات والمنتجات والمنهجيات والأدوات التي يتم إنشاؤها من أجل الوصول إلى "فهم مشترك لضوابط الأمن والخصوصية اللازمة لحماية المعلومات الحساسة وخصوصية الأفراد"، وفقًا لما جاء في دليل HITRUST لإدارة المخاطر.

يوفر إطار عمل إدارة المخاطر، الذي تم إصداره لأول مرة في عام 2009، نهجًا متسقًا لإدارة الأمن الإلكتروني وإدارة المخاطر والامتثال. ويتألف إطار عمل إدارة المخاطر من إطار عمل HITRUST CSF، وبرنامج HITRUST Assurance Program™ والمنتجات والشهادات ذات الصلة. وهو يجمع بين متطلبات الامتثال القانونية والتنظيمية على المستوى المحلي والفيدرالي في الولايات المتحدة وكذلك الدولي مثل قانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) واللائحة العامة لحماية البيانات (GDPR) للاتحاد الأوروبي من خلال منهجية موحدة وضوابط جودة ومقيّمين خارجيين معتمدين من HITRUST.

لمزيد من المعلومات حول متطلبات الامتثال لـ HITRUST أو عملية الاعتماد، يُرجى زيارة HITRUSTAlliance.net.