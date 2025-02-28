HITRUST 根据六项核心原则来评估信息安全：透明度、可扩展性、一致性、准确性、完整性和效率。它可将州/省、联邦及国际法律和监管合规要求与标准化方法、质量与安全控制措施以及外部 HITRUST 评估人员社区整合在一起。
HITRUST 提供三个级别的认证：一个面向有限风险的组织；另一个适用于已实施安全计划的组织；第三个则用于需证明其满足最严格的风险管理要求并遵守《健康保险流通和责任法案》(HIPAA) 或美国国家标准与技术研究院的“改善关键基础设施网络安全的框架”（NIST 网络安全框架）的组织。
HITRUST（以前称为“健康信息信任联盟”）成立于 2007 年，其最初宗旨是帮助医疗保健组织遵守 HIPAA 要求。根据 HITRUST 的数据，财富 20 强企业中，75% 的公司已使用 HITRUST 认证。
报告和文档
联系 IBM 代表以索取 HITRUST 认证证书，其中包含有关 IBM Cloud 基础设施、IBM Cloud VPC 和 PaaS 以及 IBM Power Virtual Server on IBM Cloud 的更详细范围描述。
HITRUST 保障计划包括多项标准、评估、认证以及一个集中式框架。该计划旨在帮助数据密集型组织和保障提供商管理日益猖獗的网络安全威胁，例如数据安全漏洞、网络钓鱼/欺骗和商业电子邮件泄露 (BEC)。HITRUST 的信息保护方法基于六项原则：
为满足各种规模的组织，HITRUST 保障计划可提供三种认证。
e1：面向低风险组织和初创公司的一年期认证。此评估经过验证，旨在帮助保障提供商开发基线系统，以防止网络钓鱼和勒索软件等常见网络安全威胁；同时，它可评估 44 项核心安全要求，并重点关注针对透明度、一致性、准确性和完整性的关键安全实践。
与 i1 或 r2 评估流程相比，e1 认证的严格性较低且是一种威胁自适应评估，其中包括固定数量的要求声明、就绪评估和验证式评估，但无法进行定制以包含隐私内容。此认证通常要求保障提供商充分实施权限管理、用户密码管理、用户访问权限、安全登录以及其他基线网络安全控制措施。
i1：一项一年期验证式评估，它可为风险阈值较低的信息共享情况提供相对中等程度的保障。此验证式评估会评估 182 项要求，且通常属于 e1 与 r2 认证之间的一个渐进式步骤。
与 e1 认证一样，i1 也是一项威胁自适应评估，其中包括固定数量的要求声明、就绪评估和验证式评估，且无法进行定制以包含隐私内容。此外，与 e1 评估一样，i1 评估通常要求保障提供商实施权限管理、用户密码管理、用户访问权限、安全登录以及其他基线网络安全控制措施，但增加了额外要求；例如，实施信息安全管理计划和访问控制策略。
r2：适用于必须证明能达到最高保证级别的组织。该两年期验证式评估专为会共享敏感信息、处理大量数据或面临具有挑战性的监管要求的组织而设计。范围得当的 r2 评估可确保控制要求有效且合规，并提供灵活、可定制且基于风险的控制选择，以满足最苛刻的需求。HITRUST r2 评估提供 2,000 多条控制要求，并可根据控制选择和范围对此评估进行定制。
r2 认证要求保障提供商实施权限管理、用户密码管理、用户访问权限、安全登录和其他基线网络安全控制措施，以及信息安全管理计划和访问控制策略。此外，它还要求保障提供商评估信息安全业务连续性、制定相关的规划框架，并实施其他先进的控制措施和流程。
组织可通过经审查的 HITRUST 外部评估员组织获得相应级别的认证。全部三项 HITRUST 评估以及其他治理、风险与合规工具，均可通过基于应用程序的 HITRUST MyCSF 集中式平台进行访问。
HITRUST 保障计划是组织的全面风险管理框架 (RMF) 的其中一个方面。RMF 是一套认证、产品、方法和工具，它旨在根据《HITRUST 风险管理手册》来满足针对以下内容的需求：即，围绕保护敏感信息和个人隐私所需的安全与隐私控制措施来达成共识。
RMF 最初于 2009 年发布，可为网络安全、风险管理和合规提供一致的方法。RMF 包括 HITRUST CSF、HITRUST 保障计划以及相关的产品和认证。它将美国州政府、美国联邦与国际法律和监管要求（如 HIPAA 和欧盟的《通用数据保护条例》(GDPR)）与标准化方法、质量控制措施和 HITRUST 认证的外部评估员相结合。
有关 HITRUST 合规性要求或认证流程的更多信息，请访问 HITRUSTAlliance.net。
基于零信任原则和经过验证的数据隐私保护，通过整体、自适应的数据隐私方法提供值得信赖的客户体验，并发展您的业务。
制定用于适应市场变化、法规和受限运营的战略，以降低风险并提高效率。可扩展的智能工作流程可实现风险评估、监管合规和欺诈预防，从而帮助您完成优先事项并推动增长。
通过创新的客户体验做出更好的即时医疗决策、加快研究速度、激发患者的信心，同时延长系统正常运行时间，并满足安全与合规标准。
HITRUST CSF 包含多个需求领域。这些领域涵盖了组织安全状况的各个方面，包括规范性控制要求和详细控制要求。
某些控制领域（例如，与信息保护计划和教育相关的控制领域）完全由接受 HITRUST 控制措施评估的各个实体负责，而不属于针对云服务提供商 (CSP) 的分担责任模型。大多数领域的控制措施均采用分担责任制。
IBM Cloud 提供的服务可帮助您满足 HITRUST 要求，并加快您的合规之旅。
端点保护
硬件防火墙
硬件防火墙可为客户提供一个必不可少的安全层，采用按需配置，不会中断服务。它可防止不必要的流量进入您的服务器，从而减少攻击面，并支持将您的服务器资源专用于其既定的用途。
统一终端管理 (UEM) 解决方案
实施 UEM 解决方案，并运用开放云 AI 方法来保护和管理任意设备
IBM QRadar Suite
IBM® Security QRadar 套件是一个现代化的威胁检测和响应解决方案，旨在统一整合安全分析师体验，提高他们在整个事件生命周期中的响应速度。该产品服务组合嵌入了企业级 AI 和自动化，可显著提高分析人员的工作效率，帮助资源紧张的安全团队更有效地开展跨核心技术工作。
它提供通用用户界面、共享洞察分析和互联工作流程，并可为以下功能提供集成式产品：端点安全（EDR、XDR、MDR）、SIEM、SOAR。
便携式介质安全
统一终端管理 (UEM) 解决方案
实施 UEM 解决方案，并运用开放云 AI 方法来保护和管理任意设备
移动设备安全
统一终端管理 (UEM) 解决方案
实施 UEM 解决方案，并运用开放云 AI 方法来保护和管理任意设备
无线安全
配置管理
IBM Cloud Security and Compliance Center – 工作负载保护
在侧重容器和微服务的架构中，您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞，确定其优先级，检测和应对威胁，并管理从源代码到运行的配置、权限和合规。
漏洞管理
DevSecOps 应用程序生命周期管理
DevSecOps 应用程序生命周期管理可部署架构创建了一系列 DevOps 工具链和管道。DevSecOps 采用持续交付 (CD)（Git Repos and Issue Tracking、Tekton Pipelines、IBM Cloud DevOps Insights 和 Code Risk Analyzer）、Secrets Manager、IBM Key Protect、IBM Cloud Object Storage、IBM Cloud Container Registry 和 Vulnerability Advisor。
IBM Cloud Security and Compliance Center – 工作负载保护
在侧重容器和微服务的架构中，您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞，确定其优先级，检测和应对威胁，并管理从源代码到运行的配置、权限和合规。
IBM QRadar Suite
网络和传输保护
密码管理
访问控制
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证，并一致地控制对 IBM Cloud Platform 中所有资源的访问。
审计记录和监控
IBM Cloud Security and Compliance Center – 工作负载保护
在侧重容器和微服务的架构中，您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞，确定其优先级，检测和应对威胁，并管理从源代码到运行的配置、权限和合规。
事件管理
业务连续性和灾难恢复
风险管理
IBM Cloud Security and Compliance Center – 工作负载保护
在侧重容器和微服务的架构中，您可以使用 IBM Cloud Security and Compliance Center Workload Protection 来查找软件漏洞，确定其优先级，检测和应对威胁，并管理从源代码到运行的配置、权限和合规。
数据保护和隐私
IBM® Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Management 服务可安全地对用户进行身份验证，并一致地控制对 IBM Cloud Platform 中所有资源的访问。
