HITRUST 保障计划包括多项标准、评估、认证以及一个集中式框架。该计划旨在帮助数据密集型组织和保障提供商管理日益猖獗的网络安全威胁，例如数据安全漏洞、网络钓鱼/欺骗和商业电子邮件泄露 (BEC)。HITRUST 的信息保护方法基于六项原则：

透明度： 对网络安全威胁控制措施设定明确的期望，提供相关选择的理由，并详细说明应如何对其进行评估的相关方法；





对网络安全威胁控制措施设定明确的期望，提供相关选择的理由，并详细说明应如何对其进行评估的相关方法； 可扩展性： 采用可满足任意组织的特有需求和风险的垫脚石方法来实施威胁自适应评估流程；





采用可满足任意组织的特有需求和风险的垫脚石方法来实施威胁自适应评估流程； 一致性： 制定一个能产生标准化结果的评估流程，而无论评估员是谁；





制定一个能产生标准化结果的评估流程，而无论评估员是谁； 准确性： 实施能可靠评估控制措施有效性的机制；





实施能可靠评估控制措施有效性的机制； 完整性： 实施能产生可验证、准确且一致结果的流程；





实施能产生可验证、准确且一致结果的流程； 效率：生成所有相关利益相关者均可使用的结果。



认证级别



为满足各种规模的组织，HITRUST 保障计划可提供三种认证。

e1：面向低风险组织和初创公司的一年期认证。此评估经过验证，旨在帮助保障提供商开发基线系统，以防止网络钓鱼和勒索软件等常见网络安全威胁；同时，它可评估 44 项核心安全要求，并重点关注针对透明度、一致性、准确性和完整性的关键安全实践。

与 i1 或 r2 评估流程相比，e1 认证的严格性较低且是一种威胁自适应评估，其中包括固定数量的要求声明、就绪评估和验证式评估，但无法进行定制以包含隐私内容。此认证通常要求保障提供商充分实施权限管理、用户密码管理、用户访问权限、安全登录以及其他基线网络安全控制措施。

i1：一项一年期验证式评估，它可为风险阈值较低的信息共享情况提供相对中等程度的保障。此验证式评估会评估 182 项要求，且通常属于 e1 与 r2 认证之间的一个渐进式步骤。

与 e1 认证一样，i1 也是一项威胁自适应评估，其中包括固定数量的要求声明、就绪评估和验证式评估，且无法进行定制以包含隐私内容。此外，与 e1 评估一样，i1 评估通常要求保障提供商实施权限管理、用户密码管理、用户访问权限、安全登录以及其他基线网络安全控制措施，但增加了额外要求；例如，实施信息安全管理计划和访问控制策略。

r2：适用于必须证明能达到最高保证级别的组织。该两年期验证式评估专为会共享敏感信息、处理大量数据或面临具有挑战性的监管要求的组织而设计。范围得当的 r2 评估可确保控制要求有效且合规，并提供灵活、可定制且基于风险的控制选择，以满足最苛刻的需求。HITRUST r2 评估提供 2,000 多条控制要求，并可根据控制选择和范围对此评估进行定制。

r2 认证要求保障提供商实施权限管理、用户密码管理、用户访问权限、安全登录和其他基线网络安全控制措施，以及信息安全管理计划和访问控制策略。此外，它还要求保障提供商评估信息安全业务连续性、制定相关的规划框架，并实施其他先进的控制措施和流程。



获得认证



组织可通过经审查的 HITRUST 外部评估员组织获得相应级别的认证。全部三项 HITRUST 评估以及其他治理、风险与合规工具，均可通过基于应用程序的 HITRUST MyCSF 集中式平台进行访问。



其他资源



HITRUST 保障计划是组织的全面风险管理框架 (RMF) 的其中一个方面。RMF 是一套认证、产品、方法和工具，它旨在根据《HITRUST 风险管理手册》来满足针对以下内容的需求：即，围绕保护敏感信息和个人隐私所需的安全与隐私控制措施来达成共识。

RMF 最初于 2009 年发布，可为网络安全、风险管理和合规提供一致的方法。RMF 包括 HITRUST CSF、HITRUST 保障计划以及相关的产品和认证。它将美国州政府、美国联邦与国际法律和监管要求（如 HIPAA 和欧盟的《通用数据保护条例》(GDPR)）与标准化方法、质量控制措施和 HITRUST 认证的外部评估员相结合。

有关 HITRUST 合规性要求或认证流程的更多信息，请访问 HITRUSTAlliance.net。