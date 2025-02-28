L'HITRUST Assurance Program, che include standard, valutazioni, certificazioni e un framework centralizzato, è progettato per aiutare i fornitori di assicurazioni e le organizzazioni ad alta intensità di dati a gestire le crescenti minacce alla cybersecurity come violazioni di sicurezza dei dati, phishing/spoofing e compromissione delle e-mail aziendali (BEC). L'approccio alla protezione delle informazioni di HITRUST si basa su sei principi:

Trasparenza: definizione di aspettative chiare sui controlli delle minacce alla cybersecurity, presentazione delle motivazioni per la loro selezione e spiegazione dettagliata della metodologia per la loro valutazione;





definizione di aspettative chiare sui controlli delle minacce alla cybersecurity, presentazione delle motivazioni per la loro selezione e spiegazione dettagliata della metodologia per la loro valutazione; Scalabilità: implementazione di un processo di valutazione adattivo alle minacce con un approccio passo-passo per soddisfare le esigenze e i rischi unici di qualsiasi organizzazione;





implementazione di un processo di valutazione adattivo alle minacce con un approccio passo-passo per soddisfare le esigenze e i rischi unici di qualsiasi organizzazione; Coerenza: sviluppo di un processo di valutazione per produrre risultati standardizzati, indipendentemente dal valutatore;





sviluppo di un processo di valutazione per produrre risultati standardizzati, indipendentemente dal valutatore; Accuratezza: implementazione di meccanismi per valutare in modo affidabile l'efficacia dei controlli;





implementazione di meccanismi per valutare in modo affidabile l'efficacia dei controlli; Integrità: implementazione di processi per risultati verificabili, accurati e coerenti; ed





implementazione di processi per risultati verificabili, accurati e coerenti; ed Efficienza: conseguimento di risultati utilizzabili da parte di tutti gli stakeholder pertinenti.



Livelli di certificazione



Per le organizzazioni di tutte le dimensioni, l'HITRUST Assurance Program offre tre tipi di certificazione.

e1: una certificazione della durata di un anno per organizzazioni e startup a basso rischio. Progettata per aiutare i fornitori di assicurazione a sviluppare un sistema di base per prevenire le minacce più diffuse alla cybersecurity come il phishing e il ransomware, questa valutazione convalidata valuta 44 requisiti di sicurezza fondamentali e si concentra sulle pratiche di sicurezza fondamentali per la trasparenza, la coerenza, l'accuratezza e l'integrità.

Meno rigorosa del processo di valutazione i1 o r2, la certificazione e1 è una valutazione adattativa alle minacce che include un numero fisso di dichiarazioni dei requisiti, valutazioni di disponibilità e valutazioni convalidate, ma non può essere personalizzata per includere la privacy. Questa certificazione richiede in genere che un fornitore di assicurazioni implementi in modo soddisfacente la gestione dei privilegi, la gestione delle password degli utenti, i diritti di accesso degli utenti, l'accesso sicuro e altri controlli di base sulla cybersecurity.

i1: una valutazione convalidata della durata di un anno che offre un livello di garanzia relativamente moderato per le situazioni di condivisione di informazioni con soglie di rischio inferiori. Questa valutazione convalidata valuta 182 requisiti ed è spesso un passaggio incrementale tra la certificazione e1 e quella r2.

Come per la certificazione e1, anche l'i1 è una valutazione adattiva delle minacce che include un numero fisso di dichiarazioni dei requisiti, valutazioni di disponibilità e valutazioni convalidate e non può essere personalizzata per includere la privacy. Allo stesso modo, come una valutazione e1, una valutazione i1 in genere impone a un fornitore di assicurazioni di implementare la gestione dei privilegi, la gestione delle password degli utenti, i diritti di accesso degli utenti, l'accesso sicuro e altri controlli di cybersecurity di base, ma aggiunge ulteriori requisiti come l'implementazione di un programma di gestione della sicurezza delle informazioni e di una politica di controllo degli accessi.

r2: per le organizzazioni che devono dimostrare il massimo livello di affidabilità. Questa valutazione convalidata della durata di due anni è progettata per le organizzazioni che condividono informazioni sensibili, gestiscono grandi volumi di dati o che devono far fronte a requisiti normativi complessi. Una valutazione r2 adeguatamente definita garantisce che i requisiti di controllo siano efficaci e conformi e offre una selezione dei controlli flessibile, personalizzabile e basata sul rischio per soddisfare le esigenze più rigorose. La valutazione HITRUST r2 dispone di oltre 2000 dichiarazioni sui requisiti di controllo personalizzate per la valutazione in base alle selezioni e all'ambito dei controlli.

La certificazione r2 richiede che i fornitori di assicurazioni implementino la gestione dei privilegi, la gestione delle password degli utenti, i diritti di accesso degli utenti, l'accesso sicuro e altri controlli di base sulla cybersecurity, nonché un programma di gestione della sicurezza delle informazioni e una politica di controllo degli accessi. Richiede inoltre che i fornitori di assicurazioni valutino la continuità aziendale della sicurezza delle informazioni, sviluppino un framework di pianificazione correlato e implementino altri controlli e processi avanzati.



Ottenimento della certificazione



Le organizzazioni possono raggiungere il livello di certificazione appropriato attraverso un'organizzazione di valutazione esterna HITRUST controllata. Tutte e tre le valutazioni HITRUST, nonché gli strumenti aggiuntivi di governance, rischio e conformità, sono accessibili attraverso la piattaforma centralizzata basata su app HITRUST MyCSF®.



Altre risorse



L'HITRUST Assurance Program™ è una parte dell'intero Risk Management Framework (RMF) dell'organizzazione, una suite di certificazioni, prodotti, metodologie e strumenti creati per rispondere alla necessità di una "conoscenza comune dei controlli di sicurezza e privacy necessari per salvaguardare le informazioni sensibili e la privacy individuale", secondo l'HITRUST Risk Management Handbook.

Rilasciato originariamente nel 2009, l'RMF fornisce un approccio coerente in termini di conformità e gestione del rischio e della cybersecurity. L'RMF comprende l'HITRUST CSF, l'HITRUST Assurance Program™ e le certificazioni e i prodotti correlati. Integra i requisiti legali e normativi federali e internazionali degli Stati Uniti come l'HIPAA e il Regolamento Generale sulla Protezione dei Dati (GDPR) dell'Unione Europea, con una metodologia standardizzata, controlli di qualità e valutatori esterni certificati da HITRUST.

Per ulteriori informazioni sui requisiti di conformità HITRUST o sul processo di certificazione, visita il sito HITRUSTAlliance.net.