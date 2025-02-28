표준, 평가, 인증 및 중앙 집중식 프레임워크를 포함하는 HITRUST 보증 프로그램은 데이터 집약적인 조직 및 보증 제공자가 데이터 보안 침해, 피싱/스푸핑 및 비즈니스 이메일 손상(BEC)과 같은 증가하는 사이버 보안 위협을 관리할 수 있도록 설계되었습니다. HITRUST의 정보 보호 접근 방식은 6가지 원칙을 기반으로 합니다.

투명성: 사이버 보안 위협 제어에 대한 명확한 기대치를 설정하고, 선택에 대한 근거를 제공하고, 평가 방법에 대한 방법론을 자세히 설명합니다;





확장성: 모든 조직의 고유한 요구 사항과 위험을 충족하는 디딤돌 접근 방식을 통해 위협 적응형 평가 프로세스를 구현합니다.





일관성: 평가자에 관계없이 표준화된 결과를 산출하는 평가 프로세스를 개발합니다.





정확성: 제어의 효율성을 신뢰할 수 있게 평가하는 메커니즘을 구현합니다.





무결성: 검증 가능하고 정확하며 일관된 결과를 생성하는 프로세스를 구현합니다.





효율성: 모든 이해관계자가 활용할 수 있는 결과를 생성합니다.



인증 레벨



모든 규모의 조직을 지원하기 위해 HITRUST 보증 프로그램에서는 세 가지 유형의 인증을 제공합니다.

e1: 위험도가 낮은 조직과 스타트업을 위한 1년 인증. 이 검증된 평가의 설계 목적은 보증 서비스 제공자가 피싱이나 랜섬웨어와 같은 일반적인 사이버 보안 위협을 방지하는 기준 시스템을 개발할 수 있도록 돕기 위함입니다. 해당 평가는 44개의 핵심 보안 요구 사항을 평가하고 투명성, 일관성, 정확성, 무결성을 위한 중요 보안 관행에 초점을 맞춥니다.

i1 또는 r2 평가 프로세스보다 덜 엄격한 e1 인증은 고정된 수의 요구 사항 설명, 준비 상태 평가 및 검증된 평가를 포함하지만 개인 정보를 포함하도록 조정할 수는 없는 위협 적응형 평가입니다. 이 인증은 일반적으로 보증 제공자가 권한 관리, 사용자 암호 관리, 사용자 액세스 권한, 보안 로그온 및 기타 기본 사이버 보안 제어를 만족스럽게 구현하도록 요구합니다.

i1: 위험 임계값이 낮은 정보 공유 상황에 대해 비교적 적당한 수준의 보증을 제공하는 1년 간의 검증된 평가입니다. 이 검증된 평가는 182개의 요구 사항을 평가하며, 대개 e1과 r2 인증 사이의 점진적 단계입니다.

e1 인증과 마찬가지로 i1은 고정된 수의 요구 사항 설명, 준비 상태 평가 및 검증된 평가를 포함하는 위협 적응형 평가이며 개인 정보를 포함하도록 조정할 수 없습니다. e1 평가와 마찬가지로 i1 평가는 일반적으로 보증 공급자가 권한 관리, 사용자 암호 관리, 사용자 액세스 권한, 보안 로그온 및 기타 기본 사이버 보안 제어를 구현하도록 요구하지만 정보 보안 관리 프로그램 및 액세스 제어 정책 구현과 같은 추가 요구 사항을 추가합니다.

r2: 조직이 가장 높은 수준의 보증을 입증해야 하는 경우입니다. 이 2년간 검증된 평가는 민감한 정보를 공유하거나 대량의 데이터를 처리하거나 까다로운 규제 요구사항에 직면한 조직을 위해 설계되었습니다. 적절한 범위의 r2 평가는 제어 요구사항이 효과적이고 규정을 준수하도록 보장하며, 가장 엄격한 요구사항을 충족하는 유연하고 맞춤화된 위험 기반 제어를 선택할 수 있도록 합니다. HITRUST r2 평가에는 제어 선택 및 범위에 따라 평가 기반으로 조정된 2000개 이상의 제어 요구 사항 설명서가 있습니다.

r2 인증을 받으려면 인증 제공자는 권한 관리, 사용자 비밀번호 관리, 사용자 액세스 권한, 보안 로그온 및 기타 기본 사이버 보안 제어는 물론 정보 보안 관리 프로그램과 액세스 제어 정책을 구현해야 합니다. 또한 보증 제공자는 정보 보안 비즈니스 연속성을 평가하고, 관련 계획 프레임워크를 개발하며, 기타 고급 제어 및 프로세스를 구현해야 합니다.



인증 획득



조직은 검증된 HITRUST 외부 평가자 조직을 통해 적절한 수준의 인증을 받을 수 있습니다. 세 가지 HITRUST 평가와 추가 거버넌스, 위험 및 규정 준수 툴은 모두 HITRUST MyCSF 중앙 집중형 앱 기반 플랫폼을 통해 액세스할 수 있습니다.



추가 자원



HITRUST Assurance Program은 조직의 포괄적인 위험 관리 프레임워크(RMF)의 한 측면으로, HITRUST 위험 관리 핸드북에 따라 '민감한 정보와 개인 정보를 보호하는 데 필요한 보안 및 개인정보 보호 제어에 대한 공통된 이해'의 필요를 충족하기 위해 만들어진 인증, 제품, 방법론 및 도구 모음입니다.

2009년에 처음 출시된 RMF는 사이버 보안, 위험 관리 및 규정 준수에 대한 일관된 접근 방식을 제공합니다. RMF는 HITRUST CSF, HITRUST Assurance Program 및 관련 제품과 인증으로 구성됩니다. HIPAA 및 유럽 연합의 일반 데이터 보호 규정(GDPR)과 같은 미국 주, 미국 연방 및 국제 법률 및 규제 요구 사항을 표준화된 방법론, 품질 관리 및 HITRUST 인증 외부 평가자와 통합합니다.

HITRUST 규정 준수 요구 사항이나 인증 프로세스에 대한 자세한 내용은 HITRUSTAlliance.net을 참조하세요.