2023年可以说是迄今为止HITRUST最具活力的变化. 1月,HITRUST发布 关于几个新建议的详细信息 我们总结了重点. 虽然这些更新旨在简化HITRUST过程并更好地适应您的环境, 它们需要深思熟虑的方法和长期计划,以确保您满足组织和业务合作伙伴的目标.
HAA 2023-001: CSF版本11发布
期待已久的CSF的下一个主要版本在这里! 第一个, 这个版本创建了一个真正可遍历的投资组合-这意味着从e1无缝过渡, 哪个是i1的子集, 哪个是r2的子集.
版本11还添加、刷新和删除了一些权威来源. 这也是人工智能处理技术首次用于地图绘制工作:
- 增加了NIST SP 800-53修订版5映射和可选择的合规系数,
- 增加了健康行业网络安全实践映射和可选择的合规因素;
- 刷新NIST SP 800-171映射;
- 更新NIST网络安全框架映射;
- 刷新了HIPAA安全规则、隐私规则和违规通知映射.
最后, 版本11更新了需求陈述语言,通过将评估元素从策略级说明性过程移动到需求陈述来提高可见性. 一般来说,这将导致更清晰的证据和测试需求.
HAA 2023-002: CSF版本9.1 – 9.4退役通知书
随着版本11的引入,从旧版本的过渡过程开始了. 需要注意的两个关键日期是:
2023年9月29日 -这是为版本9创建MyCSF对象的最后一天.1到9.4. 9月30日或之后创建的所有新评估对象, 2023, 必须使用HITRUST CSF v9创建.5.X或更高版本.
2024年12月31日 -这是最后一天提交一个MyCSF对象到HITRUST版本9.1到9.4.
中期评估将继续使用原始r2验证评估中使用的相同版本. 从v9开始,内部和外部继承将继续可用.1到v9.4个评估对象直至期满(一般为2年).
HAA 2023-003: CSF v9.6.i1评估的创建和提交截止日期
类似地,i1评估版本也有关键日期.
2023年4月29日 -今天是使用CSF v9创建新的i1评估的最后一天.6.2. 2023年4月30日或之后创建的所有新的i1评估对象将是CSF v11.
2023年7月31日 -今天是使用CSF v9提交i1评估的最后一天.6.2岁及更早.
HAA 2023-004: e1评估简介
In 2021, HITRUST引入了i1 作为传统的,两年的,r2评估的一个中等水平的保证替代. e1是HITRUST最新的认证,被认为是网络卫生评估. 它适用于需要较低级别保证的组织, 并且可以作为更健壮的i1和r2的垫脚石. 这也是第三方风险管理的一个很好的选择. e1评估目前由44个关键基线组成, using only implementation criteria; and can “carve-out” control requirements.
HAA 2023-005: 11快速重新认证
除了版本11之外,新的i1快速重新认证可以说是最具影响力的变化. 2022年推出的i1提供了第二个HITRUST认证选项,减少了工作量. 然而,1年的认证时间表也意味着每年都要重复这项工作. 快速重新认证为获得2011年认证创造了一种加速的方式,可以在全面评估之间每隔一年使用一次. 要符合资格,必须满足以下条件:
- 之前的全面评估必须是v11或更高版本,
- 与之前的全面评估范围相同,
- 没有重大的变化,
- 环境没有发生物质退化.
i1快速认证将包括60项要求的样本, 所有不适用的要求, 以及任何与纠正措施计划相关的要求. 另外, 它将包括后续CSF版本发布中添加的任何新要求. 你可能会问自己,这基本上是一个中期评估吗? 不,不是的. i1快速再认证评估的结果与i1完整评估的结果相同.
LBMC的HITRUST团队在这里提供帮助
无论你是刚开始你的HITRUST之旅,还是已经在这条路上走了很多年, LBMC将帮助您浏览这些更新. 作为“十年俱乐部”的负责人 HITRUST评估员, LBMC是业内服务时间最长的评估员,拥有业内最有经验的团队. 我们已经帮助无数组织实现了他们的HITRUST CSF认证目标. 是的,我们在这一过程中吸取了很多教训. 事实上,我们是评估委员会的成员,并协助教育和推广行业. 我们感到被强迫, 也有一定的义务, 为那些即将踏上这段旅程的人提供一些鼓励和建议. 请 随时联系 以及我们如何在你的旅程中帮助你!
内容由LBMC安全专家Robyn Barton提供.
享受阅读?
不要错过我们LBMC团队的最新安全新闻.