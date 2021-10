Erweiterung des Beurteilungsportfolios und Vorstellung von Results Distribution System

HITRUST hat heute eine wichtige Erweiterung seines Beurteilungsportfolios bekanntgegeben. Damit sollen Qualität und Effizienz von Sicherungen innerhalb des Spektrums des Bedarfs bei der Informationssicherung verbessert werden. HITRUST präsentiert außerdem einen neuen, evolutionären Ansatz zur Optimierung von Austausch und Erhalt von Beurteilungsergebnissen innerhalb des Ökosystems von Relying Partys.

Die HITRUST CSF Certification ist der zuverlässigste Bericht für die Informationssicherung auf dem Markt. Er wird durch die Transparenz und Konsistenz bei der Auswahl von Kontrollmöglichkeiten und bei der Bewertung und Validierung von Kontrollmöglichkeiten sowohl durch qualifizierte externe Sachverständige als auch durch die Teams von HITRUST für Sicherung und Kontrolle ermöglicht. Das Sicherungsverfahren ist grundsätzlich streng, damit für die gelieferten Ergebnisse ein hohes Sicherheitsniveau gewährleistet werden kann. Es gibt jedoch viele Situationen, in denen ein mittleres oder niedriges Sicherheitsniveau erforderlich ist. Unternehmen sind auf der Suche nach einem größeren Angebot von Beurteilungsoptionen, die weniger arbeits- und zeitaufwendig sind und dennoch ein angemessenes Niveau an Zuverlässigkeit für Szenarien mit mittlerem oder niedrigem Risiko liefern.

Um den Marktbedarf für unterschiedliche Sicherheitsniveaus mit höherer Zuverlässigkeit zu decken, nimmt HITRUST zwei neue Beurteilungsoptionen in sein Angebot auf. Ebenso wie das HITRUST CSF Validated Assessment werden auch diese neuen Angebote zum Verständnis der Effektivität von Kontrollen sowie zur Resilienz und Vorbereitung auf Cybergefahren beitragen. Zusammen mit diesen beiden neuen Optionen wird das Beurteilungsportfolios von HITRUST Folgendes umfassen:

Das Basic Current State (bC) Assessment ist eine Beurteilung für "gute Hygiene" und bietet höhere Verlässlichkeit als Selbsteinschätzungen und Fragebögen, da mit der HITRUST Assurance Intelligence Engine (AI Engine) Fehler, Auslassungen und Betrug erkannt werden.

Das Implemented One-Year (i1) Validated Assessment ist eine Beurteilung der "Erfolgsmethoden" und wird für Situationen empfohlen, die ein mittleres Risiko mit sich bringen oder in denen eine Einschätzung des Grundrisikos nötig ist. Das i1 ist dafür konzipiert, ein höheres Maß an Transparenz, Integrität und Zuverlässigkeit im Vergleich zu bestehenden mittleren Assurance-Berichten zu liefern, die ähnlich viel Zeit, Aufwand und Kosten mit sich bringen. Von HITRUST autorisierte externe Sachverständige werden i1-Beurteilungen validieren.

Der Branchenstandard, das HITRUST CSF Validated Assessment, ist eine risikobasierte, anpassbare Beurteilung, die weiterhin Sicherungen auf höchstem Niveau für Situationen mit aufgrund von Datenvolumen, aufsichtsrechtlichen Bestimmungen oder sonstigen Risikofaktoren höherer Risikoexposition bietet. Das HITRUST CSF Validated Assessment wird in Risk-based, Two-Year (r2) Validated Assessment (risikobasierte, für zwei Jahre validierte Beurteilung) umbenannt werden.

Bisher hat man die meisten Mechanismen für Beurteilungen niedriger bis mittlerer Risiken entweder selbst bezeugt, oder sie wurden mit einer ungeeigneten oder inkonsistenten Auswahl an Kontrollen und begrenzten, subjektiven Sicherungsprogrammen validiert. Somit war es schwierig für die Relying Partys, Kontrollanforderungen und Umfang, Bandbreite und Beschaffenheit des Sicherungsprozesses nachzuvollziehen, weshalb Nutzen und Zuverlässigkeit der Ergebnisse begrenzt waren.

"Oft nutzen Unternehmen Assurance-Berichte auf mittlerem Niveau wie den SOC 2-Bericht, da diese weniger Zeit- und Arbeitsaufwand mit sich bringen und dabei günstiger sind. Leider fehlt diesen Assurance-Berichten auf mittlerem Niveau die Einheitlichkeit und Zuverlässigkeit umfangreicherer Beurteilungen wie HITRUST", sagte John Houston, Vice President Informationssicherheit und Datenschutz bei UPMC. "Das HITRUST i1 Assessment füllt auf dem Markt eine Lücke für eine mittlere Sicherheitsbeurteilung, die ein hohes Maß an Zuverlässigkeit und Einheitlichkeit bietet und dabei ähnlichen Aufwand und ähnliche Kosten wie ein SOC 2-Bericht mit sich bringt. Und wir können das Unternehmen auf dem Weg zur vollständigen HITRUST CSF Certification unterstützen, die bei Firmen wie UPMC als Goldstandard gilt."

Zwar ist Zuverlässigkeit von entscheidender Bedeutung für Sicherungen, doch sind Zugänglichkeit, Benutzerfreundlichkeit und der Erhalt der Ergebnisse ebenso wichtig, wenn Unternehmen angesichts sich weiterentwickelnder Cyberbedrohungen mit Lieferkettenrisiken umgehen wollen. Die aktuelle Methode zum Erzielen und Erhalten der Ergebnisse von Beurteilungen durch die Relying Party führt häufig zu Verzögerungen, Ineffizienzen und Fehlinterpretationen, da sie auf dem Austausch von PDF-Dateien basiert. Diese werden gelesen, um Ausmaß, Bewertungen und Pläne für Korrekturmaßnahmen zu bestimmen, bevor zentrale Informationen oft manuell in ein externes System für das Risikomanagement (third-party risk management, TPRM) eingegeben werden.

Um der zunehmenden Nachfrage nach effektivem Risikomanagement für Informationen innerhalb der Lieferkette gerecht zu werden, wird es das HITRUST Results Distribution System (RDS) bereits beurteilten Stellen ermöglichen, die Ergebnisse ihrer HITRUST-Beurteilung jeweils über einen sicheren, zentralen Reporting-Hub an die Relying Partys weiterzugeben. Damit entfällt die Notwendigkeit, PDFs auszutauschen, mit der daraus folgenden manuellen Prüfung und Eingabe in externe Systeme. Die Empfänger werden individuelle Dashboards erstellen können, um diejenigen Ergebnisse zu sehen, die sie am meisten interessieren, einschließlich Umfang, Menge oder spezifischer Kontrollpunkte. Außerdem wird die Integration in GRC/VRM-Plattformen per API verfügbar sein.

"Damit externe Risikomanagementsysteme ihr volles Potential für die Unterstützung von Unternehmen beim Managen ihres Händlerrisikos entfalten können, müssen die Ergebnisse von Beurteilungen auf elektronischem Weg weitergegeben und erhalten werden", sagte Jeremy Fisher, Vice President Produkte bei Archer. "Das Results Distribution System von HITRUST ist ein großer Schritt in diese Richtung und wird eine starke Ergänzung unseres Fokus auf Interaktion mit den Händlern über Archer Engage sein."

Mit der Erweiterung des HITRUST Assessment Portfolio und der Hinzunahme des RDS wird die Position von HITRUST als Innovator und führender Akteur im Bereich Informationsrisikomanagement, Compliance und Sicherungen weiter ausgebaut. HITRUST bringt weiterhin stärkere Beurteilungen und höhere Effizienzen in das Assurance-Ökosystem. "HITRUST baut auf unserer führenden Marktposition auf und liefert dafür zuverlässige Sicherungen. Dafür werden Produkte für Informationssicherungen auf mittlerem und niedrigem Niveau eingeführt", sagte Bimal Sheth, Executive Vice President, Standards Development and Assurance Operations bei HITRUST. "Keine andere Organisation für Beurteilungen oder Zertifizierungen kann den zunehmenden Bedarf auf dem globalen Markt für Informationsbeurteilungen und die elektronische Weitergabe von Ergebnissen erfüllen."

Die r2-Beurteilung nach Branchenstandard (HITRUST CSF Validated Assessment) ist derzeit verfügbar, während die bC- und i1-Beurteilungen später im Jahr auf dem Markt angeboten werden. Jede mit Reservierung eingereichte i1- oder r2-Beurteilung kommt mit einer Service-Level-Garantie, wonach der Beurteilungsbericht innerhalb von 45 Tagen geliefert wird.

Über HITRUST

Seit der Gründung von HITRUST im Jahr 2007 hat sich das Unternehmen für Programme eingesetzt, die sensible Informationen schützen und das Informationsrisiko für Unternehmen in allen Branchen und überall in der externen Lieferkette managen. In Zusammenhang mit führenden Akteuren aus dem öffentlichen und privaten Sektor im Bereich Datenschutz, Informationssicherheit und Risikomanagement entwickelt, wartet und liefert HITRUST umfassenden Zugang zu seinen weit verbreiteten Frameworks für typische Risiken und Compliance sowie die damit zusammenhängenden Methoden für Beurteilungen und Sicherungen. Weitere Informationen finden Sie auf www.hitrustalliance.net.

