Publié à l'origine en mars 2005 et révisé une première fois en octobre 2008, le National Institute of Standards and Technology (NIST) des États-Unis a de nouveau modifié la publication spéciale (SP) 800-66 afin de mettre à jour ses conseils en matière de cybersécurité pour le secteur des soins de santé.
La norme SP 800-66 a été élaborée pour aider les organismes de prestation de soins de santé (OPS) à comprendre la règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) et à fournir un cadre pour soutenir sa mise en œuvre. La règle de sécurité HIPAA s'applique à toute organisation gérant des informations de santé protégées électroniques (ePHI), qu'elle soit une entité couverte ou un associé commercial (par exemple, un vendeur, fournisseur ou partenaire tiers). La règle exige des organisations qu'elles :
Ce post examine la portée des évaluations des risques de la règle de sécurité HIPAA pour les associés commerciaux tiers, aligne les directives SP 800-66 sur la règle de sécurité et identifie les capacités de la plateforme de gestion des risques tiersPrevalent qui peuvent répondre aux exigences.
La règle de sécurité HIPAA comprend des dispositions qui exigent que les entités couvertes procèdent à des évaluations des risques, notamment :
La règle de sécurité recommande ensuite sept étapes à inclure dans un processus complet d'évaluation des risques.
Objectifs : Comprendre où les ePHI sont créés, reçus, maintenus, traités ou transmis. Définir la portée de l'évaluation.
Comment Prevalent vous aide : Prevalent s'associe à vous pour mettre en place un programme complet de gestion des risques liés aux tiers (TPRM), basé sur des meilleures pratiques éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour qu'il couvre l'ensemble du cycle de vie du risque lié aux tiers, depuis la recherche de fournisseurs et la diligence raisonnable jusqu'à la résiliation et l'intégration.
Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue des risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que d'un dépistage des sanctions/PEP.
Une fois les tierces et les quatrièmes parties identifiées, vous pouvez utiliser les 750+ modèles d'évaluation prédéfinis disponibles sur la plateforme Prevalent pour évaluer les associés commerciaux tiers par rapport aux exigences NIST, HIPAA ou autres.
Comment appliquer la norme NIST SP 800-66 pour répondre aux exigences de l'HIPAA en matière de gestion des risques liés aux tiers ?
Rejoignez Thomas Humphreys, expert en conformité, pour découvrir ce que vous devez savoir sur le NIST 800-66 et l'impact de ses exigences sur vos partenaires commerciaux tiers.
Objectifs : Identifier les événements et les sources de menaces potentielles qui sont applicables à l'entité réglementée et à son environnement opérationnel.
Comment Prevalent vous aide : Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche des menaces et des vulnérabilités de cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats d'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports et les initiatives de réponse.
Objectifs : Utiliser des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure des évaluations de risques antérieures, des résultats d'analyses de vulnérabilité et de tests de sécurité du système (par exemple, des tests de pénétration), et des rapports d'audit. Les sources externes peuvent inclure des recherches sur Internet, des informations sur les fournisseurs, des données d'assurance et des bases de données sur les vulnérabilités.
Comment Prevalent peut vous aider : Prevalent normalise, corrèle et analyse les informations à travers les évaluations de risques inside-out et la surveillance outside-in. Ce modèle unifié fournit un contexte, une quantification, une gestion et un soutien à la remédiation des risques. Il valide également la présence et l'efficacité des contrôles internes avec la surveillance externe.
Objectifs : Déterminer la probabilité (très faible à très élevée) qu'une menace réussisse à exploiter une vulnérabilité ; Déterminer l'impact (opérationnel, individuel, actif, etc.) qui pourrait se produire sur les ePHI si un événement de menace exploite une vulnérabilité ; Évaluer le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des déterminations faites au cours des étapes précédentes.
Comment Prevalent vous aide : La plateforme Prevalent vous permet de définir des seuils de risques, de les catégoriser et de les noter en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants.
Objectifs : Documenter les résultats de l'évaluation des risques.
Comment Prevalent vous aide : cyber Avec Prevalent, vous pouvez générer des registres de risques dès la fin de l'enquête, en intégrant des informations en temps réel sur le suivi commercial, financier et de réputation, afin d'automatiser les examens, les rapports et les réponses aux risques. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches par le biais de règles de messagerie électronique liées à la plate-forme et tirer parti des recommandations et des conseils intégrés en matière de remédiation.
La solution automatise l'audit de conformité de la gestion des risques des tiers en collectant des informations sur les risques des fournisseurs, en quantifiant les risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, y compris NIST, HIPAA et bien d'autres.
La liste de contrôle de conformité des tiers NIST 800-66
Découvrez le document SP 800-66 HIPAA Security Rule : évaluations des risques et conseils de gestion pour les associés commerciaux tiers.
Le NIST SP 800-66r2 présente les mesures de sécurité qui sont pertinentes pour chaque norme de la règle de sécurité HIPAA. Nous identifions ici les mesures spécifiques aux associés d'affaires et nous mettons en correspondance les capacités de Prevalent qui aident à satisfaire les exigences.
NOTE : Ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner elles-mêmes les exigences du NIST 800-66r2 et de la règle de sécurité de l'HIPAA dans leur intégralité, en consultation avec leurs auditeurs.
1. Identifier les entités qui sont des associés commerciaux en vertu de la règle de sécurité de l'HIPAA
Prevalent identifie les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies dans un environnement. Note : Cette capacité peut également être utilisée pour traiter 5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a)) - 4. Autres arrangements ; et 5. Contrats d'associé d'affaires avec contrats de sous-traitance.
Prevalent offre une évaluation de la diligence raisonnable pré-contractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents pour tous les tiers et les associés commerciaux pendant l'intégration. À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les associés commerciaux, classer automatiquement les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.
2. Établir un processus pour mesurer la performance du contrat et résilier le contrat si les exigences de sécurité ne sont pas respectées
Prevalent permet de mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs de performance clés (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances.
Lorsqu'il s'avère qu'un tiers n'est pas en conformité avec le contrat, la plateforme automatise l'évaluation des contrats et les procédures de désengagement afin de réduire le risque d'exposition post-contractuelle de votre organisation.
3. Contrat écrit ou autre arrangement
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.
Grâce à ces capacités, vous pouvez vous assurer que les bonnes clauses - telles que les protections de sécurité sur les ePHI et la formation - sont dans le contrat, et qu'elles sont applicables et efficacement communiquées à toutes les parties prenantes.
Note : Cette capacité peut également être utilisée pour traiter 5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a)) - 1. Le contrat doit prévoir que les associés commerciaux se conformeront aux exigences applicables de la règle de sécurité ; et 2. Le contrat doit prévoir que les associés commerciaux concluent des contrats avec les sous-traitants pour assurer la protection des ePHI.
3. Le contrat doit prévoir que les associés commerciaux signaleront les incidents de sécurité
Outre la gestion du cycle de vie des contrats, Prevalent propose un service de réponse aux incidents impliquant des tiers, qui permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en gérant les fournisseurs de manière centralisée, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.
Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Combinée à la surveillance continue de cyber , elle fournit aux organisations une vue d'ensemble des risques externes en matière de sécurité de l'information qui peuvent avoir un impact sur les opérations.
Prevalent peut aider les organisations à appliquer les principes du NIST SP 800-66r2 pour répondre aux exigences de sécurité HIPAA pour les associés commerciaux. La plateforme de gestion des risques des tiersPrevalent :
Pour obtenir des conseils spécifiques sur la façon dont Prevalent peut aider à répondre aux exigences du NIST SP 800-66r2 et à soutenir la mise en œuvre de la règle de sécurité HIPAA, téléchargez la liste de contrôle de conformité complète ou demandez une démonstration dès aujourd'hui.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024