Utilisation de la norme NIST 800-66 pour atteindre la conformité à la règle de sécurité HIPAA en matière de gestion des risques liés aux tiers.

2. Identifier les menaces réalistes

Objectifs : Identifier les événements et les sources de menaces potentielles qui sont applicables à l'entité réglementée et à son environnement opérationnel.

Comment Prevalent vous aide : Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche des menaces et des vulnérabilités de cyber , ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats d'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports et les initiatives de réponse.

3. Identifier les vulnérabilités potentielles et les conditions prédisposantes

Objectifs : Utiliser des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure des évaluations de risques antérieures, des résultats d'analyses de vulnérabilité et de tests de sécurité du système (par exemple, des tests de pénétration), et des rapports d'audit. Les sources externes peuvent inclure des recherches sur Internet, des informations sur les fournisseurs, des données d'assurance et des bases de données sur les vulnérabilités.

Comment Prevalent peut vous aider : Prevalent normalise, corrèle et analyse les informations à travers les évaluations de risques inside-out et la surveillance outside-in. Ce modèle unifié fournit un contexte, une quantification, une gestion et un soutien à la remédiation des risques. Il valide également la présence et l'efficacité des contrôles internes avec la surveillance externe.

4.-6. Déterminer la probabilité (et l'impact) qu'une menace exploite une vulnérabilité ; déterminer le niveau de risque

Objectifs : Déterminer la probabilité (très faible à très élevée) qu'une menace réussisse à exploiter une vulnérabilité ; Déterminer l'impact (opérationnel, individuel, actif, etc.) qui pourrait se produire sur les ePHI si un événement de menace exploite une vulnérabilité ; Évaluer le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des déterminations faites au cours des étapes précédentes.

Comment Prevalent vous aide : La plateforme Prevalent vous permet de définir des seuils de risques, de les catégoriser et de les noter en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants.

7. Documenter les résultats de l'évaluation des risques

Objectifs : Documenter les résultats de l'évaluation des risques.

Comment Prevalent vous aide : cyber Avec Prevalent, vous pouvez générer des registres de risques dès la fin de l'enquête, en intégrant des informations en temps réel sur le suivi commercial, financier et de réputation, afin d'automatiser les examens, les rapports et les réponses aux risques. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches par le biais de règles de messagerie électronique liées à la plate-forme et tirer parti des recommandations et des conseils intégrés en matière de remédiation.

La solution automatise l'audit de conformité de la gestion des risques des tiers en collectant des informations sur les risques des fournisseurs, en quantifiant les risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, y compris NIST, HIPAA et bien d'autres.

Mise en correspondance des capacités de Prevalent avec les exigences de la règle de sécurité HIPAA du NIST SP 800-66r2

Le NIST SP 800-66r2 présente les mesures de sécurité qui sont pertinentes pour chaque norme de la règle de sécurité HIPAA. Nous identifions ici les mesures spécifiques aux associés d'affaires et nous mettons en correspondance les capacités de Prevalent qui aident à satisfaire les exigences.

NOTE : Ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner elles-mêmes les exigences du NIST 800-66r2 et de la règle de sécurité de l'HIPAA dans leur intégralité, en consultation avec leurs auditeurs.

5.1.9 Contrats d'associés et autres arrangements (§ 164.308(b)(1))

1. Identifier les entités qui sont des associés commerciaux en vertu de la règle de sécurité de l'HIPAA

Prevalent identifie les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies dans un environnement. Note : Cette capacité peut également être utilisée pour traiter 5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a)) - 4. Autres arrangements ; et 5. Contrats d'associé d'affaires avec contrats de sous-traitance.

Prevalent offre une évaluation de la diligence raisonnable pré-contractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents pour tous les tiers et les associés commerciaux pendant l'intégration. À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les associés commerciaux, classer automatiquement les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues.

2. Établir un processus pour mesurer la performance du contrat et résilier le contrat si les exigences de sécurité ne sont pas respectées

Prevalent permet de mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs de performance clés (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances.

Lorsqu'il s'avère qu'un tiers n'est pas en conformité avec le contrat, la plateforme automatise l'évaluation des contrats et les procédures de désengagement afin de réduire le risque d'exposition post-contractuelle de votre organisation.

3. Contrat écrit ou autre arrangement

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie.

Grâce à ces capacités, vous pouvez vous assurer que les bonnes clauses - telles que les protections de sécurité sur les ePHI et la formation - sont dans le contrat, et qu'elles sont applicables et efficacement communiquées à toutes les parties prenantes.

Note : Cette capacité peut également être utilisée pour traiter 5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a)) - 1. Le contrat doit prévoir que les associés commerciaux se conformeront aux exigences applicables de la règle de sécurité ; et 2. Le contrat doit prévoir que les associés commerciaux concluent des contrats avec les sous-traitants pour assurer la protection des ePHI.

5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a))

3. Le contrat doit prévoir que les associés commerciaux signaleront les incidents de sécurité

Outre la gestion du cycle de vie des contrats, Prevalent propose un service de réponse aux incidents impliquant des tiers, qui permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en gérant les fournisseurs de manière centralisée, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation.

Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Combinée à la surveillance continue de cyber , elle fournit aux organisations une vue d'ensemble des risques externes en matière de sécurité de l'information qui peuvent avoir un impact sur les opérations.

Prochaines étapes pour la conformité aux règles de sécurité de l'HIPAA à l'aide du NIST 800-66

Prevalent peut aider les organisations à appliquer les principes du NIST SP 800-66r2 pour répondre aux exigences de sécurité HIPAA pour les associés commerciaux. La plateforme de gestion des risques des tiersPrevalent :

• Fournir des évaluations de diligence raisonnable pré-contractuelles complètes pour calculer le risque inhérent que les associés commerciaux apportent à une relation.
• Simplifie les processus contractuels afin de garantir la mise en place et le suivi de tous les indicateurs clés de performance (ICP) des partenaires commerciaux et des dispositions relatives aux données personnelles électroniques.
• Établir le profil de tous les tiers et les classer par ordre d'importance, en adaptant la diligence raisonnable en fonction de la criticité.
• Cartes des quatrièmes parties pour comprendre le risque parmi les sous-traitants
• Ajout d'un flux de travail pour automatiser le processus d'évaluation, de notation des risques et de remédiation.
• Surveiller en permanence les associés commerciaux pour le cyber, les risques commerciaux, financiers et de réputation, et mettre en corrélation les risques avec les résultats de l'évaluation et valider les conclusions.
• Automatise les processus de réponse aux incidents, accélérant ainsi le temps de résolution.
• Comprend les rapports de conformité et de risque par cadre ou réglementation

Pour obtenir des conseils spécifiques sur la façon dont Prevalent peut aider à répondre aux exigences du NIST SP 800-66r2 et à soutenir la mise en œuvre de la règle de sécurité HIPAA, téléchargez la liste de contrôle de conformité complète ou demandez une démonstration dès aujourd'hui.