Simplifier les évaluations des règles de sécurité HIPAA
La publication spéciale (SP) 800-66 du National Institute of Standards and Technology (NIST) a été élaborée pour aider les organismes de prestation de soins de santé (OPS) à comprendre la règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) et fournir un cadre pour soutenir sa mise en œuvre.
La règle de sécurité de l'HIPAA s'applique à toute organisation gérant des informations de santé électroniques protégées (ePHI), qu'elle soit une entité couverte ou un associé commercial (par exemple, un vendeur, fournisseur ou partenaire tiers). La règle exige que les organisations :
Le respect des directives et des meilleures pratiques du NIST 800-66r2 aidera les organismes de santé à simplifier leur mise en conformité avec la règle de sécurité HIPAA.
Procéder à une évaluation précise et approfondie des risques et des vulnérabilités potentiels pour la confidentialité, l'intégrité et la disponibilité des informations de santé protégées électroniques détenues par l'entité couverte ou l'associé commercial.
Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié.
La liste de contrôle de conformité des tiers NIST 800-66
Découvrez le document SP 800-66 HIPAA Security Rule : évaluations des risques et conseils de gestion pour les associés commerciaux tiers.
Comprendre la règle de sécurité HIPAA
La règle de sécurité HIPAA recommande sept étapes à inclure dans un processus complet d'évaluation des risques. Le tableau ci-dessous associe les fonctionnalités de la solution Prevalent à chaque étape, illustrant comment une solution de gestion des risques tierce peut aider à répondre à ces meilleures pratiques.
REMARQUE : Ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner elles-mêmes les exigences du NIST 800-66r2 et de la règle de sécurité de l'HIPAA dans leur intégralité, en consultation avec leurs auditeurs.
Étapes et tâches recommandées | Quelle aide nous apportons |
---|---|
1. Se préparer à l'évaluation Comprendre où les DPH électroniques sont créées, reçues, maintenues, traitées ou transmises. Définir la portée de l'évaluation. |
Prevalent s'associe à vous pour élaborer un programme complet de gestion des risques liés aux tiers (TPRM) fondé sur des pratiques exemplaires éprouvées et une vaste expérience du monde réel. Nos experts collaborent avec votre équipe pour définir et mettre en œuvre des processus et des solutions TPRM, sélectionner des questionnaires et des cadres d'évaluation des risques et optimiser votre programme pour qu'il couvre l'ensemble du cycle de vie du risque lié aux tiers, de l'approvisionnement et de la diligence raisonnable à la résiliation et à l'intégration. Prevalent peut identifier les relations de sous-traitance de quatrième et de nième partie en procédant à une évaluation par questionnaire ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue des risques financiers, ESG, cyber, commerciaux et de violation de données, ainsi que d'un dépistage des sanctions/PEP. Une fois les tierces et les quatrièmes parties identifiées, vous pouvez utiliser les 750+ modèles d'évaluation prédéfinis disponibles sur la plateforme Prevalent pour évaluer les associés commerciaux tiers par rapport aux exigences NIST, HIPAA ou autres. |
2. Identifier les menaces réalistes Identifier les événements et les sources de menaces potentielles qui s'appliquent à l'entité réglementée et à son environnement opérationnel. |
Prevalent suit et analyse en permanence les menaces externes pour les tiers. La solution surveille l'Internet et le dark web à la recherche de cyber menaces et vulnérabilités, ainsi que les sources publiques et privées d'informations relatives à la réputation, aux sanctions et aux finances. Toutes les données de surveillance sont corrélées aux résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui simplifie l'examen des risques, les rapports et les initiatives de réponse. Les sources de surveillance comprennent :
|
3. Identifier les vulnérabilités potentielles et les conditions prédisposantes Utiliser des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure des évaluations de risques antérieures, des résultats de scans de vulnérabilité et de tests de sécurité du système (par exemple, des tests de pénétration), et des rapports d'audit. Les sources externes peuvent inclure des recherches sur Internet, des informations sur les fournisseurs, des données d'assurance et des bases de données sur les vulnérabilités. |
Prevalent normalise, corrèle et analyse l'information à travers les évaluations de risques inside-out et la surveillance outside-in. Ce modèle unifié fournit un contexte, une quantification, une gestion et un soutien à la remédiation des risques. Il valide également la présence et l'efficacité des contrôles internes avec la surveillance externe. |
4.-6. Déterminer la probabilité (et l'impact) qu'une menace exploite une vulnérabilité ; déterminer le niveau de risque Déterminer la probabilité (très faible à très élevée) qu'une menace réussisse à exploiter une vulnérabilité. Déterminez l'impact (opérationnel, individuel, sur les biens, etc.) qui pourrait se produire sur les ePHI si une menace exploite une vulnérabilité. Évaluer le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des déterminations faites au cours des étapes précédentes. |
La plateforme Prevalent vous permet de définir des seuils de risque et de classer et noter les risques en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants. |
7. Documenter les résultats de l'évaluation des risques Documentez les résultats de l'évaluation des risques. |
Avec Prevalent, vous pouvez générer des registres de risques dès la fin de l'enquête, en intégrant en temps réel cyber, des informations sur les affaires, la réputation et la surveillance financière pour automatiser l'examen des risques, les rapports et les réponses. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches par le biais de règles de messagerie électronique liées à la plate-forme et tirer parti des recommandations et des conseils intégrés en matière de remédiation. La solution automatise l'audit de conformité de la gestion des risques des tiers en recueillant des informations sur les risques des fournisseurs, en quantifiant les risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, notamment NIST, HIPAA et bien d'autres. |
Mise en correspondance des capacités de Prevalent avec les exigences de la règle de sécurité HIPAA du NIST SP 800-66r2
Le NIST SP 800-66r2 présente les mesures de sécurité qui sont pertinentes pour chaque norme de la règle de sécurité HIPAA. Le tableau ci-dessous identifie les mesures spécifiques aux partenaires commerciaux et présente les capacités de Prevalent qui contribuent à satisfaire les exigences.
REMARQUE : Ces informations sont présentées à titre d'orientation sommaire uniquement. Les organisations doivent examiner elles-mêmes les exigences du NIST 800-66r2 et de la règle de sécurité de l'HIPAA dans leur intégralité, en consultation avec leurs auditeurs.
Activité clé et description | Quelle aide nous apportons |
---|---|
5.1.9 Contrats d'associés et autres arrangements (§ 164.308(b)(1)) Norme HIPAA : Une entité couverte peut permettre à un associé de créer, recevoir, maintenir ou transmettre des informations de santé protégées électroniques au nom de l'entité couverte seulement si l'entité couverte obtient des garanties satisfaisantes, conformément au §164.314(a), que l'associé protégera les informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles assurances satisfaisantes d'un associé qui est un sous-traitant. |
|
1. Identifier les entités qui sont des associés commerciaux en vertu de la règle de sécurité de l'HIPAA
|
Prevalent identifie les relations avec des tiers par le biais d'une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient ouvrir des voies dans un environnement. Prevalent offre une évaluation de diligence raisonnable pré-contractuelle avec une notation claire basée sur huit critères pour capturer, suivre et quantifier les risques inhérents pour tous les tiers et les associés commerciaux pendant l'intégration. Les critères incluent :
À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les associés commerciaux, classer automatiquement les fournisseurs par niveau, fixer des niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. |
2. Établir un processus pour mesurer la performance du contrat et résilier le contrat si les exigences de sécurité ne sont pas respectées
|
Prevalent permet de mesurer de manière centralisée les indicateurs clés de performance (KPI) et les indicateurs de performance clés (KRI) des tiers afin de réduire les risques liés aux lacunes dans la surveillance des fournisseurs en automatisant les évaluations des contrats et des performances. Lorsqu'il s'avère qu'un tiers n'est pas en conformité avec le contrat, la plateforme automatise l'évaluation du contrat et les procédures de désengagement afin de réduire le risque d'exposition post-contractuelle de votre organisation. |
3. Contrat écrit ou autre arrangement
|
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Les principales fonctionnalités comprennent :
Grâce à ces capacités, vous pouvez vous assurer que les bonnes clauses - telles que les protections de sécurité sur les ePHI et la formation - sont dans le contrat, et qu'elles sont applicables et efficacement communiquées à toutes les parties prenantes. |
5.4.1 Contrats d'associés commerciaux ou autres arrangements (§ 164.314(a)) Norme HIPAA : (i) Le contrat ou autre arrangement entre l'entité couverte et son associé commercial requis par le §164.308(b)(3) doit répondre aux exigences du paragraphe (a)(2)(i), (a)(2)(ii), ou (a)(2)(iii) de cette section, selon le cas. (ii) Une entité couverte est en conformité avec le paragraphe (a)(1) de cette section si elle a un autre arrangement en place qui répond aux exigences du §164.504(e)(3). (iii) Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de cette section s'appliquent au contrat ou autre arrangement entre un associé et un sous-traitant requis par le § 164.308(b)(4) de la même manière que ces exigences s'appliquent aux contrats ou autres arrangements entre une entité couverte et un associé. |
|
1. Le contrat doit prévoir que les associés commerciaux se conformeront aux exigences applicables de la règle de sécurité. Les contrats entre les entités couvertes et les associés doivent prévoir que les associés mettront en œuvre des mesures de protection administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des ePHI que l'associé crée, reçoit, conserve ou transmet au nom de l'entité couverte. 2. Le contrat doit prévoir que les associés commerciaux concluent des contrats avec les sous-traitants pour garantir la protection des ePHI. Conformément au § 164.308(b)(2), s'assurer que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des ePHI au nom de l'associé acceptent de se conformer aux exigences applicables de cette sous-partie en concluant un contrat ou un autre arrangement conforme à cette section. |
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats des fournisseurs. Il offre également des fonctionnalités de workflow pour automatiser le cycle de vie des contrats, de l'entrée à la sortie. Grâce à ces fonctionnalités, vous pouvez vous assurer que les bonnes clauses - telles que l'application des contrôles de sécurité, l'auditabilité, la réponse aux incidents, les notifications, les accords avec des sous-traitants tiers, etc. - figurent dans le contrat, et qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes. |
3. Le contrat doit prévoir que les associés commerciaux signaleront les incidents de sécurité
|
Outre la gestion du cycle de vie des contrats, Prevalent propose un service de réponse aux incidents impliquant des tiers, qui permet aux équipes d'identifier et d'atténuer rapidement l'impact des violations commises par des tiers en gérant les fournisseurs de manière centralisée, en effectuant des évaluations d'événements, en notant les risques identifiés et en accédant à des conseils de remédiation. Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises dans le monde. La base de données comprend les types et les quantités de données volées, les questions de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Combinée à la surveillance continue de cyber , elle fournit aux organisations une vue d'ensemble des risques externes en matière de sécurité de l'information qui peuvent avoir un impact sur les opérations. |
4. Autres dispositions L'entité couverte se conforme au paragraphe (a)(1) de cette section si elle a mis en place un autre arrangement qui répond aux exigences du § 164.504(e)(3). 5. Contrats d'associés commerciaux avec les sous-traitants Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de cette section s'appliquent au contrat ou autre arrangement entre un associé d'affaires et un sous-traitant de la même manière que ces exigences s'appliquent aux contrats ou autres arrangements entre une entité couverte et un associé d'affaires. |
En plus de s'assurer que les contrats d'associés commerciaux contiennent des dispositions permettant d'évaluer les risques liés aux tiers, Prevalent identifie les relations avec les tiers par une évaluation d'identification native ou par un balayage passif de l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins de l'information et les dépendances qui pourraient ouvrir des voies dans un environnement. |
Naviguer dans le paysage de la conformité TPRM
Le Third-Party Risk Management Compliance Handbook révèle les exigences en matière de TPRM dans les principales réglementations et cadres sectoriels, afin que vous puissiez vous mettre en conformité tout en atténuant les risques liés aux fournisseurs.
Pour se conformer à la législation HIPAA, il faut obtenir une vue interne complète des contrôles de sécurité et de confidentialité des tiers. Apprenez...
Avec le nombre toujours croissant de violations de données de la part des fournisseurs de soins de santé, utilisez ces conseils pour être plus proactif...
Le NIST a rédigé plusieurs normes industrielles qui traitent de l'identification, de l'évaluation et de la gestion des risques de la chaîne d'approvisionnement...