Die ursprünglich im März 2005 veröffentlichte und im Oktober 2008 erstmals überarbeitete Special Publication (SP) 800-66 des U.S. National Institute of Standards and Technology (NIST) wurde erneut geändert, um die Cybersicherheitsrichtlinien für das Gesundheitswesen zu aktualisieren.
SP 800-66 wurde entwickelt, um Organisationen des Gesundheitswesens (HDOs) dabei zu helfen, die Health Insurance Portability and Accountability Act (HIPAA) Security Rule zu verstehen und einen Rahmen zur Unterstützung ihrer Umsetzung zu schaffen. Die HIPAA-Sicherheitsrichtlinie gilt für jede Organisation, die elektronische geschützte Gesundheitsinformationen (ePHI) verwaltet, unabhängig davon, ob es sich um eine betroffene Einrichtung oder einen Geschäftspartner (z. B. einen Drittanbieter, Lieferanten oder Partner) handelt. Die Vorschrift verlangt von den Unternehmen:
- Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller ePHI, die sie erstellen, empfangen, aufbewahren oder übertragen
- Identifizierung von und Schutz vor vernünftigerweise zu erwartenden Bedrohungen der Sicherheit oder Integrität der Informationen
- Schutz vor unzulässigen Verwendungen oder Offenlegungen von ePHI, die vernünftigerweise zu erwarten sind
- Sicherstellung der Einhaltung der Vorschriften durch ihre Mitarbeiter
Dieser Beitrag untersucht den Umfang der Risikobewertungen der HIPAA Security Rule für Geschäftspartner von Drittanbietern, gleicht die SP 800-66 Anleitung mit der Security Rule ab und identifiziert die Funktionen der Prevalent Third-Party Risk Management Plattform, die die Anforderungen erfüllen können.
HIPAA Security Rule Bestimmungen für Geschäftspartner
Die HIPAA-Sicherheitsvorschrift enthält Bestimmungen, die von den betroffenen Einrichtungen die Durchführung von Risikobewertungen verlangen, unter anderem:
- Risikoanalyse (R) - 164.308(a)(1)(ii)(A): Führen Sie eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen für die Vertraulichkeit, Integrität und Verfügbarkeit elektronischer geschützter Gesundheitsdaten durch, die sich im Besitz der betroffenen Einrichtung oder des Geschäftspartners befinden.
- Risikomanagement (R) - 163.308(a)(1)(ii)(B): Umsetzung von Sicherheitsmaßnahmen, die ausreichen, um Risiken und Schwachstellen auf ein vernünftiges und angemessenes Niveau zu reduzieren, um Abschnitt 164.306(a) zu erfüllen.
In der Sicherheitsvorschrift werden sieben Schritte empfohlen, die zu einer umfassenden Risikobewertung gehören sollten.
1. Vorbereitung auf die Bewertung
Zielsetzung: Verstehen, wo ePHI erstellt, empfangen, aufbewahrt, verarbeitet oder übertragen wird. Definition des Umfangs der Bewertung.
Wie Prevalent hilft: Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) aufzubauen, das auf bewährten Best Practices und umfassender praktischer Erfahrung basiert. Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen zur Risikobewertung und Rahmenwerke auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus des Risikos von Drittanbietern abdeckt - von der Beschaffung und Due-Diligence-Prüfung bis zur Kündigung und Ausgliederung.
Prevalent kann die Beziehungen zwischen Unterauftragnehmern der vierten und dritten Partei durch eine fragebogenbasierte Bewertung oder durch passives Scannen der öffentlich zugänglichen Infrastruktur der dritten Partei identifizieren. Die daraus resultierende Beziehungslandkarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten. Lieferanten, die durch diesen Prozess entdeckt werden, werden kontinuierlich auf Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken sowie auf Sanktionen/PEP überprüft.
Sobald Dritt- und Viertparteien identifiziert sind, können Sie die mehr als 750 vordefinierten Bewertungsvorlagen der Prevalent-Plattform nutzen, um Drittpartei-Geschäftspartner gemäß NIST-, HIPAA- oder anderen Anforderungen zu bewerten.
Zuordnung der gängigen Fähigkeiten zu den Anforderungen der NIST SP 800-66r2 HIPAA Security Rule
NIST SP 800-66r2 stellt Sicherheitsmaßnahmen vor, die für jeden Standard der HIPAA Security Rule relevant sind. Hier werden spezifische Maßnahmen für Geschäftspartner identifiziert und Prevalent-Fähigkeiten abgebildet, die dazu beitragen, die Anforderungen zu erfüllen.
HINWEIS: Diese Informationen dienen lediglich als zusammenfassende Anleitung. Unternehmen sollten die Anforderungen der NIST 800-66r2 und der HIPAA-Sicherheitsrichtlinien in Absprache mit ihren Prüfern selbst vollständig überprüfen.
5.1.9 Verträge mit Geschäftspartnern und andere Vereinbarungen (§ 164.308(b)(1))
1. Identifizierung von Unternehmen, die gemäß der HIPAA-Sicherheitsrichtlinie als Geschäftspartner gelten
Prevalent identifiziert die Beziehungen von Drittanbietern durch eine native Identifikationsprüfung oder durch passives Scannen der öffentlichen Infrastruktur des Drittanbieters. Die daraus resultierende Beziehungslandkarte zeigt Informationspfade und Abhängigkeiten, die Wege in eine Umgebung öffnen könnten. Hinweis: Diese Funktion kann auch für 5.4.1 Business Associate Contracts or Other Arrangements (§ 164.314(a)) - 4 verwendet werden. Andere Vereinbarungen; und 5. Business Associate-Verträge mit Unterverträgen.
Prevalent bietet eine Due-Diligence-Prüfung vor Vertragsabschluss mit einer klaren Bewertung auf der Grundlage von acht Kriterien, um inhärente Risiken für alle Drittparteien und Geschäftspartner während des Onboarding zu erfassen, zu verfolgen und zu quantifizieren. Auf der Grundlage dieser Bewertung der inhärenten Risiken kann Ihr Team alle Geschäftspartner zentral verwalten, Lieferanten automatisch in eine bestimmte Kategorie einordnen, geeignete Stufen für weitere Prüfungen festlegen und den Umfang der laufenden Prüfungen bestimmen.
2. Festlegung eines Verfahrens zur Messung der Vertragserfüllung und zur Beendigung des Vertrags, wenn die Sicherheitsanforderungen nicht erfüllt werden
Prevalent hilft bei der zentralen Messung von KPIs und KRIs von Drittanbietern, um Risiken durch Lücken in der Lieferantenüberwachung durch die Automatisierung von Vertrags- und Leistungsbewertungen zu reduzieren.
Wird festgestellt, dass ein Dritter die Vertragsbestimmungen nicht einhält, automatisiert die Plattform Vertragsbewertungen und Offboarding-Verfahren, um das Risiko für Ihr Unternehmen zu verringern, dass es nach dem Abschluss eines Vertrages gefährdet ist.
3. Schriftlicher Vertrag oder sonstige Vereinbarung
Prevalent zentralisiert die Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen. Außerdem bietet es Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus von der Aufnahme bis zur Beendigung der Zusammenarbeit.
Mit diesen Funktionen können Sie sicherstellen, dass die richtigen Klauseln - wie z. B. Sicherheitsvorkehrungen für ePHI und Schulungen - im Vertrag enthalten sind, dass sie durchsetzbar sind und allen Beteiligten effizient mitgeteilt werden.
Hinweis: Diese Funktion kann auch für 5.4.1 Business Associate Contracts or Other Arrangements (§ 164.314(a)) verwendet werden - 1. Der Vertrag muss vorsehen, dass die Geschäftspartner die anwendbaren Anforderungen der Sicherheitsrichtlinie einhalten; und 2. Der Vertrag muss vorsehen, dass die Geschäftspartner Verträge mit Unterauftragnehmern abschließen, um den Schutz von ePHI zu gewährleisten.
5.4.1 Verträge mit Geschäftspartnern oder andere Vereinbarungen (§ 164.314(a))
3. Der Vertrag muss vorsehen, dass die Geschäftspartner Sicherheitsvorfälle melden
Zusätzlich zur Verwaltung des Vertragslebenszyklus bietet Prevalent einen Third-Party Incident Response Service an, der es Teams ermöglicht, die Auswirkungen von Verletzungen durch Dritte schnell zu erkennen und zu mindern, indem sie Anbieter zentral verwalten, Ereignisbewertungen durchführen, identifizierte Risiken bewerten und auf Anleitungen zur Abhilfe zugreifen können.
Kunden können auch auf eine Datenbank zugreifen, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält. Die Datenbank enthält die Art und Menge der gestohlenen Daten, die Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter. In Kombination mit der kontinuierlichen Cyber-Überwachung bietet sie Unternehmen einen umfassenden Überblick über externe Informationssicherheitsrisiken, die sich auf den Betrieb auswirken können.
Nächste Schritte für die Einhaltung der HIPAA-Sicherheitsrichtlinien mit NIST 800-66
Prevalent kann Unternehmen dabei helfen, die Prinzipien von NIST SP 800-66r2 anzuwenden, um die HIPAA-Sicherheitsanforderungen für Geschäftspartner zu erfüllen. Die Prevalent-Plattform für das Risikomanagement von Drittanbietern:
- Umfassende Due-Diligence-Prüfungen vor Vertragsabschluss, um das inhärente Risiko zu berechnen, das Geschäftspartner für eine Geschäftsbeziehung mit sich bringen
- Vereinfachung der Vertragsprozesse, um sicherzustellen, dass alle wichtigen Leistungsindikatoren (KPIs) und ePHI-Bestimmungen für Geschäftspartner vorhanden sind und nachverfolgt werden
- Erstellung von Profilen und Einstufung aller Drittparteien, um die laufende Due-Diligence-Prüfung je nach Kritikalität zu optimieren
- Karten von vierten Parteien, um das Risiko unter den Unterauftragnehmern zu verstehen
- Hinzufügen von Arbeitsabläufen zur Automatisierung des Bewertungs-, Risikoeinstufungs- und Abhilfeprozesses
- Kontinuierliche Überwachung der Geschäftspartner im Hinblick auf Cyber-, Geschäfts-, Reputations- und Finanzrisiken, Abgleich der Risiken mit den Bewertungsergebnissen und Validierung der Ergebnisse
- Automatisiert die Reaktion auf Vorfälle und verkürzt die Zeit bis zur Lösung
- Einschließlich Compliance- und Risikoberichterstattung nach Rahmen oder Vorschriften
Wenn Sie wissen möchten, wie Prevalent dazu beitragen kann, die Anforderungen von NIST SP 800-66r2 zu erfüllen und die Umsetzung der HIPAA Security Rule zu unterstützen, laden Sie die vollständige Compliance-Checkliste herunter oder fordern Sie noch heute eine Demo an.
2. Identifizierung realistischer Bedrohungen
Zielsetzungen: Ermittlung der potenziellen Bedrohungsereignisse und -quellen, die auf das beaufsichtigte Unternehmen und sein Betriebsumfeld zutreffen.
Wie Prevalent hilft: Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Reputations-, Sanktions- und Finanzinformationen. Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung und Reaktionsinitiativen rationalisiert werden.
3. Identifizierung potenzieller Schwachstellen und prädisponierender Bedingungen
Zielsetzungen: Nutzung interner und externer Quellen zur Ermittlung potenzieller Schwachstellen. Zu den internen Quellen können frühere Risikobewertungen, Ergebnisse von Schwachstellen-Scans und System-Sicherheitstests (z.B. Penetrationstests) sowie Audit-Berichte gehören. Externe Quellen können Internetrecherchen, Anbieterinformationen, Versicherungsdaten und Schwachstellendatenbanken sein.
Wie Prevalent hilft: Prevalent normalisiert, korreliert und analysiert Informationen über Inside-Out-Risikobewertungen und Outside-In-Überwachung. Dieses einheitliche Modell bietet Kontext, Quantifizierung, Management und Abhilfemaßnahmen für Risiken. Außerdem validiert es das Vorhandensein und die Wirksamkeit interner Kontrollen mit externer Überwachung.
4.-6. Bestimmen der Wahrscheinlichkeit (und der Auswirkungen) einer Bedrohung, die eine Schwachstelle ausnutzt; Bestimmen des Risikoniveaus
Zielsetzungen: Ermittlung der Wahrscheinlichkeit (sehr gering bis sehr hoch), dass eine Bedrohung eine Schwachstelle erfolgreich ausnutzt; Ermittlung der Auswirkungen (betrieblich, individuell, auf Vermögenswerte usw.), die für ePHI eintreten könnten, wenn eine Bedrohung eine Schwachstelle ausnutzt; Bewertung des Risikograds (gering, mittel, hoch) für ePHI unter Berücksichtigung der in den vorangegangenen Schritten gesammelten Informationen und getroffenen Feststellungen.
Wie Prevalent hilft: Die Prevalent-Plattform ermöglicht es Ihnen, Risikoschwellen zu definieren und Risiken auf der Grundlage von Wahrscheinlichkeit und Auswirkungen zu kategorisieren und zu bewerten. Die daraus resultierende Heatmap ermöglicht es den Teams, sich auf die wichtigsten Risiken zu konzentrieren.
7. Dokumentieren Sie die Ergebnisse der Risikobewertung
Zielsetzung: Dokumentieren Sie die Ergebnisse der Risikobewertung.
Wie Prevalent hilft: Mit Prevalent können Sie nach Abschluss der Befragung Risikoregister erstellen, die Erkenntnisse aus der Cyber-, Geschäfts-, Reputations- und Finanzüberwachung in Echtzeit integrieren, um Risikoprüfungen, Berichte und Reaktionen zu automatisieren. Aus dem Risikoregister können Sie Aufgaben erstellen, die sich auf Risiken oder andere Punkte beziehen, den Aufgabenstatus über mit der Plattform verknüpfte E-Mail-Regeln überprüfen und integrierte Empfehlungen und Anleitungen zur Abhilfe nutzen.
Die Lösung automatisiert die Konformitätsprüfung des Risikomanagements von Drittanbietern, indem sie Risikoinformationen von Anbietern erfasst, Risiken quantifiziert und Berichte für Dutzende von gesetzlichen Vorschriften und Branchenrahmenwerken erstellt, darunter NIST, HIPAA und viele mehr.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
