Vereinfachung der Bewertungen der HIPAA-Sicherheitsvorschriften
Die Sonderveröffentlichung (SP) 800-66 desNational Institute of Standards and Technology (NIST) wurde entwickelt, um Organisationen im Gesundheitswesen (HDOs) dabei zu helfen,die Sicherheitsvorschriften des Health Insurance Portability and Accountability Act (HIPAA)zu verstehen, und um einen Rahmen für deren Umsetzung zu schaffen.
Die HIPAA-Sicherheitsvorschrift gilt für alle Organisationen, die elektronisch geschützte Gesundheitsdaten (ePHI) verwalten, unabhängig davon, ob es sich um eine betroffene Einrichtung oder einen Geschäftspartner (z. B. Drittanbieter, Lieferant oder Partner) handelt. Die Vorschrift verpflichtet Organisationen zu Folgendem:
- Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit aller ePHI, die sie erstellen, empfangen, aufbewahren oder übertragen
- Identifizierung von und Schutz vor vernünftigerweise zu erwartenden Bedrohungen der Sicherheit oder Integrität der Informationen
- Schutz vor unzulässigen Verwendungen oder Offenlegungen von ePHI, die vernünftigerweise zu erwarten sind
- Sicherstellung der Einhaltung der Vorschriften durch ihre Mitarbeiter
Die Einhaltung der Richtlinien und Best Practices inNIST 800-66r2hilft Gesundheitsorganisationen dabei, die Einhaltung der HIPAA-Sicherheitsvorschriften zu vereinfachen.
Relevante Anforderungen
- Führen Sie eine genaue und gründliche Bewertung der potenziellen Risiken und Schwachstellen hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit elektronisch gespeicherter geschützter Gesundheitsdaten durch, die sich im Besitz der betroffenen Einrichtung oder des Geschäftspartners befinden.
-
Sicherheitsmaßnahmen umsetzen, die ausreichend sind, um Risiken und Schwachstellen auf ein angemessenes und angemessenes Maß zu reduzieren
Die HIPAA-Sicherheitsvorschriften verstehen
Die HIPAA-Sicherheitsvorschrift empfiehlt sieben Schritte, die in einen umfassenden Risikobewertungsprozess einbezogen werden sollten. Die folgende Tabelle ordnet die Funktionen der Prevalent-Lösung den einzelnen Schritten zu und veranschaulicht, wie eine Risikomanagementlösung eines Drittanbieters zur Umsetzung dieser Best Practices beitragen kann.
HINWEIS: Diese Informationen dienen lediglich als zusammenfassende Leitlinien. Unternehmen sollten die Anforderungen von NIST 800-66r2 und der HIPAA-Sicherheitsvorschriften in Absprache mit ihren Wirtschaftsprüfern selbst vollständig überprüfen.
| Empfohlene Schritte und Aufgaben | Wie wir helfen |
|---|---|
| 1. Vorbereitung auf die Bewertung
Verstehen Sie, wo ePHI erstellt, empfangen, gepflegt, verarbeitet oder übertragen wird. Legen Sie den Umfang der Bewertung fest. |
Prevalent partners with you to build a comprehensive third-party risk management (TPRM) program based on proven best practices and extensive real-world experience. Our Experten collaborate with your team on defining and implementing TPRM processes and solutions; selecting risk assessment questionnaires and frameworks; and optimizing your program to address the entire third-party risk lifecycle – from sourcing and due diligence, to termination and offboarding.
Prevalent kann Subunternehmerbeziehungen der vierten und N-ten Partei identifizieren, indem es eine fragebogenbasierte Bewertung durchführt oder die öffentlich zugängliche Infrastruktur der dritten Partei passiv scannt. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten. Die durch diesen Prozess ermittelten Lieferanten werden kontinuierlich auf finanzielle, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken sowie auf Sanktionen/PEP-Screening überwacht. Sobald Dritte und Vierte identifiziert sind, können Sie die über 750 vordefiniertenBewertungsvorlagender Prevalent-Plattform nutzen, um Geschäftspartner von Dritten anhand von NIST-, HIPAA- oder anderen Anforderungen zu bewerten. |
| 2. Identifizierung realistischer Bedrohungen
Identifizieren Sie potenzielle Bedrohungsereignisse und Bedrohungsquellen, die für das regulierte Unternehmen und sein Betriebsumfeld relevant sind. |
Prevalent continuously tracks and analyzes externe Bedrohungen für DritteDie Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.
Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung und Reaktionsinitiativen optimiert werden. Zu den Überwachungsquellen gehören:
|
| 3. Identifizierung potenzieller Schwachstellen und prädisponierender Bedingungen
Nutzen Sie interne und externe Quellen, um potenzielle Schwachstellen zu identifizieren. Interne Quellen können frühere Risikobewertungen, Ergebnisse von Schwachstellenscans und Systemsicherheitstests (z. B. Penetrationstests) sowie Auditberichte umfassen. Externe Quellen können Internetsuchen, Lieferanteninformationen, Versicherungsdaten und Schwachstellendatenbanken umfassen. |
Prevalent normalisiert, korreliert und analysiert Informationen aus internen Risikobewertungen und externen Überwachungsmaßnahmen. Dieses einheitliche Modell bietet Kontext, Quantifizierung, Management und Unterstützung bei der Behebung von Risiken. Außerdem überprüft es die Existenz und Wirksamkeit interner Kontrollen durch externe Überwachung. |
| 4.-6. Bestimmen der Wahrscheinlichkeit (und der Auswirkungen) einer Bedrohung, die eine Schwachstelle ausnutzt; Bestimmen des Risikoniveaus
Bestimmen Sie die Wahrscheinlichkeit (sehr gering bis sehr hoch), mit der eine Bedrohung eine Schwachstelle erfolgreich ausnutzen kann. Bestimmen Sie die Auswirkungen (betrieblich, individuell, auf Vermögenswerte usw.), die für ePHI entstehen könnten, wenn eine Bedrohung eine Schwachstelle ausnutzt. Bewerten Sie das Risikoniveau (niedrig, mittel, hoch) für ePHI unter Berücksichtigung der in den vorherigen Schritten gesammelten Informationen und getroffenen Entscheidungen. |
Mit der Prevalent Platform können Sie Risikoschwellenwerte definieren und Risiken anhand ihrer Wahrscheinlichkeit und Auswirkungen kategorisieren und bewerten. Anhand der daraus resultierenden Heatmap können sich Teams auf die wichtigsten Risiken konzentrieren. |
| 7. Dokumentieren Sie die Ergebnisse der Risikobewertung
Dokumentieren Sie die Ergebnisse der Risikobewertung. |
Mit Prevalent können Sie nach Abschluss der Umfrage Risikoregister erstellen, die Echtzeit-Erkenntnisse aus den Bereichen Cyber, Geschäft, Reputation und Finanzen integrieren, um Risikoprüfungen, Berichterstellung und Reaktionen zu automatisieren. Aus dem Risikoregister heraus können Sie Aufgaben im Zusammenhang mit Risiken oder anderen Punkten erstellen, den Aufgabenstatus über mit der Plattform verknüpfte E-Mail-Regeln überprüfen und integrierte Empfehlungen und Anleitungen zur Behebung von Risiken nutzen.
Die Lösung automatisiertdie Compliance-Prüfung des Risikomanagements von Drittanbietern, indem sie Informationen zu Lieferantenrisiken sammelt, Risiken quantifiziert und Berichte für Dutzende von staatlichen Vorschriften und Branchenrahmenwerken erstellt, darunter NIST, HIPAA und viele mehr. |
Zuordnung der gängigen Fähigkeiten zu den Anforderungen der NIST SP 800-66r2 HIPAA Security Rule
NIST SP 800-66r2 stellt Sicherheitsmaßnahmen vor, die für jeden Standard der HIPAA-Sicherheitsvorschrift relevant sind. Die folgende Tabelle enthält spezifische Maßnahmen für Geschäftspartner und zeigt die Funktionen von Prevalent auf, die zur Erfüllung der Anforderungen beitragen.
HINWEIS: Diese Informationen dienen lediglich als zusammenfassende Leitlinien. Unternehmen sollten die Anforderungen von NIST 800-66r2 und der HIPAA-Sicherheitsvorschriften in Absprache mit ihren Wirtschaftsprüfern selbst vollständig überprüfen.
| Wichtige Aktivitäten und Beschreibung | Wie wir helfen |
|---|---|
| 5.1.9 Verträge mit Geschäftspartnern und andere Vereinbarungen (§ 164.308(b)(1))
HIPAA-Standard:Eine betroffene Einrichtung darf einem Geschäftspartner nur dann gestatten, elektronische geschützte Gesundheitsdaten im Namen der betroffenen Einrichtung zu erstellen, zu empfangen, zu speichern oder zu übertragen, wenn die betroffene Einrichtung gemäß §164.314(a) ausreichende Zusicherungen erhält, dass der Geschäftspartner die Daten angemessen schützt. Eine betroffene Einrichtung ist nicht verpflichtet, solche ausreichenden Zusicherungen von einem Geschäftspartner einzuholen, der ein Subunternehmer ist. |
|
1. Identifizierung von Unternehmen, die gemäß der HIPAA-Sicherheitsrichtlinie als Geschäftspartner gelten
|
Prevalent identifiziert Beziehungen zu vierten Parteien durch eine native Identifizierungsbewertung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten, die Wege in eine Umgebung eröffnen könnten.
Prevalent bietet eine vorvertragliche Due-Diligence-Prüfung mit einer klaren Bewertung anhand von acht Kriterien, umdie inhärenten Risikenfür alle Dritten und Geschäftspartner während der Onboarding-Phase zu erfassen, zu verfolgen und zu quantifizieren. Zu den Kriterien gehören:
Anhand dieser inhärenten Risikobewertung kann Ihr Team alle Geschäftspartner zentral verwalten, Lieferanten automatisch einstufen, angemessene Stufen für weitere Sorgfaltspflichten festlegen und den Umfang laufender Bewertungen bestimmen. |
2. Festlegung eines Verfahrens zur Messung der Vertragserfüllung und zur Beendigung des Vertrags, wenn die Sicherheitsanforderungen nicht erfüllt werden
|
Prevalent helps to centrally measure KPIs und KRIs von Drittanbietern to reduce risks from gaps in vendor oversight by automating contract and performance assessments.
Wenn festgestellt wird, dass ein Dritter gegen den Vertrag verstößt, automatisiert die Plattform Vertragsbewertungen undOffboarding-Verfahren, umdas Risiko Ihrer Organisation nach Vertragsende zu verringern. |
3. Schriftlicher Vertrag oder sonstige Vereinbarung
|
Prevalent zentralisiert die Verteilung, Diskussion, Speicherung und Überprüfung von Lieferantenverträge. It also offers workflow capabilities to automate the contract lifecycle from onboarding to offboarding. Key capabilities include:
Mit diesen Funktionen können Sie sicherstellen, dass die richtigen Klauseln - wie z. B. Sicherheitsvorkehrungen für ePHI und Schulungen - im Vertrag enthalten sind, dass sie durchsetzbar sind und allen Beteiligten effizient mitgeteilt werden. |
| 5.4.1 Verträge mit Geschäftspartnern oder andere Vereinbarungen (§ 164.314(a))
HIPAA-Standard:(i) Der Vertrag oder die sonstige Vereinbarung zwischen der betroffenen Einrichtung und ihrem Geschäftspartner gemäß §164.308(b)(3) muss die Anforderungen von Absatz (a)(2)(i), (a)(2)(ii) oder (a)(2)(iii) dieses Abschnitts erfüllen, soweit zutreffend. (ii) Ein betroffenes Unternehmen erfüllt die Anforderungen von Absatz (a)(1) dieses Abschnitts, wenn es über eine andere Vereinbarung verfügt, die die Anforderungen von §164.504(e)(3) erfüllt. (iii) Die Anforderungen der Absätze (a)(2)(i) und (a)(2)(ii) dieses Abschnitts gelten für den Vertrag oder die sonstige Vereinbarung zwischen einem Geschäftspartner und einem Subunternehmer gemäß § 164.308(b)(4) in gleicher Weise wie für Verträge oder sonstige Vereinbarungen zwischen einem betroffenen Unternehmen und einem Geschäftspartner. |
|
| 1. Der Vertrag muss vorsehen, dass Geschäftspartner die geltenden Anforderungen der Sicherheitsvorschrift einhalten.
Verträge zwischen betroffenen Unternehmen und Geschäftspartnern müssen vorsehen, dass Geschäftspartner administrative, physische und technische Sicherheitsvorkehrungen treffen, die die Vertraulichkeit, Integrität und Verfügbarkeit der ePHI, die der Geschäftspartner im Auftrag des betroffenen Unternehmens erstellt, empfängt, verwaltet oder übermittelt, angemessen und angemessen schützen. 2. Der Vertrag muss vorsehen, dass die Geschäftspartner Verträge mit Subunternehmern abschließen, um den Schutz von ePHI zu gewährleisten. Stellen Sie gemäß § 164.308(b)(2) sicher, dass alle Subunternehmer, die im Auftrag des Geschäftspartners ePHI erstellen, empfangen, verwalten oder übertragen, sich zur Einhaltung der geltenden Anforderungen dieses Unterabschnitts verpflichten, indem sie einen Vertrag oder eine andere Vereinbarung abschließen, die diesem Abschnitt entspricht. |
Prevalent zentralisiert die Verteilung, Diskussion, Speicherung und Überprüfung von LieferantenverträgeEs bietet außerdem Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.
Mit diesen Funktionen können Sie sicherstellen, dass die richtigen Klauseln – wie die Durchsetzung von Sicherheitskontrollen, Überprüfbarkeit, Reaktion auf Vorfälle, Benachrichtigungen, Vereinbarungen mit Subunternehmern usw. – im Vertrag enthalten sind und dass sie durchsetzbar sind und allen Beteiligten effizient mitgeteilt werden. |
3. Der Vertrag muss vorsehen, dass die Geschäftspartner Sicherheitsvorfälle melden
|
In addition to contract lifecycle management, Prevalent offers a Third-Party Incident Response Service that enables teams to rapidly identify and mitigate the impact of third-party breaches by centrally managing vendors, conducting event assessments, scoring identified risks, and accessing remediation guidance.
Kunden können auch auf eine Datenbank zugreifen, die mehr als 10 Jahre Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt enthält. Die Datenbank enthält die Art und Menge der gestohlenen Daten, die Einhaltung von Vorschriften und gesetzlichen Bestimmungen sowie Echtzeit-Benachrichtigungen über Datenschutzverletzungen durch Anbieter. In Kombination mit der kontinuierlichen Cyber-Überwachung bietet sie Unternehmen einen umfassenden Überblick über externe Informationssicherheitsrisiken, die sich auf den Betrieb auswirken können. |
| 4. Sonstige Vereinbarungen
Das betroffene Unternehmen erfüllt die Anforderungen von Absatz (a)(1) dieses Abschnitts, wenn es über eine andere Vereinbarung verfügt, die die Anforderungen von § 164.504(e)(3) erfüllt. 5. Verträge mit Subunternehmern Die Anforderungen der Absätze (a)(2)(i) und (a)(2)(ii) dieses Abschnitts gelten für Verträge oder sonstige Vereinbarungen zwischen einem Geschäftspartner und einem Subunternehmer in gleicher Weise wie für Verträge oder sonstige Vereinbarungen zwischen einem betroffenen Unternehmen und einem Geschäftspartner. |
Prevalent stellt nicht nur sicher, dass Verträge mit Geschäftspartnern Bestimmungen zur Bewertung von Risiken durch vierte Parteien enthalten, sondern identifiziert auch Beziehungen zu vierten Parteien durch eine native Identifizierungsbewertung oder durch passives Scannen der öffentlichen Infrastruktur der dritten Partei. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Wege in eine Umgebung eröffnen könnten. |
Navigieren Sie durch die TPRM-Compliance-Landschaft