Simplifiez les évaluations de conformité à la règle de sécurité HIPAA
La publication spéciale (SP) 800-66du National Institute of Standards and Technology (NIST) a été élaborée afin d'aider les organismes de prestation de soins de santé (HDO) à comprendrela règle de sécurité de la loi HIPAA (Health Insurance Portability and Accountability Act)et de fournir un cadre pour soutenir sa mise en œuvre.
La règle de sécurité HIPAA s'applique à toute organisation gérant des informations de santé protégées électroniques (ePHI), qu'il s'agisse d'une entité couverte ou d'un partenaire commercial (par exemple, un fournisseur tiers, un prestataire ou un partenaire). La règle impose aux organisations :
- Garantir la confidentialité, l'intégrité et la disponibilité de toutes les informations médicales électroniques protégées (ePHI) qu'ils créent, reçoivent, conservent ou transmettent.
- Identifier et protéger contre les menaces raisonnablement prévisibles pour la sécurité ou l'intégrité des informations.
- Se protéger contre les utilisations ou divulgations non autorisées des ePHI qui sont raisonnablement prévisibles.
- Veiller au respect des règles par leur personnel
Le respect des directives et des meilleures pratiques énoncées danslanormeNIST 800-66r2aidera les organismes de santé à simplifier leur mise en conformité avec la règle de sécurité HIPAA.
Exigences pertinentes
- Réaliser une évaluation précise et approfondie des risques potentiels et des vulnérabilités liés à la confidentialité, à l'intégrité et à la disponibilité des informations de santé électroniques protégées détenues par l'entité couverte ou le partenaire commercial.
-
Mettre en œuvre des mesures de sécurité suffisantes pour réduire les risques et les vulnérabilités à un niveau raisonnable et approprié.
Comprendre la règle de sécurité HIPAA
La règle de sécurité HIPAA recommande sept étapes à inclure dans un processus complet d'évaluation des risques. Le tableau ci-dessous présente les fonctionnalités de la solution Prevalent pour chaque étape, illustrant comment une solution de gestion des risques tiers peut aider à mettre en œuvre ces bonnes pratiques.
REMARQUE : ces informations sont fournies à titre indicatif uniquement. Les organisations doivent examiner elles-mêmes l'intégralité des exigences de la norme NIST 800-66r2 et de la règle de sécurité HIPAA, en consultation avec leurs auditeurs.
| Étapes et tâches recommandées | Comment nous aidons |
|---|---|
| 1. Préparez-vous à l'évaluation
Comprendre où les ePHI sont créées, reçues, conservées, traitées ou transmises. Définir la portée de l'évaluation. |
Prevalent partners with you to build a comprehensive third-party risk management (TPRM) program based on proven best practices and extensive real-world experience. Our experts collaborate with your team on defining and implementing TPRM processes and solutions; selecting risk assessment questionnaires and frameworks; and optimizing your program to address the entire third-party risk lifecycle – from sourcing and due diligence, to termination and offboarding.
Prevalent peut identifier les relations de sous-traitance de quatrième et n-ième partie en réalisant une évaluation basée sur un questionnaire ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'information et les dépendances qui pourraient exposer votre environnement à des risques. Les fournisseurs découverts grâce à ce processus font l'objet d'une surveillance continue afin de détecter les risques financiers, ESG, cybernétiques, commerciaux et de violation des données, ainsi que les sanctions/contrôles PEP. Une fois les tiers et les quatrièmes parties identifiés, vous pouvez utiliser les plus de 750modèles d'évaluationprédéfinis disponibles dans la plateforme Prevalent pour évaluer les partenaires commerciaux tiers par rapport aux exigences NIST, HIPAA ou autres. |
| 2. Identifier les menaces réalistes
Identifier les événements et les sources de menace potentiels qui s'appliquent à l'entité réglementée et à son environnement opérationnel. |
Prevalent continuously tracks and analyzes menaces externes envers des tiers. La solution surveille Internet et le dark web à la recherche de cybermenaces et de vulnérabilités, ainsi que les sources publiques et privées d'informations sur la réputation, les sanctions et les finances.
Toutes les données de surveillance sont corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise les initiatives d'examen, de reporting et de réponse aux risques. Les sources de surveillance comprennent :
|
| 3. Identifier les vulnérabilités potentielles et les conditions prédisposantes
Utilisez des sources internes et externes pour identifier les vulnérabilités potentielles. Les sources internes peuvent inclure les évaluations de risques précédentes, les résultats des analyses de vulnérabilité et des tests de sécurité du système (par exemple, les tests de pénétration) et les rapports d'audit. Les sources externes peuvent inclure les recherches sur Internet, les informations des fournisseurs, les données d'assurance et les bases de données sur les vulnérabilités. |
Prevalent normalise, corrèle et analyse les informations issues des évaluations des risques internes et externes. Ce modèle unifié fournit un contexte, une quantification, une gestion et une aide à la correction des risques. Il valide également la présence et l'efficacité des contrôles internes grâce à une surveillance externe. |
| 4.-6. Déterminer la probabilité (et l'impact) d'une menace exploitant une vulnérabilité ; déterminer le niveau de risque
Déterminez la probabilité (très faible à très élevée) qu'une menace exploite avec succès une vulnérabilité. Déterminez l'impact (opérationnel, individuel, sur les actifs, etc.) que pourrait subir l'ePHI si une menace exploitait une vulnérabilité. Évaluez le niveau de risque (faible, moyen, élevé) pour les ePHI, en tenant compte des informations recueillies et des conclusions tirées lors des étapes précédentes. |
La plateforme Prevalent vous permet de définir des seuils de risque, puis de classer et de noter les risques en fonction de leur probabilité et de leur impact. La carte thermique qui en résulte permet aux équipes de se concentrer sur les risques les plus importants. |
| 7. Consigner les résultats de l'évaluation des risques
Consignez les résultats de l'évaluation des risques. |
Avec Prevalent, vous pouvez générer des registres des risques une fois l'enquête terminée, en intégrant des informations en temps réel sur la cybersécurité, les activités commerciales, la réputation et la surveillance financière afin d'automatiser les examens, les rapports et les réponses en matière de risques. À partir du registre des risques, vous pouvez créer des tâches liées aux risques ou à d'autres éléments, vérifier l'état d'avancement des tâches via des règles de messagerie électronique liées à la plateforme et tirer parti des recommandations et des conseils de remédiation intégrés.
La solution automatisel'audit de conformité en matière de gestion des risques liés aux tiersen collectant des informations sur les risques liés aux fournisseurs, en quantifiant ces risques et en générant des rapports pour des dizaines de réglementations gouvernementales et de cadres industriels, notamment NIST, HIPAA et bien d'autres encore. |
Mise en correspondance des capacités courantes avec les exigences de la règle de sécurité HIPAA NIST SP 800-66r2
La norme NIST SP 800-66r2 présente les mesures de sécurité applicables à chaque norme de la règle de sécurité HIPAA. Le tableau ci-dessous identifie les mesures spécifiques aux partenaires commerciaux et répertorie les fonctionnalités Prevalent qui permettent de satisfaire aux exigences.
REMARQUE : ces informations sont fournies à titre indicatif uniquement. Les organisations doivent examiner elles-mêmes l'intégralité des exigences de la norme NIST 800-66r2 et de la règle de sécurité HIPAA, en consultation avec leurs auditeurs.
| Activité clé et description | Comment nous aidons |
|---|---|
| 5.1.9 Contrats avec des partenaires commerciaux et autres accords (§ 164.308(b)(1))
Norme HIPAA :Une entité couverte peut autoriser un partenaire commercial à créer, recevoir, conserver ou transmettre des informations de santé protégées sous forme électronique pour le compte de l'entité couverte uniquement si cette dernière obtient des garanties satisfaisantes, conformément à la section §164.314(a), que le partenaire commercial protégera ces informations de manière appropriée. Une entité couverte n'est pas tenue d'obtenir de telles garanties satisfaisantes de la part d'un partenaire commercial qui est un sous-traitant. |
|
1. Identifier les entités qui sont des partenaires commerciaux au sens de la règle de sécurité HIPAA
|
Prevalent identifie les relations avec les quatrièmes parties grâce à une évaluation d'identification native ou en analysant passivement l'infrastructure publique de la tierce partie. La carte des relations qui en résulte représente les chemins d'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement.
Prevalent propose une évaluation préalable à la signature du contrat, avec une notation claire basée sur huit critères permettant de saisir, suivre et quantifierles risques inhérentsà tous les tiers et partenaires commerciaux lors de leur intégration. Les critères sont les suivants :
À partir de cette évaluation des risques inhérents, votre équipe peut gérer de manière centralisée tous les partenaires commerciaux, classer automatiquement les fournisseurs, définir les niveaux appropriés de diligence supplémentaire et déterminer la portée des évaluations continues. |
2. Mettre en place un processus permettant de mesurer la performance du contrat et de le résilier si les exigences en matière de sécurité ne sont pas respectées.
|
Prevalent helps to centrally measure indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI) tiers to reduce risks from gaps in vendor oversight by automating contract and performance assessments.
Lorsqu'un tiers est jugé non conforme au contrat, la plateforme automatise les évaluations contractuelles etles procédures de résiliation afin deréduire le risque d'exposition post-contractuelle de votre organisation. |
3. Contrat écrit ou autre accord
|
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. It also offers workflow capabilities to automate the contract lifecycle from onboarding to offboarding. Key capabilities include:
Grâce à ces fonctionnalités, vous pouvez vous assurer que les clauses appropriées (telles que les mesures de sécurité relatives aux informations médicales protégées électroniques et la formation) figurent dans le contrat, qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes. |
| 5.4.1 Contrats avec des partenaires commerciaux ou autres accords (§ 164.314(a))
Norme HIPAA :(i) Le contrat ou autre accord entre l'entité couverte et son partenaire commercial requis par §164.308(b)(3) doit satisfaire aux exigences des paragraphes (a)(2)(i), (a)(2)(ii) ou (a)(2)(iii) de la présente section, selon le cas. (ii) Une entité couverte est en conformité avec le paragraphe (a)(1) de la présente section si elle a mis en place un autre accord qui répond aux exigences du §164.504(e)(3). (iii) Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de la présente section s'appliquent au contrat ou à tout autre accord entre un partenaire commercial et un sous-traitant requis par le § 164.308(b)(4) de la même manière que ces exigences s'appliquent aux contrats ou autres accords entre une entité couverte et un partenaire commercial. |
|
| 1. Le contrat doit stipuler que les partenaires commerciaux se conformeront aux exigences applicables de la règle de sécurité.
Les contrats entre les entités couvertes et les partenaires commerciaux doivent stipuler que ces derniers mettront en œuvre des mesures de protection administratives, physiques et techniques qui protègent de manière raisonnable et appropriée la confidentialité, l'intégrité et la disponibilité des ePHI que le partenaire commercial crée, reçoit, conserve ou transmet pour le compte de l'entité couverte. 2. Le contrat doit stipuler que les partenaires commerciaux concluent des contrats avec des sous-traitants afin de garantir la protection des ePHI. Conformément au § 164.308(b)(2), veillez à ce que tous les sous-traitants qui créent, reçoivent, conservent ou transmettent des ePHI pour le compte du partenaire commercial acceptent de se conformer aux exigences applicables de la présente sous-partie en concluant un contrat ou tout autre accord conforme à la présente section. |
Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats fournisseurs. Il offre également des fonctionnalités de workflow permettant d'automatiser le cycle de vie des contrats, de l'intégration à la sortie.
Grâce à ces fonctionnalités, vous pouvez vous assurer que les clauses appropriées (telles que l'application des contrôles de sécurité, l'auditabilité, la réponse aux incidents, les notifications, les accords avec les sous-traitants tiers, etc.) figurent dans le contrat, qu'elles sont applicables et communiquées efficacement à toutes les parties prenantes. |
3. Le contrat doit stipuler que les partenaires commerciaux signaleront les incidents de sécurité.
|
In addition to contract lifecycle management, Prevalent offers a Third-Party Incident Response Service that enables teams to rapidly identify and mitigate the impact of third-party breaches by centrally managing vendors, conducting event assessments, scoring identified risks, and accessing remediation guidance.
Les clients peuvent également accéder à une base de données contenant plus de 10 ans d'historique des violations de données pour des milliers d'entreprises à travers le monde. La base de données comprend les types et les quantités de données volées, les problèmes de conformité et de réglementation, ainsi que les notifications en temps réel des violations de données des fournisseurs. Associée à une surveillance cybernétique continue, elle offre aux organisations une vue d'ensemble des risques externes liés à la sécurité de l'information qui peuvent avoir un impact sur leurs opérations. |
| 4. Autres dispositions
L'entité concernée se conforme au paragraphe (a)(1) de la présente section si elle a mis en place un autre dispositif qui satisfait aux exigences du § 164.504(e)(3). 5. Contrats de partenariat commercial avec des sous-traitants Les exigences des paragraphes (a)(2)(i) et (a)(2)(ii) de la présente section s'appliquent au contrat ou à tout autre accord entre un partenaire commercial et un sous-traitant de la même manière que ces exigences s'appliquent aux contrats ou autres accords entre une entité couverte et un partenaire commercial. |
En plus de veiller à ce que les contrats conclus avec les partenaires commerciaux contiennent des dispositions relatives à l'évaluation des risques liés aux quatrièmes parties, Prevalent identifie les relations avec les quatrièmes parties grâce à une évaluation d'identification native ou en analysant de manière passive l'infrastructure publique du tiers. La carte des relations qui en résulte décrit les chemins d'accès à l'information et les dépendances qui pourraient ouvrir des voies d'accès à un environnement. |
Naviguer dans le paysage de la conformité TPRM