HITRUST CSF
개요
Health Information Trust Alliance Common Security Framework(HITRUST CSF)는 GDPR, ISO, NIST, PCI, HIPAA 같은 국내 및 국제 승인 표준과 규정을 활용하여 포괄적인 기준 보안 및 프라이버시 통제 항목을 생성합니다.
HITRUST에서 개발한 HITRUST CSF 보증 프로그램에는 조직과 해당 비즈니스 파트너가 일관된 증분형 접근 방식을 통해 규정 준수를 관리할 수 있도록 하는 공통된 요구 사항, 방법론 및 도구가 통합되어 있습니다. 이를 통해 비즈니스 파트너와 공급업체는 여러 가지 요구 사항을 기준으로 평가 및 보고할 수도 있습니다.
AWS 고객은 AWS 환경을 설계 및 구현할 수 있으며, HITRUST CSF 요구 사항을 지원하는 방식으로 AWS 서비스를 사용할 수 있습니다. 또한 고객은 HITRUST CSF의 검증된 AWS 서비스 평가에 따라 정해진 특정 통제 항목을 활용할 수도 있습니다.
-
HITRUST CSF와 HIPAA 간에는 어떤 관계가 있습니까?
HITRUST CSF는 미국 연방법(HIPAA, HITECH 등), 주법(매사추세츠의 주 거주자의 개인 정보 보호에 대한 표준), 공인된 비정부 규정 준수 표준(PCI DSS)의 다양한 측면을 기반으로 하는 보안 통제 항목을 의료 서비스 요구 사항에 맞게 조정된 단일 프레임워크로 통합하는 역할을 합니다.
1996년도 HIPAA(미국 건강 보험 양도 및 책임에 관한 법)는 미국 연방법입니다. HIPAA의 일부 요구 사항은 HITRUST CSF의 특정 보안 통제 항목의 토대가 되었습니다. AWS 고객은 해당 법률 자문을 통해 HIPAA 또는 관련 법률이 어떻게 적용되는지 파악해야 합니다.
-
AWS는 HITRUST 인증을 획득했습니까?
특정 AWS 서비스는 승인된 HITRUST CSF 평가 기관을 통해 HITRUST CSF 보증 프로그램에 따라 HITRUST CSF v9.6 인증 기준을 충족하는 것으로 평가되었습니다. 서드 파티 감사 기관에 의한 감사를 받고 HITRUST CSF의 인증을 받은 전체 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스에서 확인할 수 있습니다. AWS Artifact를 통해 요청 시 HITRUST CSF 인증을 보고 다운로드할 수 있습니다.
-
고객이 자체적으로 HITRUST CSF 규정을 준수하면서 AWS를 활용하려면 어떻게 해야 합니까?
AWS 고객은 AWS 환경을 설계 및 구현할 수 있으며, AWS 서비스를 사용하여 HITRUST CSF 요구 사항을 손쉽게 충족할 수 있습니다. 고객은 AWS 서비스의 AWS HITRUST CSF 인증을 활용하여 자체 HITRUST CSF 인증을 지원할 수도 있습니다. 자세한 내용은 AWS HITRUST CSF 인증을 참조하십시오. AWS에서는 AWS 규정 준수 리소스 웹 페이지를 통해 추가적인 백서와 모범 사례 안내서도 제공하고 있습니다.
-
HITRUST CSF 인증을 획득하려고 하거나 이미 HITRUST CSF 인증이 있는 경우 AWS 계정에서 사용할 수 있는 서비스는 무엇입니까?
HITRUST CSF 인증을 획득하려는 고객의 경우, AWS 고객은 AWS 환경을 설계 및 구현할 수 있으며, AWS 서비스를 사용하여 HITRUST CSF 요구 사항을 손쉽게 충족할 수 있다는 점에 주목하시기 바랍니다. 고객은 AWS HITRUST CSF 인증을 통해 범위 내 서비스에 대해 자체 HITRUST CSF 인증을 지원할 수도 있습니다. 또한 AWS HITRUST CSF 인증 서비스를 활용하여 HITRUST CSF 검증 프로세스를 지원할 수 있습니다. 예를 들어 고객은 인증에 포함된 서비스인 AWS Key Management Service를 이용하여 HITRUST CSF 환경에서 키를 관리할 수 있습니다. 최신 HITRUST CSF 인증 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지를 참조하십시오. 많은 HITRUST CSF 인증 AWS 서비스는 HIPAA 적격 서비스 참조 웹 페이지에 나와 있는 HIPAA 적격 서비스이기도 합니다. 고객은 애플리케이션에 대한 서비스의 지속 가능성을 자체적으로 평가한 결과에 따라 다른 AWS 서비스를 HITRUST CSF 인증 환경의 일부로 사용할 수도 있습니다. HITRUST CSF 환경에서 사용되는 다른 서비스의 경우 AWS 규정 준수 프로그램 웹 페이지에서 이러한 서비스에 대한 다른 AWS 보안 인가 및 증명을 참조하십시오.
-
HITRUST는 건강 정보 암호화를 요구합니까?
HITRUST 인증을 획득하려는 엔터티는 건강 정보 보호를 위한 조치를 취해야 하며 암호화가 보안 의무를 적절히 충족하는지 판단하는 것은 각 엔터티의 책임입니다. AWS는 건강 정보를 저장 및 전송 시 항상 암호화할 것을 권장합니다.
-
AWS 고객은 AWS HITRUST 인증을 이어받을 수 있습니까?
예, AWS 고객은 고객이 범위 내 서비스만 사용하고 HITRUST Alliance 웹 사이트에서 기술한 통제 항목을 적용하는 경우 AWS HITRUST CSF 인증을 이어받을 수 있습니다. 고객은 AWS Custom HITRUST Shared Responsibility Matrix를 다운로드하여 AWS 고객이 공동 책임 모델의 일부로 이어받을 수 있는 HITRUST 제어를 확인해야 합니다. 고객은 HITRUST 웹 페이지를 참조하여 이어받기 요청을 시작하는 방법에 대한 지침을 확인해야 합니다.