HITRUST CSF
概觀
健康資訊信任聯盟公共安全架構 (HITRUST CSF) 使用國內和國際接受的標準和規範 (如 GDPR、ISO、NIST、PCI 和 HIPAA) 建立一個全方位的基準安全性和隱私權控制。
HITRUST 開發了 HITRUST CSF 保證計劃,該計劃結合通用的規定、方法和工具,讓組織及其企業合作夥伴能採用一致且遞增的方式來管理合規性。此外,該計劃還讓企業合作夥伴和廠商能針對多組規定進行評估並報告結果。
AWS 客戶可用支援 HITRUST CSF 規定的方式來設計和實作 AWS 環境,以及使用 AWS 服務。客戶還可利用通過 HITRUST CSF 驗證的 AWS 服務評估建立的特定控制。
-
HITRUST CSF 與 HIPAA 之間的關係為何?
HITRUST CSF 根據美國聯邦法 (如 HIPAA 和 HITECH)、州法 (如麻薩諸塞州的聯邦居民個人資訊保護標準) 和公認的非政府合規標準 (如 PCI DSS),將各種安全控制整合成符合醫療保健需求的單一框架。
1996 年美國健康保險流通與責任法案 (HIPAA) 是美國聯邦法。HIPAA 中的部分規定為 HITRUST CSF 的特定安全控制提供了基礎。AWS 客戶應諮詢他們的法律顧問,以了解如何遵守他們適用的 HIPAA 或相關法規。
-
AWS 是否通過 HITRUST 認證?
經過認可的 HITRUST CSF 評估機構已在 HITRUST CSF 保證計劃將部分 AWS 服務評估為符合 HITRUST CSF v9.3 認證條件。由第三方稽核人員稽核和 HITRUST CSF 認證的 AWS 服務完整清單可在 AWS Services in Scope by Compliance Program (合規計劃的 AWS 服務範圍) 頁面上找到。您可以隨需透過 AWS Artifact 瀏覽和下載 HITRUST CSF 認證。
-
客戶如何可將 AWS 運用在自己的 HITRUST CSF 合規?
AWS 客戶可以設計和實作 AWS 環境,還有使用 AWS 服務,以協助他們符合 HITRUST CSF 的各項規定。客戶可考慮利用 AWS 服務的 AWS HITRUST CSF 認證來支援自己的 HITRUST CSF 認證。請參閱 AWS HITRUST CSF 認證。AWS 還在 AWS 合規資源網頁提供其他白皮書和最佳實務指南。
-
如果我正尋求 HITRUST CSF 認證或已經擁有 HITRUST CSF 認證,我可以在 AWS 帳戶中使用哪些服務?
對於正尋求 HITRUST CSF 認證的客戶,AWS 客戶可以設計和實作 AWS 環境,還有使用 AWS 服務,以協助他們符合 HITRUST CSF 的各項規定。對於範圍內的服務,客戶可考慮使用 AWS HITRUST CSF 認證來支援自己的 HITRUST CSF 認證。客戶可利用 AWS HITRUST CSF 認證服務來支援 HITRUST CSF 驗證程序 (例如,客戶可使用 AWS Key Management Service 這項範圍內的服務在 HITRUST CSF 環境中管理金鑰)。如需通過 HITRUST CSF 認證的最新 AWS 服務清單,請參閱合規計劃的 AWS 服務範圍網頁。經過 HITRUST CSF 認證的許多 AWS 服務也是 HIPAA 合格服務,可在 HIPAA 合格服務參考網頁找到。根據客戶自行對應用程式的服務適用性評估,客戶也可以使用任何其他 AWS 服務作為其 HITRUST CSF 認證環境的一部分。對於在您 HITRUST CSF 環境使用的其他服務,請參閱 AWS 合規計劃網頁,了解網頁上各種服務的其他 AWS 安全資格鑑定和證明。
-
HITRUST 是否會要求加密健康資訊?
正尋求 HITRUST 認證的實體必須採取各項措施來保護健康資訊,每個實體都有責任確定為了履行其安全義務,加密是否合適。AWS 建議健康資訊在靜止和傳輸過程中一律予以加密。
-
AWS 客戶是否可以繼承 AWS HITRUST 認證?
是,如果客戶僅使用了範圍內服務並套用了 HITRUST Alliance (健康資訊信任聯盟) 網站上詳細列明的控制內容,則可以繼承 AWS HITRUST CSF 認證。客戶應下載 AWS Custom HITRUST 共享責任矩陣,以確定 AWS 客戶可以作為共享責任模型的一部分繼承的 HITRUST 控件。客戶應參考 HITRUST 網頁,獲取有關如何啟動繼承請求的指導。
