这是自2019年以来的首次, HITRUST协作是面对面举行的,出席人数几乎创下了记录, 这次会议没有让人失望. 多个会议同时进行,HITRUST价值链中所有行业和角色的思想领袖都参加了会议, 这里有适合每个人的东西. 以下是LBMC从HITRUST协作2023中获得的主要收获.
共同的挑战
本周以为期一天的论坛开始,由 Health3PT,讨论被评估实体面临的重大挑战:供应商风险管理. 无论是创业公司还是财富10强公司, 公司在对供应商进行分类和风险评估方面面临着前所未有的困难, 而供应商在帮助客户或赚到一分钱之前,要面对数英里的繁文缛节. 本周剩余时间继续关注第三方风险管理(TRPM)。.
克里斯Hetner, 网络安全和隐私主席, 纳斯达克卓越董事会中心, 他说得最好:“企业往往过于关注铆钉……而对大局关注不够.结果是, 在收集和评估有疑问的相关文件方面进行了重大改进. 演讲者和与会者都一致认为有必要重新评估供应商审查流程,以简化文档收集,并只分析真正相关的内容.
LBMC的 范钢 他的演讲延续了这个主题, 与供应商交谈的不可思议的价值,,他提供了一些真实的例子,他遇到过一些过度审计的供应商, 坦率的谈话就足够了. 该集体明确表示,这是一个只有各行业各方合作才能解决的问题.
美国证券交易委员会网络安全披露规则
新的证券交易委员会披露规则 是多次会议的主题吗. 这些规则涉及对网络安全事件的处理和上市公司的报告要求. 具体地说, 如果一个组织发生了网络安全事件, SEC的执法要求在事件发生前后进行额外披露, 包括会议记录, 理解董事会报告和讨论的指标, 以及如何积极管理网络安全风险.
这一要求影响的不仅仅是上市公司, 因为可能会有更多关于私人股本集团及其投资组合监控的新闻. 这个要求可能会在今年秋天发布.
关于AI
后面, 人们非常关注人工智能(AI)。, 它的用例, 以及管理和控制技术的需要. HITRUST对美国国家标准与技术研究院(NIST)最近发布的首个人工智能网络安全框架做出了快速反应,并推出了HITRUST人工智能保障计划.
预计AI框架将被添加到即将发布的网络安全框架(CSF)版本中。. 随着人工智能迅速成为医疗保健行业不可或缺的一部分, 与这项技术相关的风险是许多人最关心的问题. 很有可能, 随着人工智能渗透到产品中,解决这些风险的需求将会增长, 控制, 以及治理功能, 甚至HITRUST本身.
需要理解和管理人工智能缺乏可预测性以及它如何制定产出是讨论的关键主题之一. 随着人工智能能力的不断发展, 公司管理层必须确定使用这种强大的技术来解决的最关键的业务问题. 点击了解 LBMC如何帮助您通过人工智能获得竞争优势.
11.2即将到来!
人工智能技术的使用允许HITRUST快速将更新和新的权威来源合并到框架中. 下一个是11.预计10月10日. 听到这个消息我们很激动.2包括更多的合并(消除重复)和包含几个新的来源, 尤其是那些与人工智能有关的, NIST AI风险管理框架(RMF) v1.0和ISO/IEC 23894.
在未来的某个时候, 除了HITRUST CSF认证之外, 组织也将能够获得HITRUST AI认证. HITRUST路线图是灵活的,以满足不断发展的安全和隐私需求, 听到v11的制作过程真是太棒了.3和v12.
状态RAMP
对于需要维护HITRUST和国家风险和授权管理计划(状态RAMP)认证的组织, 令人鼓舞的是,HITRUST和状态RAMP正在合作,允许组织通过状态RAMP的快速通道流程获得HITRUST认证资格. 该过程的目标是利用HITRUST评估过程,减少甚至可能消除对已经获得HITRUST认证的状态RAMP组织进行重新评估的需要.
应该注意的是,预期的HITRUST作用域是版本11.x r2,选择FedRAMP中等范围因子. 这两个组织将在不久的将来共同推出一个试点项目.