アセスメント・ポートフォリオを拡大し、結果配信システムを導入

米テキサス州フリスコ--(BUSINESS WIRE)--(ビジネスワイヤ) -- HITRUST®は本日、アセスメント・ポートフォリオの大規模な拡張を発表しました。情報アシュアランスのあらゆるニーズにおけるアシュアランスの質と効率を高めます。HITRUSTはまた、利用者エコシステムでのアセスメント結果の交換と利用を効率化する新しい進化的アプローチを披露いたします。


HITRUST CSF認証は、市場で最も信頼できる情報アシュアランス・レポートであり、透明性と一貫性のある統制の選択、スコアリング、統制の検証を資格のあるサードパーティー評価者とHITRUSTのアシュアランスおよび品質チームが提供することによって実現しています。アシュアランスのプロセスは厳格さが設計に盛り込まれ、高いレベルが保証されたアシュアランスを提供します。その一方、中程度や低レベルのアシュアランスでも十分な状況は多数存在します。組織からは、中程度や低レベルのリスク・シナリオで相応のレベルの信頼性を確保しながら実行の労力や時間が少なくて済む幅広いアセスメント方式が求められています。


高い信頼性で多様なレベルのアシュアランスが求められる市場ニーズに対応するため、HITRUSTは2つの新たなアセスメント・サービスを追加します。HITRUST CSF検証付きアセスメントのように、この新しいサービスは、統制の有効性の理解とサイバー準備態勢およびレジリエンスを支援します。この2つの新たな追加により、HITRUSTのアセスメント・ポートフォリオには次のものが含まれるようになります。



  • 基本最新状態(bC)アセスメント。これは「良好衛生」アセスメントであり、HITRUSTアシュアランス・インテリジェンス・エンジン(AIエンジン)を利用して過誤、脱漏、虚偽を特定することで自己アセスメントやアンケートよりも高い信頼性を提供します。


  • 実装1年(i1)検証付きアセスメント。これは、「ベストプラクティス」アセスメントであり、中程度のリスクが存在する場合や基準となるリスク・アセスメントが必要な場合に適しています。i1は、既存の中程度のアシュアランス・レポートと比べて高いレベルの透明性、健全性、信頼性を提供しつつ、時間、労力、コストは同程度となるように設計されています。HITRUST公認外部評価者がi1アセスメントを検証します。


  • 業界標準であるHITRUST CSF検証付きアセスメント。これは、リスクベースのカスタマイズ可能なアセスメントであり、データ量、規制順守、その他のリスク要因によってリスク・エクスポージャーが高くなっている状況で高レベルのアシュアランスを継続的に提供しています。HITRUST CSF検証付きアセスメントは、リスクベース2年(r2)検証付きアセスメントに名称変更されます。


これまで、ほとんどの低リスクから中リスクのアセスメント方式は、自己宣誓に頼っているか、検証で使用される統制の選択が不適切であったり一貫性に欠けていたり、アシュアランス・プログラムが限定的であるか主観的であったりしてきました。そのため、利用者としては、アシュアランス・プロセスの統制要件や深み、幅、一貫性を理解することが難しく、結果の有用性や信頼性が限られていました。


「多くの組織では、SOC 2レポートのような中レベルのアシュアランス・レポートが利用されていますが、それは時間や労力が少なくて済み、コストも少ないからです。残念ながら、このような中程度のアシュアランス・レポートには、HITRUSTのような包括性の高いアセスメントが持つ一貫性や信頼性がありません。HITRUST i1アセスメントは、高いレベルの信頼性と一貫性を提供しつつ労力とコストがSOC 2レポートとあまり変わらない中レベルのアシュアランス・アセスメントが求められている市場のギャップに対応します。またこれは、UPMCのような組織が決定版と見なす完全なHITRUST CSF認証への組織の移行を助けることができます」と、UPMCの情報セキュリティー・プライバシー担当バイスプレジデントのJohn Houstonは述べています。


信頼性はアシュアランスにとって不可欠ですが、組織が進化するサイバー脅威を受けてサプライチェーンのリスク管理を行うのであれば、結果のアクセス性、利用可能性、消費も同じくらい重要です。利用者がアセスメント結果を取得して消費する現在の方法では、遅延、非効率、誤った解釈が頻繁に起きています。それは、範囲、スコアリング、是正行動計画を決定するために確認されるPDFファイルを交換することが必要であり、主要な情報が多くの場合手作業でサードパーティー・リスク管理(TPRM)システムに入力されているからです。


サプライチェーン全体にわたる効果的な情報リスク管理に対する拡大する需要に応えるため、HITRUST結果配信システム(RDS)は、評価を受けた組織がそのHITRUSTアセスメント結果を安全な集中レポーティングハブを通じて関係者に送信することを可能にし、PDFを交換したり、その後手作業で確認してサードパーティー・システムに入力したりする必要性をなくします。受信者は、範囲、集計、特定の統制のスコアといった最も関心を持つ結果を確認するためにダッシュボードをカスタマイズすることができます。さらに、GRC/VRMプラットフォームとの統合もAPIを通じて可能になります。


Archerの製品担当バイスプレジデントのJeremy Fisherは、このように述べています。「サードパーティー・リスク管理システムが組織によるベンダー・リスク管理を支援できる力をフルに発揮できるためには、アセスメント結果を電子的に共有して利用できるようにする必要があります。HITRUSTの結果配信システムは、それを可能にする大きなステップであり、Archer Engageを通じたベンダー・インタラクションに対する当社の注力を強力に補完するものとなります。」


HITRUSTアセスメント・ポートフォリオの拡張とRDSの追加は、情報リスク管理、コンプライアンス、アシュアランスの革新企業およびリーダー企業としてのHITRUSTの立場をさらに拡大します。HITRUSTは、高度なアシュアランスと高い効率性をアシュアランス・エコシステムに継続的に組み入れていきます。HITRUSTの基準開発およびアシュアランス業務担当エグゼクティブバイスプレジデントのBimal Shethは、このように述べています。「HITRUSTは、中レベル・低レベルの情報アシュアランス製品を導入することで信頼できるアシュアランスの提供における市場でのリーダーシップを発展させています。ほかのどのアセスメント組織や認証組織も、情報アセスメントと電子的結果配信を求める拡大する世界市場のニーズを満たすことはできません。」


業界標準のr2アセスメント(HITRUST CSF検証付きアセスメント)は現在提供中であり、bCアセスメントとi1アセスメントは年内に市場に提供されます。予約申請されたi1とr2のアセスメントには、45日以内にアセスメント・レポートを提供するというサービスレベル保証が付きます。


詳細情報:


ウェビナーへの登録


拡張されたアセスメント・ポートフォリオ


結果配信システム


HITRUST®について


2007年に設立されて以来、HITRUSTは、あらゆる業界でサードパーティー・サプライチェーンの全体を通じて組織の機密情報を保護して情報リスクを管理するプログラムを支えてきました。個人情報保護、情報セキュリティー、リスク管理の官民セクターのリーダーと協力し、HITRUSTは、その広く採用されている一般的リスク・コンプライアンス管理フレームワークへの幅広いアクセスのほか、関係するアセスメントやアシュアランスの方式を開発し、維持し、提供しています。詳細情報については、www.hitrustalliance.netをご覧ください。


本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。


Contacts


Media Contact: Marc Fitzpatrick, e: marc.fitzpatrick@hitrustalliance.net, t: 469.269.1230

情報提供元: ビジネスワイヤ
記事名:「 HITRUST®、セキュリティーおよび個人情報保護アセスメントの交換での信頼性と課題における市場のギャップに対応