HITRUST CSF是一个安全和隐私框架，最初建立在ISO 27001/27002之上. 随着时间的推移, CSF已经发展到包含大量的标准, 规定, 以及业务需求, 并分为14个高级控制类别, 49控制目标, 156个控制规范.  HITRUST有3个认证选项，根据保证的强度而变化.

会计师协会 SOC 2信托服务标准是根据5个类别中的一个或多个进行评估的报告框架:安全性, 可用性, 保密, 处理完整性, 和隐私.  SOC 2适用于需要详细信息和保证服务组织与服务组织用于处理用户数据的系统的这些标准相关的控制的广泛用户，以及这些系统处理的信息的保密性和隐私性.

下表提供了与SOC 2和HITRUST相关的特征以及它们之间的一些差异:

了解使用哪个报告的关键与您自己公司的安全目标以及了解客户合同义务有关, 需要和期望，以及贵组织对其审核过程的要求.  以下是一些需要考虑的问题:

1. 我们现有或潜在客户的需求是什么, 利益相关者, 以及任何商业协议中概述的需求的参考?
2. 时间和预算要求有多重要?
3. 我的控制环境需要多大的灵活性?

客户合同, 预算, 时机, 范围需求可以回答需要哪种评估的问题. 组织的决策应该在管理层的全力支持下做出.  SOC 2提供了一个更灵活的控制定义，因为管理层定义了映射到所需标准的控制，并且通常是一个更预算友好的选择，因为费用只支付给注册会计师事务所, 而HITRUST根据HITRUST定义的严格要求向HITRUST和授权外部评估公司收取费用.  HITRUST提供了一个经常更新的认证, 从需求和方法的角度来看，以及适应安全领域的新威胁.

同时需要SOC 2报告和HITRUST CSF认证的组织可以通过联合评估实现显著的时间效率和成本节约, 如何利用HITRUST CSF和会计师协会 TSC之间的协同作用.

SOC 2 + HITRUST CSF报告由注册会计师事务所发布，该报告表达了对管理层控制描述的公平性以及与安全相关的控制设计的适用性和操作有效性的意见, 可用性, 以及保密信托服务标准, 以及HITRUST CSF. 如果注册会计师事务所也不是经批准的HITRUST评估员, 他们必须获得HITRUST CSF框架的使用许可. 会计师事务所正在证明控制, 包括那些从HITRUST框架中识别出来的, 设计是否合理，运作是否有效. 此外，该工作符合会计师协会标准，因为任何SOC报告都需要符合会计师协会标准.

无论哪个选项最适合您的组织, 选择有经验的审计合作伙伴是关键. 成功的主要因素是与您的审计伙伴合作，以确保您的目标是明确的, 时间是确定的, 所有的报告选项都是预先知道的.

你对SOC或HITRUST有什么问题吗? 联系 LBMC了解更多信息并开始咨询!

内容由LBMC网络安全专家Robyn Barton提供.