更新后的HITRUST共同安全框架（Common Security Framework，CSF）让企业可以在一个框架中管理隐私、安全和合规性。它是如何运作的？更新包括哪些内容？

健康信息信任联盟（HITRUST）近日更新了其共同安全框架，以涵盖隐私控制。这意味着企业可以通过单个框架来管理隐私、安全和合规性。你能否介绍一下CSF更新内容以及使用单个框架的优点和缺点？

Mike Chapple：首先，我们有必要了解一下健康信息信任联盟（HITRUST）。HITRUST是由医疗机构建立的非营利性组织，目的是合作解决安全和隐私问题。它不是一个监管机构，但它可帮助其成员组织遵守很多医疗相关的法律法规。

HITURST共同安全框架（CSF）旨在帮助企业设计一套通用的安全控制，以满足不同的监管要求和国际标准，包括HIPAA、PCI DSS、COBIT、NIST和ISO等。该框架的前六个版本提供了一套通用控制来满足安全要求，这缓解了合规专业人士应付各种重叠要求的负担。

在2015年1月发布的第七个版本的CSF向该框架新增了隐私控制，这些控制包括三个目标：

• 开放性和透明度
• 个人选择和参与
• 修正

大多数医疗机构必须符合安全性和隐私性法规，而这两个方面的控制往往会重叠，结合这些控制到单个框架中让企业可以花更少的时间来阅读法规，从而专注于提供安全性和隐私保护。