安全

执行概要

Virta的ISMP是通过实施适用的政策、流程、程序、控制、标准、指南、组织结构和支持技术来实现的。

ISMP规定了Virta Health用户数据，特别是敏感或关键数据的机密性、完整性、可用性和隐私，并规定了部门和个人对此类数据的责任。

信息安全政策由Virta领导团队审查和批准，相关标准包括保护Virta健康信息资产所需的一整套信息安全控制，基于ISO/IEC 27001:2013和NIST 800-53和第三方审计的HITRUST。

Virta Health符合HIPAA标准，并在2022年初使其网站符合WCAG*。

ISMP范围

Virta的政策和标准适用于所有Virta Health Systems人员，无论业务部门，以及与供应商或第三方有关联的人员，包括访问、管理、更新、存储、处理或以其他方式处理Virta Health信息资源的非Virta Health人员。除非另有说明，相关的标准操作程序适用于所有人员和系统。

Virta控制环境(技术、人员、流程)

Virta Health的基础设施和软件平台托管在谷歌云平台(GCP)中，该云平台符合HIPAA标准，冗余SOC 2审核，ISO/IEC 27001:2013和ISO 9001认证的数据中心，具有多层物理和技术安全。

在GCP区域内可以将实时故障转移到同一GCP区域内的单独数据设施。所有数据都镜像到另一个区域，允许从主区域内的任何停机时间进行快速故障转移恢复。数据还会在夜间进行备份。

Virta Health已实施正式的信息安全政策，以保护PHI。这些政策的责任由信息安全官/ISO和首席隐私官/CPO负责。安全政策至少每年审查一次，并根据不断变化的环境和实践的需要更频繁地进行审查。

Virta Health安全实践的主要组成部分包括安全意识培训和安全实践审计、物理安全策略，以及对服务器、工作站和应用程序上的漏洞进行测试和监控。Virta Health遵守隐私和安全规则，并维护适合其范围和暴露的安全计划。

所有员工在加入Virta Health之前必须成功通过背景和背景调查，并签署保密协议。新员工培训包括政策的沟通，以及在获得任何资产/工具之前的安全培训。

新员工必须确认已收到Virta Health保单，并每年重新确认保单。此外，Virta Health的每名员工都必须参加持续培训，无论其在组织内担任何种角色。

Virta Health有正式的事件响应政策，其中包括报告、跟踪和补救可能的安全事件的程序。信息安全团队负责分配人员执行特定任务，并协调整体事件响应流程。所有Virta Health人员都有责任向其部门经理或信息安全团队成员报告任何可能的安全事件。

Virta Health有文件化的变更管理政策和软件开发生命周期(SDLC)政策，要求对所有变更进行记录、测试和批准。Virta Health在开发的每个阶段都进行自动化代码测试、同行代码评审和管理代码评审。在部署到生产环境之前，候选版本必须通过用户验收测试。Virta Health有适当的工具和程序来监控其系统的安全性和保密性。

Virta运行状况实现对应用程序运行时异常的持续实时监视。Virta Health与一家专门从事移动和web应用程序安全的安全公司签约，至少每年执行一次人工渗透测试。公司还订阅了GCP和Github安全通知列表，以确保任何已知的漏洞或倒退都得到修补。生产系统具有内置的弹性，数据每天都有备份。

Virta Health有适当的程序来提供对包含敏感和受限数据(PHI)的系统的访问，并在不再需要时终止该访问。Virta Health采用最小特权原则，仅授予员工履行职责所需的数据和系统的访问权。对系统的访问是基于角色的，任何例外都必须得到Security团队的批准。当员工被解雇时，IT Operations立即撤销该员工对系统的访问权。

Virta Health在其数据库中存储个人健康信息(PHI)。PHI包含在敏感和受限数据的定义中。所有数据在传输和静止时都必须加密。

PHI不允许存储在笔记本电脑或其他便携式设备上。所有公司发行的笔记本电脑都配置了完全加密的驱动器、配置管理、MDM和监控工具。

漏洞管理程序包括每季度自动漏洞测试扫描，每年“灰盒”和“白盒”手动渗透测试。

Virta Health有隐私政策和使用条款，至少每年审查一次，并根据需要更新。每个都可以在Virta健康网站上找到。Virta Health维护保密协议，酌情与可能访问敏感数据的供应商。

Virta Health的物理办公室位置始终保持锁定，并由安全摄像头监控。访客必须在主办公室入口登记，并必须一直由一名员工陪同。

Virta Health的员工经过培训，保持警惕，并报告任何他们不认识的无人陪伴的人。Virta不允许或不允许位于物理办公室的任何服务器拥有PHI数据。

Virta卫生业务连续性计划概述了在发生严重系统故障或发生自然或环境灾害时继续业务运营应遵循的程序。

业务持续计划的桌面测试每年完成一次。计划的技术组件，例如从自动化和测试的脚本重新构建生产环境，以及可用性区域之间的实时故障转移，作为正常业务操作的一部分定期进行测试。由于没有应用程序或数据库服务器位于Virta Health办公室中，因此影响办公室位置的自然或环境灾难不会影响Virta Health应用程序的功能或可用性。

Virta Health的政策是对PHI及其存储、传输或处理的其他机密和专有信息的安全性、机密性、完整性、可用性和隐私的潜在威胁和漏洞进行风险评估。每年进行一次全组织范围的风险评估，并根据业务惯例的变化和技术进步，根据需要对潜在风险和保障措施的有效性进行额外评估。风险评估流程包括来自整个Virta Health组织的人员，包括执行人员、工程人员、产品人员、财务人员、业务开发人员、客户成功人员、运营人员和IT运营人员等。作为风险评估的一部分，任务关键系统和数据被识别，并根据其关键程度进行评级。与关键任务系统相关的威胁和漏洞将根据其可能性和潜在影响进行识别和评级。建议采用额外的控制措施，优先处理那些最有可能影响关键系统的威胁和漏洞。建立额外控制的所有者，并设置实施建议控制的时间表。

此外，Virta Health监控影响其运营的法规，包括使Virta Health政策在法规更改时保持合规。

作为跨职能信息安全委员会季度会议和规划过程的一部分，管理、产品、工程和IT运营以及法务部门的代表将考虑技术的发展以及适用法律或法规对Virta Health安全和相关保密政策的影响。角色和职责被记录并分配给负责设计、开发、实现、操作、维护和监控系统控制的团队。

存在用于识别和升级可用性问题、安全漏洞和其他事件的文件化程序。