在此博客中我们详细介绍了 2024-2025 DSPT 的更新要求,并提供了避免常见合规错误的最佳实践技巧。
NHS 数据安全和保护工具包 (DSPT) 是一项年度在线自我评估,允许组织根据国家网络安全中心的网络评估框架或国家数据卫士的 10 项数据安全标准衡量其绩效。如果您是处理健康数据或访问 NHS 患者数据和系统的医疗或护理组织,则需要使用数据安全和保护工具包来证明您的合规性。
今年的 DSPT 提交必须在 2025 年 6 月 30 日之前完成。
2024-25 年期间,NHS England 对 DSPT 进行了重大更改。这些更新是工具包持续开发的一部分,支持 英国医疗保健行业向更系 手机号码数据 统的保证模式转变。
2024-2025 DSPT提交要求有哪些 变化 ?
组织 类别
2024-2025 年 DSPT 对组织类别进行了更改,重新引入了之前已停用的类别 2。此类别现在包括 IT 供应商和基本服务 (OES) 独立提供商的运营商。
这些更新有助于明确不同组织的职责,并具有以下重要区别:
第 1 类组织 必须 完成 CAF DSPT
第 1 类和第 2 类组织 必须 完成独立审计
与以前一样,IT 供应商(第 2 类)定义 提供了很好的指标并让用户满意 为向 NHS 和/或护理提供数字商品和服务的任何外部组织,拥有 50 多名员工,营业额达 1000 万英镑。
欲了解更多信息,请参阅 NHS England 关于组织类型的指导
网络评估框架(CAF)
今年提交的重大变化是引入了网络评估框架 (CAF)。这是自 2018 年从信息治理 (IG) 工具包更名为数据安全和保护工具包 (DSPT) 以来内容和方法上的最大转变。
第 1 类大型 NHS 组织,包括 NHS 信托、综合护理委员会 (ICB)、独立机构 (ABL) 和委托支持单位 (CSU),必须根据 CAF 而不是国家数据卫 西班牙比特币数据库 士的 10 项数据安全标准完成 DSPT。所有其他组织将继续根据国家数据卫士的标准完成工具包。
以下是基本细节的概述:
CAF 5 目标格式
CAF DSPT 的格式将评估分为五个 目标,组织 针对每个证据项目提交 “已实现”、 “部分实现”
豁免被撤销的
CAF DSPT 组织将不再获得 维护 Cyber Essentials Plus 或 ISO 27001 框架的任何豁免。
早期基线
CAF DSPT 组织还必须 提交 基线提交。
独立审计
CAF 组织需要完成 2024/2025 DSPT 年度的独立审计。虽然 NHS England 尚未 发布 详细指南,但 现在是采取主动行动的时候了。组织可以 优先考虑数据安全和治理的 关键 领域,以确保为即将到来的审计标准 做好准备 。
IT供应商独立审计
如上所述,在 2024-2025 年期间, IT 供应商 现在 必须在 2025年 6 月 30 日之前接受 强制性 独立审计,这是 DSPT 提交要求的一部分。 尽管 去年IT 供应商 自愿选择此选项, 但现在所有 第 1 类和第 2 类 组织都必须强制执行。
展望
虽然今年 DSPT 的重点是大型 NHS 组织,但包括 IT 供应商在内的其他组织类型应该意识到,NHS England 打算在 2025/2026 DSPT 年及以后更广泛地推广 CAF。
因此,这些组织现在考虑根据 CAF DSPT 提交要求进行差距分析,以做好准备,将大有裨益。这将为实施任何必要的变更提供先机。