Annan skyddsvägledning
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd (Health Insurance Portability and Accountability Act of 1996). För att vara HIPAA-kompatibel är det företagens ansvar att implementera skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs. Den här artikeln innehåller vägledning för att uppnå HIPAA-efterlevnad för följande tre kontroller:
- Integritetsskydd
- Skydd för person- eller entitetsautentisering
- Skydd mot överföringssäkerhet
Vägledning för integritetsskydd
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd. För att vara HIPAA-kompatibel implementerar du skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs.
Datamodifieringsskydd för :
Skydda filer och e-postmeddelanden på alla enheter.
Identifiera och klassificera känsliga data.
Kryptera dokument och e-postmeddelanden som innehåller känsliga eller personliga data.
Följande innehåll innehåller vägledning från HIPAA följt av en tabell med Microsofts rekommendationer och vägledning.
HIPAA – integritet
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Rekommendation | Åtgärd |
|---|---|
| Aktivera Microsoft Purview Information Protection (IP) | Identifiera, klassificera, skydda och styra känsliga data, som omfattar lagring och data som överförs. Skydda dina data via Microsoft Purview IP- hjälper dig att fastställa datalandskapet, granska ramverket och vidta aktiva åtgärder för att identifiera och skydda dina data. |
| Konfigurera Exchange-inbäddat kvarhållande | Exchange Online innehåller flera inställningar för att stödja eDiscovery.
Håll på plats använder specifika parametrar för vilka objekt som ska hållas. Beslutsmatrisen kan baseras på nyckelord, avsändare, kvitton och datum. Microsoft Purview eDiscovery-lösningar är en del av Microsoft Purview-efterlevnadsportalen och omfattar alla Microsoft 365-datakällor. |
| Konfigurera secure/multipurpose Internet Mail-tillägget på Exchange Online |
S/MIME är ett protokoll som används för att skicka digitalt signerade och krypterade meddelanden. Den baseras på asymmetrisk nyckelparning, en offentlig och privat nyckel. Exchange Online- ger kryptering och skydd av innehållet i e-post och signaturer som verifierar avsändarens identitet. |
| Aktivera övervakning och loggning. |
Logg och övervakning är avgörande för att säkerställa säkerheten i en miljö. Informationen används för att stödja undersökningar och hjälpa till att identifiera potentiella hot genom att identifiera ovanliga mönster. Aktivera loggning och övervakning av tjänster för att minska risken för obehörig åtkomst. Microsoft Purview granskning ger insyn i granskade aktiviteter mellan tjänster i Microsoft 365. Det hjälper undersökningar genom att öka kvarhållningen av granskningsloggar. |
Skyddsvägledning för person- eller entitetsautentisering
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd. För att vara HIPAA-kompatibel implementerar du skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs.
För granskning och person- och entitetsskydd:
Kontrollera att slutanvändaranspråket är giltigt för dataåtkomst.
Identifiera och minimera eventuella risker för data som lagras.
Följande innehåll innehåller vägledning från HIPAA följt av en tabell med Microsofts rekommendationer och vägledning.
HIPAA – person- eller entitetsautentisering
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Se till att användare och enheter som har åtkomst till ePHI-data har behörighet. Du måste se till att enheterna är kompatibla och att åtgärder granskas för att flagga risker för dataägarna.
| Rekommendation | Åtgärd |
|---|---|
| Aktivera multifaktorautentisering | Microsoft Entra multifaktorautentisering skyddar identiteter genom att lägga till ett extra säkerhetslager. Det extra lagret är ett effektivt sätt att förhindra obehörig åtkomst. MFA möjliggör kravet på mer validering av inloggningsuppgifter under autentiseringsprocessen. När du ställer in Authenticator-appen får du verifiering med ett klick, eller så kan du konfigurera lösenordsfri Microsoft Entra-konfiguration. |
| Aktivera principer för villkorsstyrd åtkomst | principer för villkorlig åtkomst hjälper till att begränsa åtkomsten till endast godkända program. Microsoft Entra analyserar signaler från antingen användaren, enheten eller platsen för att automatisera beslut och framtvinga organisationsprinciper för åtkomst till resurser och data. |
| Konfigurera enhetsbaserad princip för villkorsstyrd åtkomst | Villkorlig åtkomst med Microsoft Intune för enhetshantering och Microsoft Entra-principer kan använda enhetsstatus för att antingen bevilja eller neka åtkomst till dina tjänster och data. Genom att distribuera enhetsefterlevnadsprinciper avgör den om den uppfyller säkerhetskrav för att fatta beslut om att antingen tillåta åtkomst till resurserna eller neka dem. |
| Använda rollbaserad åtkomstkontroll (RBAC) |
RBAC i Microsoft Entra ID ger säkerhet på företagsnivå, med ansvarsfördelning. Justera och granska behörigheter för att skydda sekretess, sekretess och åtkomsthantering för resurser och känsliga data med systemen. Microsoft Entra ID ger stöd för inbyggda roller, vilket är en fast uppsättning behörigheter som inte kan ändras. Du kan också skapa egna anpassade roller där du kan lägga till en förinställd lista. |
Vägledning för skydd av överföringssäkerhet
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd. För att vara HIPAA-kompatibel implementerar du skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs.
För kryptering:
Skydda datasekretess.
Förhindra datastöld.
Förhindra obehörig åtkomst till PHI.
Se till att krypteringsnivån för data är korrekt.
Så här skyddar du överföringen av PHI-data:
Skydda delning av PHI-data.
Skydda åtkomsten till PHI-data.
Kontrollera att data som överförs är krypterade.
Följande innehåll innehåller en lista över vägledningen för skydd mot granskning och överföringssäkerhet från HIPAA-vägledningen och Microsofts rekommendationer så att du kan uppfylla kraven för säkerhetsimplementering med Microsoft Entra-ID.
HIPAA – kryptering
Implement a mechanism to encrypt and decrypt electronic protected health information.
Kontrollera att ePHI-data krypteras och dekrypteras med den kompatibla krypteringsnyckeln/processen.
| Rekommendation | Åtgärd |
|---|---|
| Granska Microsoft 365-krypteringspunkter |
Kryptering med Microsoft Purview i Microsoft 365 är en mycket säker miljö som erbjuder omfattande skydd i flera lager: det fysiska datacentret, säkerhet, nätverk, åtkomst, program och datasäkerhet.
Granska krypteringslistan och ändra om mer kontroll krävs. |
| Granska databaskryptering |
Transparent datakryptering lägger till ett säkerhetslager för att skydda vilande data från obehörig eller offlineåtkomst. Den krypterar databasen med hjälp av AES-kryptering. Dynamisk datamaskning för känsliga data, vilket begränsar exponering av känsliga data. Den maskerar data för icke-auktoriserade användare. Maskeringen innehåller avsedda fält som du definierar i ett databasschemanamn, tabellnamn och kolumnnamn. Nya databaser krypteras som standard och databaskrypteringsnyckeln skyddas av ett inbyggt servercertifikat. Vi rekommenderar att du granskar databaser för att säkerställa att kryptering har angetts för dataegendomen. |
| Granska Azure Encryption-punkter | Azure-krypteringsfunktionen omfattar viktiga områden från vilande data, krypteringsmodeller och nyckelhantering med Hjälp av Azure Key Vault. Granska de olika krypteringsnivåerna och hur de matchar scenarier i din organisation. |
| Utvärdera datainsamling och kvarhållningsstyrning |
Microsoft Purview Data Lifecycle Management gör att du kan tillämpa kvarhållningsprinciper.
Microsoft Purview Records Management gör att du kan använda kvarhållningsetiketter. Den här strategin hjälper dig att få insyn i tillgångar i hela dataegendomen. Den här strategin hjälper dig också att skydda och hantera känsliga data i moln, appar och slutpunkter. Viktigt: Enligt 45 CFR 164.316: Tidsgräns (krävs). Behåll den dokumentation som krävs enligt stycke (b)(1) i det här avsnittet i sex år från det datum då det skapades, eller det datum då det senast trädde i kraft, beroende på vilket som infaller senare. |
HIPAA – skydda överföring av PHI-data
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Upprätta principer och procedurer för att skydda datautbyte som innehåller PHI-data.
| Rekommendation | Åtgärd |
|---|---|
| Utvärdera tillståndet för lokala program |
Microsoft Entra-applikationsproxy-implementering publicerar lokala webbprogram externt och på ett säkert sätt. Microsoft Entra-applikationsproxy tillåter dig att på ett säkert sätt publicera en extern URL-slutpunkt i Azure. |
| Aktivera multifaktorautentisering | Microsoft Entra multifaktorautentisering skyddar identiteter genom att lägga till ett säkerhetslager. Att lägga till fler säkerhetslager är ett effektivt sätt att förhindra obehörig åtkomst. MFA möjliggör kravet på mer validering av inloggningsuppgifter under autentiseringsprocessen. Du kan konfigurera appen Authenticator för att tillhandahålla verifiering med ett klick eller lösenordsfri autentisering. |
| Aktivera principer för villkorlig åtkomst för programåtkomst | principer för villkorlig åtkomst hjälper till att begränsa åtkomsten till godkända program. Microsoft Entra analyserar signaler från antingen användaren, enheten eller platsen för att automatisera beslut och framtvinga organisationsprinciper för åtkomst till resurser och data. |
| Granska EOP-principer (Exchange Online Protection) |
Skydd mot skräppost och skadlig kod i Exchange Online innehåller inbyggd skadlig kod och skräppostfiltrering. EOP skyddar inkommande och utgående meddelanden och är aktiverat som standard. EOP-tjänster tillhandahåller också förfalskningsskydd, kvarteringsmeddelanden och möjlighet att rapportera meddelanden i Outlook.
Principerna kan anpassas för att passa företagsomfattande inställningar har dessa företräde framför standardprinciperna. |
| Konfigurera känslighetsetiketter |
Känslighetsetiketter från Microsoft Purview gör det möjligt för dig att klassificera och skydda dina organisationsdata. Etiketterna tillhandahåller skyddsinställningar i dokumentationen till containrar. Verktyget skyddar till exempel dokument som lagras på Microsoft Teams- och SharePoint-webbplatser för att ange och tillämpa sekretessinställningar. Utöka etiketter till filer och datatillgångar som SQL, Azure SQL, Azure Synapse, Azure Cosmos DB och AWS RDS.
Utöver de 200 inbyggda typerna av känslig information finns det avancerade klassificerare som namnentiteter, träningsbara klassificerare och EDM för att skydda anpassade känsliga typer. |
| Utvärdera om en privat anslutning krävs för att ansluta till tjänster |
Azure ExpressRoute skapar privata anslutningar mellan molnbaserade Azure-datacenter och infrastruktur som finns lokalt. Data överförs inte via det offentliga Internet.
Tjänsten använder layer 3-anslutning, ansluter gränsroutern och ger dynamisk skalbarhet. |
| Utvärdera VPN-krav |
Dokumentation om VPN Gateway ansluter ett lokalt nätverk till Azure via plats-till-plats, punkt-till-plats, VNet-till-VNet och multisite VPN-anslutning. Tjänsten stöder hybridarbetsmiljöer genom att erbjuda säker dataöverföring. |