健康信息信任联盟 (HITRUST) 共同安全框架 (CSF)
HITRUST CSF 概述
健康信息信任联盟 (HITRUST) 是由医疗保健行业代表管理的组织。 HITRUST 创建和维护通用安全框架 (CSF) ,这是一个可认证的框架,可帮助医疗保健组织及其提供商以一致且简化的方式展示其安全性和合规性。
CSF 以 HIPAA 和 HITECH 法案为基础,这些法案是美国医疗保健法,这些法律对个人可识别健康信息的使用、披露和保护提出了要求,并强制实施不合规。 HITRUST 提供了一个基准(标准化的合规性框架、评估和认证过程),云服务提供商和涵盖的运行状况实体可以根据该基准来衡量合规性。 CSF 还整合了支付卡行业数据安全标准 (PCI-DSS) 、 ISO/IEC 27001 信息安全管理标准以及 EXCHANGE (MARS-E) 的最低可接受风险标准等现有框架中特定于医疗保健的安全、隐私和其他法规要求。
CSF 分为 19 个不同的域,包括终结点保护、移动设备安全和访问控制。 HITRUST 针对这些控制对 IT 产品/服务进行认证。 HITRUST 还根据组织、系统和法规因素,根据组织的风险调整认证要求。
健康信息信任联盟 (HITRUST) 共同安全框架 (CSF)
HITRUST 提供三个级别的保证或评估级别:自我评估、CSF 验证和 CSF 认证。 每个级别在下面的级别上都越来越严格。 具有最高级别的 CSF 认证的组织满足 CSF 的所有认证要求。 Microsoft Azure 和 Office 365 是第一个获得 HITRUST CSF 认证的超大规模云服务。 HITRUST 评估机构 Coalfire 根据 Azure 和Office 365如何实施安全、隐私和法规要求来保护敏感信息来执行评估。 Microsoft支持 HITRUST 共同责任计划。
了解如何使用 Azure 安全性和符合性蓝图加速 HITRUST 部署。
下载 Microsoft Azure HITRUST 客户责任矩阵 (CRM) 蓝图 v9.0d
Microsoft 范围内的云平台和云服务
- Azure 与 Azure 政府
- Intune
- Microsoft 托管桌面
- Office 365
- Windows 365 (商业)
Azure、Dynamics 365 和 HITRUST
有关 Azure、Dynamics 365和其他联机服务合规性的详细信息,请参阅 Azure HITRUST 产品/服务。
Office 365和 HITRUST
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定 Office 365 服务和订阅的适用性:
适用性 | 范围内服务 |
---|---|
商业 | 活动源服务、必应服务、Delve、Exchange Online Protection、Exchange Online、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business人员卡、SharePoint Online、Skype for Business、Windows Ink |
Office 365 审核、报告及证书
Office 365的 HITRUST CSF 认证有效期为两年。
常见问题解答
为什么某些Office 365服务不在此认证范围内?
与其他云服务提供商相比,Microsoft提供最全面的产品/服务。 为了跟上我们跨区域和行业的广泛合规性产品/服务,我们根据市场需求、客户反馈和产品生命周期将服务纳入保障工作范围。 如果服务未包含在特定合规性产品/服务的当前范围内,则组织有责任根据合规性义务评估风险,并确定处理该服务中的数据的方式。 我们不断收集客户的反馈,并与监管机构和审核员合作,扩大我们的合规性范围,以满足你的安全性和合规性需求。
Microsoft认证是否意味着如果我的组织使用Office 365,则它符合 HITRUST CSF?
将数据存储在 Office 365 等 SaaS 中时,Microsoft与组织共同负责实现合规性。 Microsoft管理大部分基础结构控制措施,包括物理安全、网络控制、应用程序级控制等,组织负责管理访问控制和保护敏感数据。 Office 365 HITRUST 认证演示了Microsoft控制框架的合规性。 基于这一点,组织需要实施和维护自己的数据保护控制,以满足 HITRUST CSF 要求。
Microsoft是否为我的组织提供在使用Office 365时实施适当控制的指导?
是的,可以在合规性管理器、跨Microsoft云解决方案中找到建议的客户操作,以帮助组织在使用云服务时履行复杂的合规性义务。 具体而言,对于 HITRUST CSF,建议使用合规性管理器中的 NIST 800-53 和 NIST CSF 评估来执行风险评估。 在评估中,我们为你提供分步指南和可用于实现数据保护控制Microsoft解决方案。 可以在 Microsoft Purview 合规性管理器中了解有关合规性管理器的详细信息。
使用 Microsoft Purview 合规性管理器评估风险
Microsoft Purview 合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何 在合规性管理器中生成和管理评估。