审核控制安全措施指南
Microsoft Entra ID 满足实施 1996 年的《健康保险便利和责任法案》(HIPAA) 安全措施的标识相关实践要求。 若要符合 HIPAA 标准,请使用本指南和其他所需的配置或流程实施安全措施。
对于审核控制:
为个人数据存储建立数据治理。
识别和标记敏感数据。
配置审核收集并保护日志数据。
配置数据丢失防护。
启动信息保护。
对于安全措施:
确定受保护的健康信息 (PHI) 数据的存储位置。
识别并缓解所存储数据的任何风险。
本文提供 HIPAA 安全措施的相关措辞(后跟一个表,其中包含 Microsoft 建议和指南),以帮助实现 HIPAA 合规性。
审核控制
以下内容是 HIPAA 中的安全措施指南。 查找 Microsoft 建议以满足安全措施实施要求。
HIPAA 安全措施 - 审核控制
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| 建议 | 操作 |
|---|---|
| 启用 Microsoft Purview | Microsoft Purview 通过提供数据治理来帮助管理和监视数据。 使用 Purview 有助于最大程度地降低合规性风险并满足法规要求。 治理门户中的 Microsoft Purview 提供统一的数据治理服务,可帮助你管理本地、多云和软件即服务 (SaaS) 数据。 Microsoft Purview 是一个框架,即一套可以协同工作的产品,为数据提供可视化的敏感数据生命周期保护,以及数据丢失防护。 |
| 启用 Microsoft Sentinel | Microsoft Sentinel 提供安全信息和事件管理 (SIEM) 以及安全业务流程、自动化和响应 (SOAR) 解决方案。 Microsoft Sentinel 收集审核日志,并使用内置的 AI 来帮助分析大量数据。 SIEM 使组织能够检测可能未检测到的事件。 |
| 配置 Azure Monitor | 使用 Azure Monitor 日志收集和组织日志,扩展到云和混合环境。 它就如何结合 Azure 信任中心保护资源的关键方面提供了建议。 |
| 启用日志记录和监视 | 日志记录和监视对于保护环境安全至关重要。 数据支持调查,并通过识别异常模式来帮助检测潜在威胁。 启用服务日志记录和监视,以降低未经授权访问的风险。 建议监视 Microsoft Entra 活动日志。 |
| 扫描环境中的受保护的电子健康信息 (ePHI) 数据 | 可以在审核模式下启用 Microsoft Purview,以扫描数据资产中的 ePHI 以及用于存储该数据的资源。 此功能有助于根据数据的敏感性建立数据分类和标记。 |
| 创建数据丢失防护 (DLP) 策略 | DLP 策略有助于建立流程,以确保敏感数据不会被未经授权的用户丢失、滥用或访问。 它可以防止数据泄露和外泄。 Microsoft Purview DLP 可以检查电子邮件、导航到 Microsoft Purview 合规门户查看策略,并为组织自定义策略。 |
| 通过 Azure Policy 启用监视 | Azure Policy 有助于强制实施组织标准,并且能够评估整个环境中的合规性状态。 通过 Microsoft Defender for Cloud 提供安全建议,此方法可确保一致性、监管合规性和监视 |
| 评估设备管理要求 | Microsoft Intune 可用于提供移动设备管理 (MDM) 和移动应用程序管理 (MAM)。 Microsoft Intune 可对公司和个人设备进行控制。 功能包括管理设备的使用方式,以及强制实施可让你直接控制移动应用程序的策略。 |
| 应用程序保护 | Microsoft Intune 可以帮助建立涵盖 Microsoft 365 Office 应用程序的数据保护框架,并跨设备合并它们。 应用保护策略可确保组织数据在个人 (BYOD) 到公司拥有的设备的应用中保持安全。 |
| 配置内部风险管理 | Microsoft Purview 内部风险管理可关联信号,以识别潜在的恶意或无意内部风险,例如 IP 盗窃、数据泄露和安全违规。 内部风险管理使你能够创建策略来管理安全性和合规性。 此功能基于设计隐私原则构建,默认情况下将对用户化名,并采用基于角色的访问控制和审计日志来帮助确保用户级别的隐私。 |
| 配置通信合规性 | Microsoft Purview 通信合规性提供的工具可帮助组织检测监管合规性,例如证券交易委员会 (SEC) 或金融业监管局 (FINRA) 标准的合规性。 该工具可监视违反商业行为的行为,例如敏感或机密信息、骚扰或威胁性语言以及共享成人内容。 此功能基于隐私设计构建,默认情况下将对用户名化名,内置基于角色的访问控制,调查人员由管理员选择加入,并且实施审计日志以帮助确保用户级别的隐私。 |
安全措施控制
以下内容提供了 HIPAA 中的安全措施控制指南。 查找 Microsoft 建议以满足 HIPAA 合规性。
HIPAA - 安全措施
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| 建议 | 操作 |
|---|---|
| 扫描 ePHI 数据的环境 | 可以在审核模式下启用 Microsoft Purview,以扫描数据资产中的 ePHI 以及用于存储该数据的资源。 此信息有助于建立数据分类和标记数据的敏感度。 此外,使用内容资源管理器可查看敏感数据所在的位置。 此信息有助于开始标记旅程,涵盖从在客户端手动应用标记或标记建议,到服务端自动标记的整个过程。 |
| 启用 Priva 以保护 Microsoft 365 数据 | Microsoft Priva 可评估存储在 Microsoft 365 中的 ePHI 数据、扫描和评估敏感信息。 |
| 启用 Azure 安全基准 | Microsoft 云安全基准可控制跨 Azure 服务的数据保护,并为存储 ePHI 的服务提供实施基准。 审核模式提供这些建议和修正步骤来保护环境安全。 |
| 启用 Defender 漏洞管理 | Microsoft Defender 漏洞管理是 Microsoft Defender for Endpoint 中的一个内置模块。 该模块可帮助你实时识别和发现漏洞和错误配置。 该模块还有助于确定在仪表板中呈现结果的优先级,并跨设备、VM 和数据库进行报告。 |