按照 HIPAA 合规性要求配置 Microsoft Entra ID
Microsoft Entra ID 之类的 Microsoft 服务可帮助你满足 1996 年的《健康保险便利和责任法案》(HIPAA) 的标识相关要求。
HIPAA 安全规则 (HSR) 建立了标准,以保护由覆盖实体创建、接收、使用或维护的个人电子健康信息。 HSR 由美国卫生和公众服务部 (HHS) 管理,需要适当的行政、物理和技术安全措施来确保受保护的电子健康信息的机密性、完整性和安全性。
《联邦法规》(CFR) 第 45 章中定义了技术保障的要求和目标。 第 45 章的第 160 部分列出了一般管理要求,第 164 部分的子部分 A 和 C 介绍了安全和隐私要求。
子部分 § 164.304 将技术保障定义为用于保护电子受保护健康信息和控制对其访问的技术、策略和程序。 HHS 还概述了医疗保健组织在实施 HIPAA 技术保障时需要考虑的关键领域。 来自 § 164.312 技术保障:
访问控制 - 实施维护电子受保护健康信息的电子信息系统的技术策略和程序,以仅允许访问那些已按 § 164.308(a)(4) 被授予访问权限的人员或软件程序。
审核控制 - 实现硬件、软件和/或过程机制,以记录和检查包含或使用受电子保护的健康状况信息的信息系统中的活动。
完整性控制 - 实施策略和程序,以保护电子保护的健康信息免受不当更改或破坏。
人员或实体身份验证 - 实施过程以验证寻求访问电子受保护健康信息的人员或实体是否声明有权限。
传输安全性 - 实施技术安全措施,防止未经授权访问通过电子通信网络传输的受保护电子健康信息。
HSR 将子部分定义为标准,以及必需和可寻址的实现规范。 必须实现所有项。 “可寻址”指定表示规范是合理和适当的。 可寻址并不意味着实现规范是可选的。 因此,还需要定义为可寻址的子部分。
本系列中的其余文章提供了资源的指南和链接,这些资源按关键领域和技术保障分类。 对于每个关键领域,都会有一个列出了相关安全保护措施的表,并提供执行保护措施所需的 Microsoft Entra 指南的链接。
了解详细信息
在 45 CFR 160、162 和 164 中发现的所有 HIPAA 行政简化条例的组合法规文本
《联邦法规》(CFR) 第 45 章描述了此条例的公益部分
描述第 45 章的一般管理要求的第 160 部分
第 164 部分描述了第 45 章的安全和隐私要求的子部分 A 和 C