稽核控制保護指導
MMicrosoft Entra ID 符合實施 1996 年健康保險流通與責任法案 (HIPAA) 保護之身分識別相關實務要求。 若要符合 HIPAA 規範,請使用本指導以及其他所需的設定或流程實作保護。
針對稽核控制:
建立個人資料儲存體的資料控管。
識別並標記敏感性資料。
設定稽核收集並保護記錄資料。
設定資料外洩防護。
啟用資訊保護。
針對保護:
判斷受保護的健康資訊 (PHI) 資料儲存位置。
識別並減輕儲存資料的任何風險。
本文提供相關的 HIPAA 保護措辭,後面附有 Microsoft 建議和指導的資料表,以協助達成 HIPAA 合規性。
稽核控制
下列內容是 HIPAA 的保護指導。 尋找 Microsoft 建議以符合保護實作需求。
HIPAA 保護 - 稽核控制
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| 建議 | 動作 |
|---|---|
| 啟用 Microsoft Purview | Microsoft Purview 藉由提供資料控管來協助管理和監視資料。 使用 Purview 有助於將合規性風險降至最低,並符合法規需求。治控管入口網站中的 Microsoft Purview 提供統一的資料控管服務,可協助您管理內部部署、多雲端和軟體即服務 (SaaS) 資料。 Microsoft Purview 是一種架構,是一套可共同合作的產品,為資料提供敏感性資料生命週期保護的視覺效果,以及資料外洩防護。 |
| 啟用 Microsoft Sentinel | Microsoft Sentinel 提供安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 的解決方案。 Microsoft Sentinel 會收集稽核記錄,並使用內建的 AI 來協助分析大量資料。 SIEM 可讓組織偵測可能未偵測到的事件。 |
| 設定 Azure 監視器 | 使用 Azure 監視器記錄收集和組織記錄,並擴充至雲端和混合式環境。 其提供有關如何保護與 Azure 信任中心結合之資源的關鍵區域的建議。 |
| 啟用記錄和監視 | 記錄和監視對於保護環境至關重要。 資料可支援調查,並藉由識別不尋常的模式來協助偵測潛在威脅。 啟用服務的記錄和監視,以降低未經授權存取的風險。 建議您監視 Microsoft Entra 活動記錄。 |
| 掃描環境以取得電子保護健康資訊 (ePHI) 資料 | Microsoft Purview 可以在稽核模式下啟用,以掃描資料資產中的 ePHI 以及用於儲存該資料的資源。 這項功能可協助根據資料的敏感度建立資料分類和標籤。 |
| 建立防止資料遺失 (DLP) 原則 | DLP 原則可協助建立流程,以確保未經授權的使用者不會遺失、誤用或存取敏感性資料。 它可防止資料外洩和外流。 Microsoft Purview DLP 會檢查電子郵件訊息,瀏覽至 Microsoft Purview 合規性入口網站,以檢閱原則,並為您的組織自訂原則。 |
| 透過 Azure 原則啟用監視 | Azure 原則有助於強制執行組織標準,並且能夠評定整個環境的合規性狀態。 此方法可確保一致性、合規性和監視,透過適用於雲端的 Microsoft Defender 提供安全性建議 |
| 評定裝置管理需求 | Microsoft Intune 可用於提供行動裝置管理 (MDM) 和行動應用程式管理 (MAM)。 Microsoft Intune 提供公司和個人裝置的控制。 功能包括管理裝置的使用方式,以及強制執行原則,可讓您直接控制行動應用程式。 |
| 應用程式保護 | Microsoft Intune 可協助建立資料保護架構,涵蓋 Microsoft 365 Office 應用程式,並將其併入至裝置。 應用程式防護原則可確保組織資料保持安全,並包含在個人 (BYOD) 和公司擁有之裝置上的應用程式中。 |
| 設定內部風險管理 | Microsoft Purview 內部風險管理相互關聯訊號,以識別潛在的惡意或意外內部風險,例如 IP 竊取、資料洩漏和安全性違規。 內部風險管理可讓您建立原則來管理安全性和合規性。 這項功能是以設計隱私權原則為基礎所建置,使用者會預設為假名化,且角色型存取控制和稽核記錄已就緒,以協助確保使用者層級隱私權。 |
| 設定通訊合規性 | Microsoft Purview 通訊合規性提供可協助組織偵測法規合規性的工具,例如符合證券交易委員會 (SEC) 或金融業監管局 (FINRA) 標準。 此工具會監視商務行為違規行為,例如敏感性或機密資訊、騷擾或威脅語言,以及共用成人內容。 這項功能是依設計使用隱私權所建置,使用者會預設為假名化,內建角色型存取控制,調查人員由系統管理員選擇加入,稽核記錄已就緒,以協助確保使用者層級隱私權。 |
保護控制
下列內容提供 HIPAA 的保護控制指導。 尋找符合 HIPAA 合規性的 Microsoft 建議。
HIPAA - 保護
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| 建議 | 動作 |
|---|---|
| 掃描 ePHI 資料的環境 | Microsoft Purview 可以在稽核模式下啟用,以掃描資料資產中的 ePHI 以及用於儲存該資料的資源。 這項資訊有助於建立資料分類和標記資料的敏感度。 此外,使用 [內容總管] 可讓您查看敏感性資料所在的位置。 這項資訊可協助啟動標籤旅程,從在用戶端手動套用標籤或標籤建議至服務端自動標記。 |
| 讓 Priva 保護 Microsoft 365 資料 | Microsoft Priva 會評估儲存在 Microsoft 365 中的 ePHI 資料、掃描及評估敏感性資訊。 |
| 啟用 Azure 安全性基準 | Microsoft 雲端安全性基準可控制 Azure 服務之間的資料保護,並提供儲存 ePHI 之服務的實作基準。 稽核模式提供這些建議和補救步驟來保護環境。 |
| 啟用 Microsoft Defender 弱點管理 | Microsoft Defender 弱點管理是適用於端點的 Microsoft Defender 中的內建模組。 此模組可協助您即時識別和探索弱點和錯誤設定。 此模組也可協助您排定在儀表板中呈現結果的優先順序,以及跨裝置、VM 和資料庫的報告。 |