Partager via


Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

Vue d’ensemble de HITRUST CSF

La Health Information Trust Alliance (HITRUST) est un organization régi par des représentants du secteur de la santé. HITRUST a créé et gère le Common Security Framework (CSF), un framework certifiable pour aider les organismes de santé et leurs fournisseurs à démontrer leur sécurité et leur conformité de manière cohérente et rationalisée.

Le CSF s’appuie sur hipaa et la loi HITECH, qui sont des lois américaines sur la santé qui ont établi des exigences pour l’utilisation, la divulgation et la protection des informations médicales identifiables individuellement, et qui imposent la non-conformité. HITRUST fournit un point de référence ( un framework de conformité, une évaluation et un processus de certification standardisés) par rapport auquel les fournisseurs de services cloud et les entités d’intégrité couvertes peuvent mesurer la conformité. Le CSF intègre également des exigences de sécurité, de confidentialité et d’autres exigences réglementaires propres aux soins de santé, telles que la norme PCI-DSS (Payment Card Industry Data Security Standard), les normes de gestion de la sécurité des informations ISO/IEC 27001 et les normes minimales de risque acceptable pour les échanges (MARS-E).

Le CSF est divisé en 19 domaines différents, notamment la protection des points de terminaison, la sécurité des appareils mobiles et le contrôle d’accès. HITRUST certifie les offres informatiques par rapport à ces contrôles. HITRUST adapte également les exigences de certification aux risques d’un organization en fonction de facteurs organisationnels, système et réglementaires.

Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST offre trois degrés d’assurance, ou niveaux d’évaluation : auto-évaluation, validé par le CSF et certifié CSF. Chaque niveau est généré avec une rigueur croissante sur celui en dessous. Un organization avec le niveau le plus élevé, certifié CSF, répond à toutes les exigences de certification du CSF. Microsoft Azure et Office 365 sont les premiers services cloud hyperscale à recevoir la certification HITRUST CSF. Coalfire, une société d’évaluateur HITRUST, a effectué les évaluations en fonction de la façon dont Azure et Office 365 implémentent des exigences de sécurité, de confidentialité et de réglementation pour protéger les informations sensibles. Microsoft prend en charge le programme de responsabilité partagée HITRUST.

Découvrez comment accélérer votre déploiement HITRUST avec notre blueprint sécurité et conformité Azure.

Télécharger le blueprint Crm (Customer Responsibility Matrix) Microsoft Azure HITRUST v9.0d

Plateformes et services du cloud computing de Microsoft dans le champ d’application

Azure, Dynamics 365 et HITRUST

Pour plus d’informations sur Azure, Dynamics 365 et d’autres services en ligne conformité, consultez l’offre Azure HITRUST.

Office 365 et HITRUST

Office 365 environnements

Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.

Cette section couvre les environnements Office 365 suivants :

  • Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
  • Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
  • Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
  • Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
  • Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.

Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .

Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.

L’applicabilité d’Office 365 et des services dans l’étendue

Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :

l’applicabilité Les Services dans l’étendue
Commerciale Service de flux d’activité, Services Bing, Delve, Exchange Online Protection, Exchange Online, Microsoft Teams, portail client Office 365, Office Online, Infrastructure du service Office, rapports d’utilisation d’Office, OneDrive Entreprise, Personnes Carte, SharePoint Online, Skype Entreprise, Windows Ink

Audits, rapports et certificats Office 365

La certification HITRUST CSF de Office 365 est valable pendant deux ans.

Foire aux questions

Pourquoi certains services Office 365 ne sont-ils pas inclus dans le cadre de cette certification ?

Microsoft fournit les offres les plus complètes par rapport à d’autres fournisseurs de services cloud. Pour suivre nos offres de conformité étendues dans les régions et les secteurs d’activité, nous incluons des services dans le cadre de nos efforts d’assurance en fonction de la demande du marché, des commentaires des clients et du cycle de vie des produits. Si un service n’est pas inclus dans l’étendue actuelle d’une offre de conformité spécifique, votre organization a la responsabilité d’évaluer les risques en fonction de vos obligations de conformité et de déterminer la façon dont vous traitez les données dans ce service. Nous recueillons en permanence les commentaires de nos clients et travaillons avec les régulateurs et les auditeurs pour étendre notre couverture de conformité afin de répondre à vos besoins en matière de sécurité et de conformité.

La certification Microsoft signifie-t-elle que si mon organization utilise Office 365, il est conforme à HITRUST CSF ?

Lorsque vous stockez vos données dans un SaaS comme Office 365, il est de la responsabilité partagée entre Microsoft et votre organization d’assurer la conformité. Microsoft gère la majorité des contrôles d’infrastructure, notamment la sécurité physique, les contrôles réseau, les contrôles au niveau de l’application, etc., et votre organization a la responsabilité de gérer les contrôles d’accès et de protéger vos données sensibles. La certification HITRUST Office 365 démontre la conformité de l’infrastructure de contrôle de Microsoft. Sur cette base, votre organization doit implémenter et gérer vos propres contrôles de protection des données pour répondre aux exigences de HITRUST CSF.

Microsoft fournit-il des conseils à mes organization pour implémenter les contrôles appropriés lors de l’utilisation de Office 365 ?

Oui, vous pouvez trouver les actions client recommandées dans le Gestionnaire de conformité, solutions cloud inter-Microsoft qui aident vos organization à respecter des obligations de conformité complexes lors de l’utilisation de services cloud. Plus précisément, pour HITRUST CSF, nous vous recommandons d’effectuer des évaluations des risques à l’aide des évaluations NIST 800-53 et NIST CSF dans le Gestionnaire de conformité. Dans les évaluations, nous vous fournissons des conseils pas à pas et les solutions Microsoft que vous pouvez utiliser pour implémenter vos contrôles de protection des données. Vous pouvez en savoir plus sur le Gestionnaire de conformité dans le Gestionnaire de conformité Microsoft Purview.

Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques

Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité de la portail de conformité Microsoft Purview qui vous aide à comprendre la posture de conformité de votre organization et à prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment générer et gérer des évaluations dans le Gestionnaire de conformité.

Ressources