Mengonfigurasi ID Microsoft Entra untuk kepatuhan HIPAA
layanan Microsoft seperti ID Microsoft Entra dapat membantu Anda memenuhi persyaratan terkait identitas untuk Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996 (HIPAA).
Aturan Keamanan HIPAA (HSR) menetapkan standar untuk melindungi informasi kesehatan pribadi elektronik individu yang dibuat, diterima, digunakan, atau dikelola oleh entitas yang tercakup. HSR dikelola oleh Departemen Kesehatan dan Layanan Manusia (HHS) AS dan memerlukan perlindungan administratif, fisik, dan teknis yang sesuai untuk memastikan kerahasiaan, integritas, dan keamanan informasi kesehatan yang dilindungi elektronik.
Persyaratan dan tujuan perlindungan teknis didefinisikan dalam Judul 45 Dari Kode Peraturan Federal (CFR). Bagian 160 judul 45 menyediakan persyaratan administratif umum, dan Bagian 164 subpart A dan C menjelaskan persyaratan keamanan dan privasi.
Subbagian § 164.304 mendefinisikan perlindungan teknis sebagai teknologi dan kebijakan dan prosedur untuk penggunaannya yang melindungi informasi kesehatan yang dilindungi elektronik dan mengontrol akses ke dalamnya. HHS juga menguraikan area utama bagi organisasi layanan kesehatan untuk dipertimbangkan saat menerapkan perlindungan teknis HIPAA. Dari § 164.312 Perlindungan teknis:
Kontrol akses - Menerapkan kebijakan dan prosedur teknis untuk sistem informasi elektronik yang mempertahankan informasi kesehatan yang dilindungi elektronik untuk memungkinkan akses hanya kepada orang atau program perangkat lunak yang telah diberikan hak akses sebagaimana ditentukan dalam § 164.308(a)(4).
Kontrol audit - Menerapkan mekanisme perangkat keras, perangkat lunak, dan/atau prosedural yang merekam dan memeriksa aktivitas dalam sistem informasi yang berisi atau menggunakan informasi kesehatan yang dilindungi secara elektronik.
Kontrol integritas - Menerapkan kebijakan dan prosedur untuk melindungi informasi kesehatan yang dilindungi elektronik dari perubahan atau penghancuran yang tidak tepat.
Autentikasi orang atau entitas - Menerapkan prosedur untuk memverifikasi bahwa seseorang atau entitas yang mencari akses ke informasi kesehatan yang dilindungi elektronik adalah yang diklaim.
Keamanan transmisi - Terapkan langkah-langkah keamanan teknis untuk menjaga dari akses tidak sah ke informasi kesehatan yang dilindungi elektronik yang sedang ditransmisikan melalui jaringan komunikasi elektronik.
HSR mendefinisikan subbagian sebagai standar, bersama dengan spesifikasi implementasi yang diperlukan dan dapat diatasi. Semua harus diimplementasikan. Penentuan "dapat diatasi" menunjukkan spesifikasi yang wajar dan sesuai. Dapat diatasi tidak berarti bahwa spesifikasi implementasi bersifat opsional. Oleh karena itu, subbagian yang didefinisikan sebagai dapat diatasi juga diperlukan.
Artikel yang tersisa dalam seri ini memberikan panduan dan tautan ke sumber daya, yang diatur oleh area utama dan perlindungan teknis. Untuk setiap area kunci, ada tabel dengan perlindungan relevan yang tercantum, dan tautan ke panduan Microsoft Entra untuk menyelesaikan perlindungan.
Pelajari selengkapnya
Teks peraturan gabungan dari semua Peraturan Penyederhanaan Administratif HIPAA ditemukan pada 45 CFR 160, 162, dan 164
Code of Federal Regulations (CFR) Judul 45 yang menjelaskan bagian kesejahteraan publik dari peraturan
Bagian 160 yang menjelaskan persyaratan administratif umum Judul 45
Bagian 164 Subparts A dan C yang menjelaskan persyaratan keamanan dan privasi Judul 45