Indicazioni sulla sicurezza dei controlli di controllo
Microsoft Entra ID soddisfa i requisiti di pratica correlati all'identità per l'implementazione delle misure di sicurezza dell'assicurazione sanitaria portability e accountability act del 1996 (HIPAA). Per essere conforme a HIPAA, implementare le misure di sicurezza usando queste linee guida, con altre configurazioni o processi necessari.
Per i controlli di controllo:
Stabilire la governance dei dati per l'archiviazione dei dati personali.
Identificare ed etichettare i dati sensibili.
Configurare la raccolta di controlli e proteggere i dati dei log.
Configurare la prevenzione della perdita dei dati.
Abilitare la protezione delle informazioni.
Per la salvaguardia:
Determinare dove vengono archiviati i dati di informazioni sanitarie protette.Determine where Protected Health Information (PHI) data is stored.
Identificare e attenuare eventuali rischi per i dati archiviati.
Questo articolo fornisce la formulazione di sicurezza HIPAA pertinente, seguita da una tabella con raccomandazioni e indicazioni Microsoft per ottenere la conformità HIPAA.
Controlli di controllo
Il contenuto seguente è una guida per proteggere da HIPAA. Trovare raccomandazioni Microsoft per soddisfare i requisiti di implementazione della protezione.
Protezione HIPAA - Controlli di controllo
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| Elemento consigliato | Azione |
|---|---|
| Abilitare Microsoft Purview | Microsoft Purview consente di gestire e monitorare i dati fornendo la governance dei dati. L'uso di Purview consente di ridurre al minimo i rischi di conformità e soddisfare i requisiti normativi. Microsoft Purview nel portale di governance offre un servizio unificato di governance dei dati che consente di gestire i dati SaaS (Software as-Service) locali e multicloud. Microsoft Purview è un framework, una suite di prodotti che interagiscono per offrire una visualizzazione della protezione del ciclo di vita dei dati sensibili per i dati e la prevenzione della perdita dei dati. |
| Abilitare Microsoft Sentinel | Microsoft Sentinel offre soluzioni di orchestrazione, automazione e risposta (SOAR) e gestione degli eventi e delle informazioni di sicurezza (SIEM). Microsoft Sentinel raccoglie i log di controllo e usa l'intelligenza artificiale predefinita per analizzare grandi volumi di dati. SIEM consente a un'organizzazione di rilevare eventi imprevisti che potrebbero non essere rilevati. |
| Configurare Monitoraggio di Azure | Usare i log di Monitoraggio di Azure raccoglie e organizza i log, espandendosi in ambienti cloud e ibridi. Fornisce consigli sulle aree chiave su come proteggere le risorse combinate con il Centro protezione di Azure. |
| Abilitare la registrazione e il monitoraggio | La registrazione e il monitoraggio sono essenziali per proteggere un ambiente. I dati supportano le indagini e consentono di rilevare potenziali minacce identificando modelli insoliti. Abilitare la registrazione e il monitoraggio dei servizi per ridurre il rischio di accesso non autorizzato. È consigliabile monitorare i log attività di Microsoft Entra. |
| Analizzare l'ambiente per i dati elettronici relativi alle informazioni sanitarie protette (ePHI) | Microsoft Purview può essere abilitato in modalità di controllo per analizzare l'ePHI che si trova nell'area dati e le risorse usate per archiviare tali dati. Questa funzionalità consente di stabilire la classificazione e l'etichettatura dei dati in base alla riservatezza dei dati. |
| Creare criteri di prevenzione della perdita dei dati (DLP) | I criteri di prevenzione della perdita dei dati consentono di stabilire processi per garantire che i dati sensibili non vengano persi, usati in modo improprio o a cui si accede da utenti non autorizzati. Impedisce violazioni dei dati ed esfiltrazione. Microsoft Purview DLP esamina i messaggi di posta elettronica, passa al Portale di conformità di Microsoft Purview per esaminare i criteri e personalizzarli per l'organizzazione. |
| Abilitare il monitoraggio tramite Criteri di Azure | Criteri di Azure consente di applicare gli standard dell'organizzazione e di valutare lo stato di conformità in un ambiente. Questo approccio garantisce coerenza, conformità alle normative e monitoraggio fornendo raccomandazioni sulla sicurezza tramite Microsoft Defender per il cloud |
| Valutare i requisiti di gestione dei dispositivi | Microsoft Intune può essere usato per fornire la gestione dei dispositivi mobili (MDM) e la gestione di applicazioni mobili (MAM). Microsoft Intune offre il controllo sui dispositivi aziendali e personali. Le funzionalità includono la gestione delle modalità di utilizzo dei dispositivi e l'applicazione di criteri che consentono di controllare direttamente le applicazioni per dispositivi mobili. |
| Protezione dell'applicazione | Microsoft Intune consente di stabilire un framework di protezione dei dati che copre le applicazioni office di Microsoft 365 e incorporarle in tutti i dispositivi. Protezione di app criteri assicurano che i dati dell'organizzazione rimangano sicuri e contenuti nell'app in entrambi i dispositivi personali (BYOD) ai dispositivi di proprietà dell'azienda. |
| Configurare la gestione dei rischi Insider | Microsoft Purview Insider Risk Management correla i segnali per identificare potenziali rischi insider dannosi o accidentali, ad esempio il furto di ip, la perdita di dati e le violazioni della sicurezza. La gestione dei rischi Insider consente di creare criteri per gestire la sicurezza e la conformità. Questa funzionalità è basata sul principio della privacy per impostazione predefinita, gli utenti sono pseudonimizzati per impostazione predefinita e i controlli di accesso in base al ruolo e i log di controllo consentono di garantire la privacy a livello di utente. |
| Configurare la conformità delle comunicazioni | Microsoft Purview Communication Compliance fornisce gli strumenti per aiutare le organizzazioni a rilevare la conformità alle normative, ad esempio la conformità per gli standard Securities and Exchange Commission (edizione Standard C) o Financial Industry Regulatory Authority (FINRA). Lo strumento monitora le violazioni del comportamento aziendale, ad esempio informazioni riservate o riservate, molestare o minacciare la lingua e condividere contenuti per adulti. Questa funzionalità è compilata con privacy per impostazione predefinita, i nomi utente sono pseudonimizzati per impostazione predefinita, i controlli degli accessi in base al ruolo sono incorporati, gli investigatori sono acconsentiti da un amministratore e i log di controllo sono disponibili per garantire la privacy a livello di utente. |
controlli Cassaforte guard
Il contenuto seguente fornisce le linee guida per i controlli di sicurezza di HIPAA. Trovare raccomandazioni Microsoft per soddisfare la conformità HIPAA.
HIPAA - protezione
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| Elemento consigliato | Azione |
|---|---|
| Analizzare l'ambiente per i dati ePHI | Microsoft Purview può essere abilitato in modalità di controllo per analizzare l'ePHI che si trova nell'area dati e le risorse usate per archiviare tali dati. Queste informazioni consentono di stabilire la classificazione dei dati e di etichettare la riservatezza dei dati. Inoltre, l'uso di Esplora contenuto consente di visualizzare la posizione dei dati sensibili. Queste informazioni consentono di iniziare il percorso di etichettatura dall'applicazione manuale di raccomandazioni per l'etichettatura o l'etichettatura sul lato client alla compilazione automatica sul lato servizio. |
| Abilitare Priva per proteggere i dati di Microsoft 365 | Microsoft Priva valuta i dati ePHI archiviati in Microsoft 365, l'analisi e la valutazione per le informazioni riservate. |
| Abilitare il benchmark di sicurezza di Azure | Microsoft Cloud Security Benchmark fornisce il controllo per la protezione dei dati nei servizi di Azure e fornisce una baseline per l'implementazione per i servizi che archiviano ePHI. La modalità di controllo fornisce tali raccomandazioni e procedure di correzione per proteggere l'ambiente. |
| Abilitare La gestione delle vulnerabilità di Defender | La gestione delle vulnerabilità di Microsoft Defender è un modulo predefinito in Microsoft Defender per endpoint. Il modulo consente di identificare e individuare vulnerabilità e errori di configurazione in tempo reale. Il modulo consente anche di classificare in ordine di priorità i risultati in un dashboard e di report tra dispositivi, macchine virtuali e database. |
Altre informazioni
Pilastro Zero Trust: dispositivi, dati, applicazione, visibilità, automazione e orchestrazione
Pilastro Zero Trust: dati, visibilità, automazione e orchestrazione