Microsoft Entra ID는 1996년 HIPAA(Health Insurance Portability and Accountability Act) 보호 기능을 구현하기 위한 ID 관련 실무 요구 사항을 충족합니다. HIPAA를 준수하려면 다른 필요한 구성 또는 프로세스와 함께 이 지침을 사용하여 보호 장치를 구현합니다.
감사 컨트롤의 경우:
개인 데이터 스토리지에 대한 데이터 거버넌스를 설정합니다.
중요한 데이터를 식별하고 레이블을 지정합니다.
감사 수집 및 보안 로그 데이터를 구성합니다.
데이터 손실 방지 구성
정보 보호 사용 설정
보호지침:
PHI(보호된 건강 정보) 데이터가 저장되는 위치를 결정합니다.
저장된 데이터에 대한 위험을 식별하고 완화합니다.
이 문서에서는 HIPAA 규정 준수를 달성하는 데 도움이 되는 Microsoft 권장 사항 및 지침과 함께 관련 HIPAA 보호 문구를 제공합니다.
감사 컨트롤
다음 콘텐츠는 HIPAA의 보호 지침입니다. 보호 실행 요구 사항을 충족하는 Microsoft 권장 사항을 찾습니다.
HIPAA 보호 - 감사 컨트롤
Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.
| 권장 | 작업 |
|---|---|
| Microsoft Purview 사용 설정 | Microsoft Purview는 데이터 거버넌스를 제공하여 데이터를 관리하고 모니터링하는 데 도움이 됩니다. Purview를 사용하면 규정 준수 위험을 최소화하고 규정 요구 사항을 충족하는 데 도움이 됩니다. 거버넌스 포털의 Microsoft Purview는 온-프레미스, 다중 클라우드 및 SaaS(Software-as-Service) 데이터를 관리하는 데 도움이 되는 통합 데이터 거버넌스 서비스를 제공합니다. Microsoft Purview는 데이터에 대한 중요한 데이터 수명 주기 보호 및 데이터 손실 방지를 시각화하기 위해 함께 작동하는 제품군인 프레임워크입니다. |
| Microsoft Sentinel 사용 | Microsoft Sentinel은 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션입니다. Microsoft Sentinel은 감사 로그를 수집하고 기본 제공 AI를 사용하여 대량의 데이터를 분석합니다. SIEM을 사용하면 조직에서 검색되지 않을 수 있는 인시던트를 검색할 수 있습니다. |
| Azure Monitor 구성 | Azure Monitor 로그를 사용하여 로그를 수집하고 구성하여 클라우드 및 하이브리드 환경으로 확장합니다. Azure 보안 센터와 결합된 리소스를 보호하는 방법에 대한 주요 영역에 대한 권장 사항을 제공합니다. |
| 로깅 및 모니터링 사용 설정 | 로깅 및 모니터링은 환경을 보호하는 데 필수적입니다. 데이터는 조사를 지원하고 비정상적인 패턴을 식별하여 잠재적 위협을 감지하는 데 도움이 됩니다. 무단 액세스 위험을 줄이려면 서비스 로깅 및 모니터링을 사용하도록 설정합니다. Microsoft Entra 활동 로그를 모니터링하는 것이 좋습니다. |
| ePHI(전자 보호된 건강 정보) 데이터에 대한 스캔 환경 | Microsoft Purview를 감사 모드에서 사용하도록 설정하여 데이터 자산에 있는 ePHI와 해당 데이터를 저장하는 데 사용되는 리소스를 검사할 수 있습니다. 이 기능은 데이터의 민감도에 따라 데이터 분류 및 레이블 지정을 설정하는 데 도움이 됩니다. |
| 데이터 손실 방지(DLP) 정책 만들기 | DLP 정책은 권한이 없는 사용자가 중요한 데이터를 손실, 오용 또는 액세스하지 않도록 하는 프로세스를 설정하는 데 도움이 됩니다. 데이터 위반 및 반출을 방지합니다. Microsoft Purview DLP는 전자 메일 메시지를 검사하고 Microsoft Purview 규정 준수 포털 이동하여 정책을 검토하고 조직에 맞게 사용자 지정합니다. |
| Azure Policy를 통한 모니터링 사용 설정 | Azure Policy은 조직 표준을 적용하는 데 도움이 되며 환경 전체에서 규정 준수 상태를 평가할 수 있습니다. 이 방법은 클라우드용 Microsoft Defender를 통해 보안 권장 사항을 제공하는데 일관성, 규정 준수 및 모니터링을 보장합니다. |
| 장치 관리 요구 사항 평가 | Microsoft Intune을 사용하여 MDM(모바일 디바이스 관리) 및 MAM(모바일 애플리케이션 관리)을 제공할 수 있습니다. Microsoft Intune은 회사 및 개인 디바이스에 대한 제어를 제공합니다. 기능에는 디바이스를 사용하는 방법 관리 및 모바일 애플리케이션을 직접 제어할 수 있는 정책 적용이 포함됩니다. |
| 애플리케이션 보호 | Microsoft Intune은 Microsoft 365 Office 애플리케이션을 포괄하고 여러 디바이스에 통합하는 데이터 보호 프레임워크를 설정하는 데 도움이 될 수 있습니다. 앱 보호 정책은 조직 데이터가 안전하게 유지되고 회사 소유 디바이스에 대한 개인(BYOD)의 앱에 포함되도록 합니다. |
| 내부 위험 관리 구성 | Microsoft Purview 내부 위험 관리는 신호를 상호 연결하여 IP 도난, 데이터 유출 및 보안 위반과 같은 잠재적인 악의적이거나 의도치 않은 내부자 위험을 식별합니다. 내부 위험 관리를 사용하면 보안 및 규정 준수를 관리하는 정책을 만들 수 있습니다. 이 기능은 기본적으로 개인 정보 보호 원칙을 기반으로 하며, 사용자는 기본적으로 가명화되며, 역할 기반 액세스 제어 및 감사 로그는 사용자 수준 개인 정보를 보장하는 데 도움이 됩니다. |
| 커뮤니케이션 규정 준수 구성 | Microsoft Purview 커뮤니케이션 준수는 조직이 SEC(증권거래위원회) 또는 FINRA(금융 산업 규제 기관) 표준 준수와 같은 규정 준수를 감지하는 데 도움이 되는 도구를 제공합니다. 이 도구는 중요 또는 기밀 정보, 괴롭힘 또는 위협 언어, 성인 콘텐츠 공유와 같은 비즈니스 행위 위반을 모니터링합니다. 이 기능은 기본적으로 개인 정보 보호로 빌드되고, 사용자 이름은 기본적으로 가명화되고, 역할 기반 액세스 제어가 기본 제공되고, 조사관이 관리자에 의해 옵트인되고, 감사 로그가 배치되어 사용자 수준 개인 정보를 보장합니다. |
보호 컨트롤
다음 콘텐츠는 HIPAA의 보호 컨트롤 지침을 제공합니다. HIPAA 규정 준수를 충족하는 Microsoft 권장 사항을 찾습니다.
HIPAA - 보호
Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.
| 권장 | 작업 |
|---|---|
| ePHI 데이터에 대한 환경 검사 | Microsoft Purview를 감사 모드에서 사용하도록 설정하여 데이터 자산에 있는 ePHI와 해당 데이터를 저장하는 데 사용되는 리소스를 검사할 수 있습니다. 이 정보는 데이터 분류를 설정하고 데이터의 민감도에 레이블을 지정하는 데 도움이 됩니다. 또한 콘텐츠 탐색을 사용하면 중요한 데이터가 있는 위치를 파악할 수 있습니다. 이 정보는 클라이언트 쪽에서 레이블 지정 또는 레이블 지정 권장 사항을 수동으로 적용하는 것에서 서비스 쪽 자동 레이블 지정에 이르기까지 레이블 지정 과정을 시작하는 데 도움이 됩니다. |
| Priva를 사용하여 Microsoft 365 데이터 보호 | Microsoft Priva는 Microsoft 365에 저장된 ePHI 데이터를 평가하고 중요한 정보를 검사하고 평가합니다. |
| Azure 보안 벤치마크 사용 설정 | Microsoft 클라우드 보안 벤치마크는 Azure 서비스 전반에 걸쳐 데이터 보호를 제어하고 ePHI를 저장하는 서비스에 대한 구현 기준을 제공합니다. 감사 모드는 환경을 보호하기 위한 권장 사항 및 수정 단계를 제공합니다. |
| Defender 취약점 관리 사용 설정 | Microsoft 취약점 관리는 엔드포인트용 Microsoft Defender의 기본 제공 모듈입니다. 이 모듈은 취약성 및 잘못된 구성을 실시간으로 식별하고 검색하는 데 도움이 됩니다. 또한 이 모듈을 통해 대시보드 결과를 제시하고 디바이스, VM 및 데이터베이스에서 보고서를 표시하는 데 우선 순위를 지정할 수 있습니다. |