Konfigurowanie identyfikatora Entra firmy Microsoft pod kątem zgodności hipaa
usługi firmy Microsoft, takich jak Microsoft Entra ID, może pomóc spełnić wymagania związane z tożsamością dla Health Insurance Portability and Accountability Act of 1996 (HIPAA).
Zasada zabezpieczeń HIPAA (HSR) ustanawia standardy ochrony elektronicznych danych osobowych osób, które są tworzone, odbierane, używane lub utrzymywane przez jednostkę objętą ochroną. HSR jest zarządzany przez Departament Zdrowia i Usług Ludzkich (HHS) USA i wymaga odpowiednich zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapewnienia poufności, integralności i bezpieczeństwa elektronicznych chronionych informacji zdrowotnych.
Wymagania i cele dotyczące zabezpieczeń technicznych są zdefiniowane w tytule 45 Kodeksu Przepisów Federalnych (CFR). Część 160 tytułu 45 zawiera ogólne wymagania administracyjne, a części podrzędne A i C części 164 opisują wymagania dotyczące zabezpieczeń i prywatności.
Podpart § 164.304 definiuje zabezpieczenia techniczne jako technologię oraz zasady i procedury do stosowania, które chronią elektroniczne chronione informacje o zdrowiu i kontrolują dostęp do niego. HHS przedstawia również kluczowe obszary dla organizacji opieki zdrowotnej, które należy wziąć pod uwagę podczas wdrażania zabezpieczeń technicznych HIPAA. Od § 164.312 Zabezpieczenia techniczne:
Kontrola dostępu — implementowanie zasad technicznych i procedur elektronicznych systemów informacyjnych, które utrzymują elektroniczne informacje o zdrowiu chronione w celu umożliwienia dostępu tylko tym osobom lub programom, którym udzielono praw dostępu określonych w § 164.308(a)(4).
Kontrole inspekcji — implementowanie sprzętu, oprogramowania i/lub mechanizmów proceduralnych, które rejestrują i badają działania w systemach informacyjnych, które zawierają lub używają elektronicznych informacji o ochronie zdrowia.
Mechanizmy kontroli integralności — zaimplementuj zasady i procedury w celu ochrony elektronicznych chronionych informacji o zdrowiu przed niewłaściwą zmianą lub zniszczeniem.
Uwierzytelnianie osoby lub jednostki — zaimplementuj procedury w celu sprawdzenia, czy osoba lub jednostka ubiegająca się o dostęp do elektronicznych chronionych informacji o zdrowiu jest tym, który twierdził.
Bezpieczeństwo transmisji — zaimplementuj środki bezpieczeństwa technicznego, aby chronić przed nieautoryzowanym dostępem do elektronicznych informacji zdrowotnych przesyłanych za pośrednictwem sieci komunikacji elektronicznej.
Moduł HSR definiuje części podrzędne jako standardowe wraz z wymaganymi i adresowalnymi specyfikacjami implementacji. Wszystkie muszą być zaimplementowane. Oznaczenie "adresowalne" oznacza, że specyfikacja jest rozsądna i odpowiednia. Adresowalne nie oznacza, że specyfikacja implementacji jest opcjonalna. W związku z tym wymagane są również części podrzędne zdefiniowane jako adresowalne.
Pozostałe artykuły z tej serii zawierają wskazówki i linki do zasobów, zorganizowane według kluczowych obszarów i zabezpieczeń technicznych. Dla każdego kluczowego obszaru znajduje się tabela z odpowiednimi zabezpieczeniami wymienionymi i linki do wskazówek firmy Microsoft Entra w celu zapewnienia bezpieczeństwa.
Dowiedz się więcej
Łączny tekst regulacji wszystkich przepisów HIPAA Administracja istracyjnych w sprawie uproszczenia znalezione w 45 CFR 160, 162 i 164
Kodeks przepisów federalnych (CFR) Tytuł 45 opisujący część rozporządzenia w zakresie opieki społecznej
Część 160 opisująca ogólne wymagania administracyjne tytułu 45
Część 164 Części podrzędne A i C opisujące wymagania dotyczące zabezpieczeń i prywatności w tytule 45
Narzędzie Sejf guard o podwyższonym ryzyku bezpieczeństwa HIPAA