Udostępnij za pośrednictwem


Wskazówki dotyczące zabezpieczeń mechanizmów kontroli inspekcji

Microsoft Entra ID spełnia wymagania dotyczące praktyk związanych z tożsamościami w zakresie implementowania zabezpieczeń zgodnie z Ustawą o Przenoszalności i Odpowiedzialności w Ubezpieczeniach Zdrowotnych z 1996 roku (HIPAA). Aby być zgodnym ze standardem HIPAA, zaimplementuj zabezpieczenia, korzystając z tych wskazówek, z innymi wymaganymi konfiguracjami lub procesami.

Dla kontroli audytu:

  • Ustanów nadzór nad danymi na potrzeby przechowywania danych osobowych.

  • Identyfikowanie i etykietowanie poufnych danych.

  • Konfigurowanie zbierania inspekcji i zabezpieczania danych dziennika.

  • Konfigurowanie ochrony przed utratą danych.

  • Włącz ochronę informacji.

W celu zabezpieczenia:

  • Określ, gdzie są przechowywane dane chronione dotyczące zdrowia (PHI).

  • Zidentyfikuj i zniweluj wszelkie zagrożenia dla przechowywanych danych.

Ten artykuł zawiera odpowiednie sformułowanie zabezpieczeń HIPAA, a następnie tabelę z zaleceniami firmy Microsoft i wskazówkami, które pomogą osiągnąć zgodność z przepisami HIPAA.

Kontrole inspekcji

Poniższa zawartość zawiera wskazówki dotyczące ochrony przed hipaa. Znajdź zalecenia firmy Microsoft, aby spełnić wymagania implementacji zabezpieczeń.

Ochrona HIPAA — mechanizmy kontroli inspekcji

Implement hardware, software, and/or procedural mechanisms that record and examine activity in information systems that contain or use electronic protected health information.

Rekomendacja Akcja
Włączanie usługi Microsoft Purview Usługa Microsoft Purview pomaga zarządzać danymi i monitorować je, zapewniając nadzór nad danymi. Korzystanie z usługi Purview pomaga zminimalizować ryzyko niezgodności i spełnić wymagania prawne.
Usługa Microsoft Purview w portalu zarządzania udostępnia ujednolicone zarządzanie danymi, które ułatwia zarządzanie danymi lokalnymi, w środowisku wielochmurowym i SaaS (Software-as-a-Service). Microsoft Purview to struktura, czyli zestaw produktów współpracujących ze sobą, aby zapewnić wizualizację ochrony cyklu życia danych poufnych oraz zapobieganie utracie danych.
Włączanie usługi Microsoft Sentinel Usługa Microsoft Sentinel zapewnia rozwiązania do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) oraz aranżacji zabezpieczeń, automatyzacji i odpowiedzi (SOAR). Usługa Microsoft Sentinel zbiera dzienniki inspekcji i używa wbudowanej sztucznej inteligencji, aby ułatwić analizowanie dużych ilości danych.
Usługa SIEM umożliwia organizacji wykrywanie zdarzeń, które mogą nie zostać wykryte.
Konfigurowanie usługi Azure Monitor Dzienniki usługi Azure Monitor zbierają i organizują dzienniki, rozszerzając je do środowisk chmurowych i hybrydowych. Zawiera zalecenia dotyczące kluczowych obszarów ochrony zasobów w połączeniu z centrum zaufania platformy Azure.
Włączanie rejestrowania i monitorowania
Rejestrowanie i monitorowanie są niezbędne do zabezpieczenia środowiska. Dane obsługują badania i pomagają wykrywać potencjalne zagrożenia, identyfikując nietypowe wzorce. Włącz rejestrowanie i monitorowanie usług, aby zmniejszyć ryzyko nieautoryzowanego dostępu.
Zalecamy monitorowanie dzienników aktywności firmy Microsoft Entra.
Skanowanie środowiska pod kątem danych elektronicznych chronionej informacji o zdrowiu (ePHI) Usługę Microsoft Purview można włączyć w trybie inspekcji, aby przeskanować, jakie ePHI są obecne w infrastrukturze danych oraz jakie zasoby są używane do przechowywania tych informacji. Ta funkcja pomaga w ustanawianiu klasyfikacji i etykietowania danych na podstawie poufności danych.
Tworzenie zasad ochrony przed utratą danych (DLP) Zasady DLP ułatwiają ustanawianie procesów w celu zapewnienia, że poufne dane nie zostaną utracone, niewłaściwie użyte lub nieuprawnione przez nieautoryzowanych użytkowników. Zapobiega to naruszeniom danych i eksfiltracji.
Program Microsoft Purview DLP sprawdza wiadomości e-mail, przejdź do portalu zgodności usługi Microsoft Purview, aby przejrzeć zasady i dostosować je dla organizacji.
Włączanie monitorowania za pomocą usługi Azure Policy Usługa Azure Policy pomaga wymuszać standardy organizacyjne i umożliwia ocenę stanu zgodności w środowisku. Takie podejście zapewnia spójność, zgodność z przepisami i monitorowanie, zapewniając zalecenia dotyczące zabezpieczeń za pośrednictwem usługi Microsoft Defender for Cloud
Ocena wymagań dotyczących zarządzania urządzeniami Usługa Microsoft Intune może służyć do zapewniania zarządzania urządzeniami przenośnymi (MDM) i zarządzania aplikacjami mobilnymi (MAM). Usługa Microsoft Intune zapewnia kontrolę nad urządzeniami firmowymi i osobistymi. Możliwości obejmują zarządzanie sposobem używania urządzeń i wymuszanie zasad, które zapewniają bezpośrednią kontrolę nad aplikacjami mobilnymi.
Ochrona aplikacji Usługa Microsoft Intune może pomóc w ustanowieniu struktury ochrony danych , która obejmuje aplikacje pakietu Office platformy Microsoft 365 i obejmuje je na różnych urządzeniach. Zasady ochrony aplikacji zapewniają, że dane organizacyjne pozostają bezpieczne i zawarte w aplikacji na obu urządzeniach osobistych (BYOD) z urządzeniami należącymi do firmy.
Konfigurowanie zarządzania ryzykiem poufnym Microsoft Purview Insider Risk Management koreluje sygnały, aby zidentyfikować potencjalne złośliwe lub niezamierzone zagrożenia wewnętrzne, takie jak kradzież ip, wyciek danych i naruszenia zabezpieczeń. Zarządzanie ryzykiem wewnętrznym umożliwia tworzenie zasad w celu zarządzania bezpieczeństwem i zgodnością. Ta funkcja jest oparta na zasadzie prywatności zgodnie z projektem, użytkownicy są domyślnie pseudonimizowani, a mechanizmy kontroli dostępu opartej na rolach i dzienniki inspekcji są dostępne w celu zapewnienia prywatności na poziomie użytkownika.
Konfigurowanie zgodności komunikacji Rozwiązanie Microsoft Purview Communication Compliance udostępnia narzędzia ułatwiające organizacjom wykrywanie zgodności z przepisami, takich jak zgodność ze standardami Komisji Papierów Wartościowych i Giełd (SEC) lub Financial Industry Regulatory Authority (FINRA). Narzędzie monitoruje naruszenia zachowania biznesowego, takie jak poufne lub poufne informacje, nękanie lub grożenie językiem oraz udostępnianie treści dla dorosłych. Funkcja ta została zaprojektowana z uwzględnieniem ochrony prywatności, nazwy użytkowników są domyślnie pseudonimizowane, a wbudowane mechanizmy kontroli dostępu oparte są na rolach. Śledczy są dodawani przez administratora, a dzienniki inspekcji zostały wprowadzone w celu zapewnienia prywatności na poziomie użytkownika.

Mechanizmy kontroli zabezpieczeń

Poniższa treść zawiera wytyczne dotyczące mechanizmów kontroli zabezpieczeń zgodnych z HIPAA. Znajdź zalecenia firmy Microsoft, aby spełnić wymagania dotyczące zgodności z przepisami HIPAA.

HIPAA - zabezpieczenie

Conduct an accurate and thorough safeguard of the potential risks and vulnerabilities to the confidentiality, integrity, and availability of electronic protected health information held by the covered entity.

Rekomendacja Akcja
Skanowanie środowiska w poszukiwaniu danych ePHI Usługę Microsoft Purview można włączyć w trybie inspekcji, aby przeskanować, jakie dane ePHI znajdują się w infrastrukturze danych, oraz zasoby używane do przechowywania tych danych. Te informacje pomagają w ustanawianiu klasyfikacji danych i etykietowaniu poufności danych.
Ponadto korzystanie z Eksploratora zawartości zapewnia wgląd w lokalizację poufnych danych. Te informacje ułatwiają rozpoczęcie podróży etykietowania od ręcznego stosowania zaleceń dotyczących etykietowania lub etykietowania po stronie klienta do automatycznego etykietowania po stronie usługi.
Włączanie usługi Priva w celu ochrony danych platformy Microsoft 365 Firma Microsoft Priva ocenia dane ePHI przechowywane na platformie Microsoft 365, skanowanie i ocenianie pod kątem poufnych informacji.
Włączanie testu porównawczego zabezpieczeń platformy Azure Test porównawczy zabezpieczeń w chmurze firmy Microsoft zapewnia kontrolę nad ochroną danych w usługach platformy Azure i zapewnia punkt odniesienia implementacji usług, które przechowują ePHI. Tryb inspekcji udostępnia te zalecenia i kroki korygowania w celu zabezpieczenia środowiska.
Włącz zarządzanie lukami w zabezpieczeniach programu Defender Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender to wbudowany moduł w usłudze Microsoft Defender dla punktu końcowego. Moduł ułatwia identyfikowanie i odnajdywanie luk w zabezpieczeniach oraz błędów konfiguracji w czasie rzeczywistym. Moduł ułatwia również ustalanie priorytetów wyników na pulpicie nawigacyjnym oraz raportów na różnych urządzeniach, maszynach wirtualnych i bazach danych.

Dowiedz się więcej

Dalsze kroki