Udostępnij za pośrednictwem


Konfigurowanie identyfikatora Entra firmy Microsoft pod kątem zgodności hipaa

usługi firmy Microsoft, takich jak Microsoft Entra ID, może pomóc spełnić wymagania związane z tożsamością dla Health Insurance Portability and Accountability Act of 1996 (HIPAA).

Zasada zabezpieczeń HIPAA (HSR) ustanawia standardy ochrony elektronicznych danych osobowych osób, które są tworzone, odbierane, używane lub utrzymywane przez jednostkę objętą ochroną. HSR jest zarządzany przez Departament Zdrowia i Usług Ludzkich (HHS) USA i wymaga odpowiednich zabezpieczeń administracyjnych, fizycznych i technicznych w celu zapewnienia poufności, integralności i bezpieczeństwa elektronicznych chronionych informacji zdrowotnych.

Wymagania i cele dotyczące zabezpieczeń technicznych są zdefiniowane w tytule 45 Kodeksu Przepisów Federalnych (CFR). Część 160 tytułu 45 zawiera ogólne wymagania administracyjne, a części podrzędne A i C części 164 opisują wymagania dotyczące zabezpieczeń i prywatności.

Podpart § 164.304 definiuje zabezpieczenia techniczne jako technologię oraz zasady i procedury do stosowania, które chronią elektroniczne chronione informacje o zdrowiu i kontrolują dostęp do niego. HHS przedstawia również kluczowe obszary dla organizacji opieki zdrowotnej, które należy wziąć pod uwagę podczas wdrażania zabezpieczeń technicznych HIPAA. Od § 164.312 Zabezpieczenia techniczne:

  • Kontrola dostępu — implementowanie zasad technicznych i procedur elektronicznych systemów informacyjnych, które utrzymują elektroniczne informacje o zdrowiu chronione w celu umożliwienia dostępu tylko tym osobom lub programom, którym udzielono praw dostępu określonych w § 164.308(a)(4).

  • Kontrole inspekcji — implementowanie sprzętu, oprogramowania i/lub mechanizmów proceduralnych, które rejestrują i badają działania w systemach informacyjnych, które zawierają lub używają elektronicznych informacji o ochronie zdrowia.

  • Mechanizmy kontroli integralności — zaimplementuj zasady i procedury w celu ochrony elektronicznych chronionych informacji o zdrowiu przed niewłaściwą zmianą lub zniszczeniem.

  • Uwierzytelnianie osoby lub jednostki — zaimplementuj procedury w celu sprawdzenia, czy osoba lub jednostka ubiegająca się o dostęp do elektronicznych chronionych informacji o zdrowiu jest tym, który twierdził.

  • Bezpieczeństwo transmisji — zaimplementuj środki bezpieczeństwa technicznego, aby chronić przed nieautoryzowanym dostępem do elektronicznych informacji zdrowotnych przesyłanych za pośrednictwem sieci komunikacji elektronicznej.

Moduł HSR definiuje części podrzędne jako standardowe wraz z wymaganymi i adresowalnymi specyfikacjami implementacji. Wszystkie muszą być zaimplementowane. Oznaczenie "adresowalne" oznacza, że specyfikacja jest rozsądna i odpowiednia. Adresowalne nie oznacza, że specyfikacja implementacji jest opcjonalna. W związku z tym wymagane są również części podrzędne zdefiniowane jako adresowalne.

Pozostałe artykuły z tej serii zawierają wskazówki i linki do zasobów, zorganizowane według kluczowych obszarów i zabezpieczeń technicznych. Dla każdego kluczowego obszaru znajduje się tabela z odpowiednimi zabezpieczeniami wymienionymi i linki do wskazówek firmy Microsoft Entra w celu zapewnienia bezpieczeństwa.

Dowiedz się więcej

Następne kroki