Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Общие сведения о HITRUST CSF
Альянс доверия медицинской информации (HITRUST) — это организация, управляемая представителями отрасли здравоохранения. HITRUST создала и поддерживает Common Security Framework (CSF), сертифицированную платформу, которая помогает организациям здравоохранения и их поставщикам продемонстрировать свою безопасность и соответствие требованиям согласованно и упрощенно.
CSF основан на HIPAA и Законе HITECH, которые являются законами США о здравоохранении, которые устанавливают требования к использованию, раскрытию и защите индивидуально идентифицируемой информации о здоровье, и которые обеспечивают несоответствие. HITRUST предоставляет стандартизованную платформу соответствия требованиям, оценку и процесс сертификации, по которой поставщики облачных служб и охваченные сущности работоспособности могут измерять соответствие требованиям. CSF также включает в себя специальные требования к безопасности, конфиденциальности и другим нормативным требованиям таких существующих платформ, как Standard безопасности данных индустрии платежных карт (PCI-DSS), стандарты управления информационной безопасностью ISO/IEC 27001 и минимальные допустимые стандарты риска для обменов (MARS-E).
CSF разделен на 19 различных доменов, включая защиту конечных точек, безопасность мобильных устройств и управление доступом. HITRUST сертифицирует ИТ-предложения для этих элементов управления. HITRUST также адаптирует требования к сертификации с учетом рисков организации на основе организационных, системных и нормативных факторов.
Health Information Trust Alliance (HITRUST) общая инфраструктура безопасности
HITRUST предлагает три степени надежности или уровни оценки: самостоятельная оценка, проверка CSF и сертификация CSF. Каждый уровень строится с большей строгостью на том, который ниже. Организация с наивысшим уровнем, сертифицированным CSF, соответствует всем требованиям к сертификации CSF. Microsoft Azure и Office 365 являются первыми гипермасштабируемыми облачными службами, которые получают сертификацию для HITRUST CSF. Coalfire, фирма-эксперт HITRUST, провела оценки на основе того, как Azure и Office 365 реализовать требования безопасности, конфиденциальности и нормативных требований для защиты конфиденциальной информации. Корпорация Майкрософт поддерживает программу общей ответственности HITRUST.
Узнайте, как ускорить развертывание HITRUST с помощью схемы безопасности и соответствия требованиям Azure.
Скачайте схему Microsoft Azure HITRUST Customer Responsibility Matrix (CRM) версии 9.0d
Затрагиваемые облачные платформы и службы Майкрософт
- Azure и Azure для государственных организаций
- Microsoft Intune
- Компьютеры, управляемые Майкрософт
- Office 365
- Windows 365 (коммерческая)
Azure, Майкрософт Dynamics 365 и HITRUST
Дополнительные сведения о Azure, Dynamics 365 и других веб-службы соответствии см. в разделе предложение Azure HITRUST.
Office 365 и HITRUST
Office 365 среды
Microsoft Office 365 — это рассчитанная на множество клиентов гипермасштабируемая облачная платформа с интегрированным интерфейсом приложений и служб, доступная клиентам в нескольких регионах по всему миру. Большинство служб Office 365 позволяют клиентам указывать регион, в котором находятся их данные клиентов. Корпорация Майкрософт может реплицировать данные клиентов в другие регионы в той же географической области (например, в США) для обеспечения устойчивости данных, но корпорация Майкрософт не будет реплицировать данные клиентов за пределами выбранной географической области.
В этом разделе рассматриваются следующие Office 365 среды:
- Клиентское программное обеспечение (клиент). Коммерческое клиентское программное обеспечение, работающее на устройствах пользователей.
- Office 365 (коммерческая). Глобальная общедоступная коммерческая облачная служба Office 365.
- Облако сообщества Office 365 для государственных организаций (GCC). Облачная служба Office 365 GCC доступна для государственных организаций США федерального уровня, уровня штатов, местного и племенного уровня, а также для подрядчиков, хранящих или обрабатывающих данные от имени правительства США.
- Облако сообщества Office 365 для государственных организаций — высокий уровень (GCC High). Облачная служба Office 365 GCC High разработана в соответствии с элементами управления четвертого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строго регулируемую информацию федерального значения и данные, относящиеся к обороне. Эта среда используется федеральными учреждениями, предприятиями военно-промышленного комплекса и подрядчиками государственных организаций.
- Office 365 DoD (DoD). Облачная служба Office 365 DoD разработана в соответствии с элементами управления пятого уровня, предусмотренными руководством по требованиям к безопасности Министерства обороны (DoD), и поддерживает строгие нормы относительно информации федерального значения и данных, относящихся к обороне. Эта среда используется исключительно Министерством обороны США.
Используйте этот раздел для выполнения своих обязательств по обеспечению соответствия требованиям в регулируемых отраслях и на глобальных рынках. Чтобы узнать, какие службы доступны в тех или иных регионах, см. статьи Информация о доступности в международном масштабе и Где хранятся ваши данные как клиента Microsoft 365. Дополнительные сведения об облачной среде Office 365 для государственных организаций см. в статье Облако Office 365 для государственных организаций.
Ваша организация несет полную ответственность за обеспечение соответствия всем применимым законам и нормативным актам. Информация, представленная в этом разделе, не является юридической консультацией, поэтому по любым вопросам, относящимся к соблюдению нормативных требований в вашей организации, следует обращаться к юридическим консультантам.
Применимость Office 365 и затрагиваемые службы
Чтобы определить применимость изменений к вашим службам и подписке Office 365, воспользуйтесь следующей таблицей.
| Применимость | Затрагиваемые службы |
|---|---|
| Коммерческий сектор | Служба веб-канала действий, службы Bing, Delve, Exchange Online Protection, Exchange Online, Microsoft Teams, Office 365 клиентский портал, Office Online, инфраструктура служб Office, отчеты об использовании Office, OneDrive для бизнеса, People Карточка, SharePoint Online, Skype для бизнеса, Windows Ink |
Аудит, отчеты и сертификаты Office 365
Сертификация HITRUST CSF Office 365 действительна в течение двух лет.
Вопросы и ответы
Почему некоторые Office 365 службы не входят в область этой сертификации?
Корпорация Майкрософт предоставляет наиболее полные предложения по сравнению с другими поставщиками облачных служб. Чтобы не отставать от наших широких предложений по соответствию требованиям в разных регионах и отраслях, мы включаем услуги в область наших усилий по обеспечению на основе спроса на рынке, отзывов клиентов и жизненного цикла продукта. Если служба не включена в текущий область конкретного предложения по обеспечению соответствия требованиям, ваша организация отвечает за оценку рисков на основе ваших обязательств по соответствию и определение способа обработки данных в этой службе. Мы постоянно собираем отзывы клиентов и работаем с регуляторами и аудиторами, чтобы расширить охват соответствия требованиям для удовлетворения ваших потребностей в области безопасности и соответствия требованиям.
Означает ли сертификация Майкрософт, что если моя организация использует Office 365, она соответствует требованиям HITRUST CSF?
При хранении данных в SaaS, например Office 365, корпорация Майкрософт и ваша организация несут общую ответственность за обеспечение соответствия требованиям. Корпорация Майкрософт управляет большинством элементов управления инфраструктурой, включая физическую безопасность, сетевые элементы управления и элементы управления на уровне приложений. Ваша организация отвечает за управление средствами управления доступом и защиту конфиденциальных данных. Сертификация Office 365 HITRUST демонстрирует соответствие платформы управления Майкрософт. На основе этой платформы вашей организации необходимо реализовать и поддерживать собственные элементы управления защитой данных в соответствии с требованиями HITRUST CSF.
Предоставляет ли корпорация Майкрософт рекомендации для моей организации по реализации соответствующих элементов управления при использовании Office 365?
Да, вы можете найти рекомендуемые действия клиентов в диспетчере соответствия требованиям, облачных решениях между Майкрософт, которые помогают вашей организации выполнять сложные обязательства по соответствию при использовании облачных служб. В частности, для HITRUST CSF рекомендуется выполнять оценку рисков с помощью оценок NIST 800-53 и NIST CSF в диспетчере соответствия требованиям. В оценках мы предоставляем пошаговые рекомендации и решения Майкрософт, которые можно использовать для реализации элементов управления защитой данных. Дополнительные сведения о диспетчере соответствия требованиям см. в Диспетчер соответствия требованиям Microsoft Purview.
Использование Диспетчер соответствия требованиям Microsoft Purview для оценки риска
Диспетчер соответствия требованиям Microsoft Purview — это функция на портале Microsoft Purview , которая помогает понять состояние соответствия требованиям вашей организации и принять меры для снижения рисков. Диспетчер соответствия требованиям предоставляет премиум-шаблон для оценки этих нормативных требований. Шаблон находится на странице шаблонов оценки в диспетчере соответствия требованиям. Узнайте, как создавать оценки и управлять ими в диспетчере соответствия требованиям.