Konfigurera Microsoft Entra-ID för HIPAA-efterlevnad

Microsoft-tjänster som Microsoft Entra ID kan hjälpa dig att uppfylla identitetsrelaterade krav för Health Insurance Portability and Accountability Act från 1996 (HIPAA).

HIPAA-säkerhetsregeln (HSR) fastställer standarder för att skydda enskilda personers elektroniska personliga hälsoinformation som skapas, tas emot, används eller underhålls av en enhet som omfattas. HSR hanteras av U.S. Department of Health and Human Services (HHS) och kräver lämpliga administrativa, fysiska och tekniska skyddsåtgärder för att säkerställa sekretess, integritet och säkerhet för elektronisk skyddad hälsoinformation.

Krav och mål för tekniska skyddsåtgärder definieras i avdelning 45 i kodexen för federala föreskrifter (CFR). Del 160 i avdelning 45 innehåller allmänna administrativa krav och del 164:s underdelar A och C beskriver säkerhets- och sekretesskraven.

Underdelen § 164.304 definierar tekniska skyddsåtgärder som teknik och principer och förfaranden för dess användning som skyddar elektronisk skyddad hälsoinformation och kontrollerar åtkomsten till den. HHS beskriver också viktiga områden som sjukvårdsorganisationer kan tänka på när de implementerar tekniska HIPAA-skyddsåtgärder. Från § 164.312 Tekniska skyddsåtgärder:

• Åtkomstkontroller – Implementera tekniska principer och förfaranden för elektroniska informationssystem som upprätthåller elektronisk skyddad hälsoinformation för att endast tillåta åtkomst till de personer eller program som har beviljats åtkomsträttigheter enligt § 164.308(a)(4).

• Granskningskontroller – Implementera mekanismer för maskinvara, programvara och/eller procedurer som registrerar och undersöker aktiviteter i informationssystem som innehåller eller använder elektronisk skyddad hälsoinformation.

• Integritetskontroller – Implementera principer och procedurer för att skydda elektronisk skyddad hälsoinformation från felaktig ändring eller förstörelse.

• Person- eller entitetsautentisering – Implementera procedurer för att verifiera att en person eller entitet som söker åtkomst till elektronisk skyddad hälsoinformation är den som begärs.

• Överföringssäkerhet – Implementera tekniska säkerhetsåtgärder för att skydda mot obehörig åtkomst till elektronisk skyddad hälsoinformation som överförs via ett elektroniskt kommunikationsnätverk.

HSR definierar underdelar som standard, tillsammans med nödvändiga och adresserbara implementeringsspecifikationer. Alla måste implementeras. Den "adresserbara" beteckningen anger att en specifikation är rimlig och lämplig. Adresserbar betyder inte att en implementeringsspecifikation är valfri. Därför krävs även underdelar som definieras som adresserbara.

De återstående artiklarna i den här serien innehåller vägledning och länkar till resurser, ordnade efter nyckelområden och tekniska skyddsåtgärder. För varje nyckelområde finns det en tabell med relevanta skyddsåtgärder listade och länkar till Microsoft Entra-vägledning för att utföra skyddet.

Läs mer

• HHS-Nolltillit i Pdf-format för hälso- och sjukvård

• Kombinerad förordningstext för alla HIPAA Administrativa förenklingsförordningar som finns på 45 CFR 160, 162 och 164

• Kodifiera av federala reglemente (CFR) Avdelning 45 som beskriver den offentliga välfärden portionr av regleringen

• Del 160 som beskriver de allmänna administrativa kraven i avdelning 45

• Del 164 Underdelar A och C som beskriver säkerhets- och sekretesskraven i avdelning 45

• HIPAA Security Risk Valv guard Tool

• NIST HSR Toolkit

Nästa steg

• Vägledning för åtkomstkontroller Valv guard

• Vägledning om granskningskontroller Valv guard

• Andra riktlinjer för Valv guard

• Konfigurera HITRUST-kontroller