Annan skyddsvägledning
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd (Health Insurance Portability and Accountability Act of 1996). För att vara HIPAA-kompatibel är det företagens ansvar att implementera skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs. Den här artikeln innehåller vägledning för att uppnå HIPAA-efterlevnad för följande tre kontroller:
- Integritet Valv guard
- Person- eller entitetsautentisering Valv skydd
- Transmission Security Valv guard
Vägledning för integritetsskydd
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd. För att vara HIPAA-kompatibel implementerar du skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs.
För datamodifieringen Valv guard:
Skydda filer och e-postmeddelanden på alla enheter.
Identifiera och klassificera känsliga data.
Kryptera dokument och e-postmeddelanden som innehåller känsliga eller personliga data.
Följande innehåll innehåller vägledning från HIPAA följt av en tabell med Microsofts rekommendationer och vägledning.
HIPAA – integritet
Implement security measures to ensure that electronically transmitted electronic protected health information isn't improperly modified without detection until disposed of.
| Rekommendation | Åtgärd |
|---|---|
| Aktivera Microsoft Purview Information Protection (IP) | Identifiera, klassificera, skydda och styra känsliga data, som omfattar lagring och data som överförs. Genom att skydda dina data via Microsoft Purview IP kan du fastställa datalandskapet, granska ramverket och vidta aktiva åtgärder för att identifiera och skydda dina data. |
| Konfigurera exchange-undantag på plats | Exchange Online innehåller flera inställningar för att stödja eDiscovery. Undantag på plats använder specifika parametrar för vilka objekt som ska lagras. Beslutsmatrisen kan baseras på nyckelord, avsändare, kvitton och datum. Microsoft Purview eDiscovery-lösningar är en del av efterlevnadsportal i Microsoft Purview och omfattar alla Microsoft 365-datakällor. |
| Konfigurera secure/multipurpose Internet Mail-tillägget på Exchange Online | S/MIME är ett protokoll som används för att skicka digitalt signerade och krypterade meddelanden. Den baseras på asymmetrisk nyckelparning, en offentlig och privat nyckel. Exchange Online tillhandahåller kryptering och skydd av innehållet i e-postmeddelandet och signaturer som verifierar avsändarens identitet. |
| Aktivera övervakning och loggning. | Loggning och övervakning är viktiga för att skydda en miljö. Informationen används för att stödja undersökningar och hjälpa till att identifiera potentiella hot genom att identifiera ovanliga mönster. Aktivera loggning och övervakning av tjänster för att minska risken för obehörig åtkomst. Microsoft Purview-granskning ger insyn i granskade aktiviteter mellan tjänster i Microsoft 365. Det hjälper undersökningar genom att öka kvarhållningen av granskningsloggar. |
Skyddsvägledning för person- eller entitetsautentisering
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd. För att vara HIPAA-kompatibel implementerar du skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs.
För gransknings- och person- och entitets-Valv guard:
Kontrollera att slutanvändaranspråket är giltigt för dataåtkomst.
Identifiera och minimera eventuella risker för data som lagras.
Följande innehåll innehåller vägledning från HIPAA följt av en tabell med Microsofts rekommendationer och vägledning.
HIPAA – person- eller entitetsautentisering
Implement procedures to verify that a person or entity seeking access to electronic protected health information is the one claimed.
Se till att användare och enheter som har åtkomst till ePHI-data har behörighet. Du måste se till att enheterna är kompatibla och att åtgärder granskas för att flagga risker för dataägarna.
| Rekommendation | Åtgärd |
|---|---|
| Aktivera multifaktorautentisering | Microsoft Entra multifaktorautentisering skyddar identiteter genom att lägga till ett extra säkerhetslager. Det extra lagret är ett effektivt sätt att förhindra obehörig åtkomst. MFA möjliggör kravet på mer validering av inloggningsuppgifter under autentiseringsprocessen. Att konfigurera Authenticator-appen ger verifiering med ett klick, eller så kan du konfigurera lösenordslös konfiguration i Microsoft Entra. |
| Aktivera principer för villkorsstyrd åtkomst | Principer för villkorlig åtkomst hjälper till att begränsa åtkomsten till endast godkända program. Microsoft Entra analyserar signaler från antingen användaren, enheten eller platsen för att automatisera beslut och framtvinga organisationsprinciper för åtkomst till resurser och data. |
| Konfigurera enhetsbaserad princip för villkorsstyrd åtkomst | Villkorlig åtkomst med Microsoft Intune för enhetshantering och Microsoft Entra-principer kan använda enhetsstatus för att antingen bevilja neka åtkomst till dina tjänster och data. Genom att distribuera enhetsefterlevnadsprinciper avgör den om den uppfyller säkerhetskrav för att fatta beslut om att antingen tillåta åtkomst till resurserna eller neka dem. |
| Använda rollbaserad åtkomstkontroll (RBAC) | RBAC i Microsoft Entra ID ger säkerhet på företagsnivå, med ansvarsfördelning. Justera och granska behörigheter för att skydda sekretess, sekretess och åtkomsthantering för resurser och känsliga data med systemen. Microsoft Entra-ID ger stöd för inbyggda roller, vilket är en fast uppsättning behörigheter som inte kan ändras. Du kan också skapa egna anpassade roller där du kan lägga till en förinställd lista. |
Vägledning för skydd av överföringssäkerhet
Microsoft Entra ID uppfyller identitetsrelaterade praxiskrav för implementering av HIPAA-skydd. För att vara HIPAA-kompatibel implementerar du skyddsåtgärderna med hjälp av den här vägledningen tillsammans med andra konfigurationer eller processer som behövs.
För kryptering:
Skydda datasekretess.
Förhindra datastöld.
Förhindra obehörig åtkomst till PHI.
Se till att krypteringsnivån för data är korrekt.
Så här skyddar du överföringen av PHI-data:
Skydda delning av PHI-data.
Skydda åtkomsten till PHI-data.
Kontrollera att data som överförs är krypterade.
Följande innehåll innehåller en lista över vägledningen audit and transmission security Valv guard från HIPAA-vägledningen och Microsofts rekommendationer så att du kan uppfylla kraven på säkerhetsimplementering med Microsoft Entra-ID.
HIPAA – kryptering
Implement a mechanism to encrypt and decrypt electronic protected health information.
Kontrollera att ePHI-data krypteras och dekrypteras med den kompatibla krypteringsnyckeln/processen.
| Rekommendation | Åtgärd |
|---|---|
| Granska Microsoft 365-krypteringspunkter | Kryptering med Microsoft Purview i Microsoft 365 är en mycket säker miljö som erbjuder omfattande skydd i flera lager: det fysiska datacentret, säkerhet, nätverk, åtkomst, program och datasäkerhet. Granska krypteringslistan och ändra om mer kontroll krävs. |
| Granska databaskryptering | Transparent datakryptering lägger till ett säkerhetslager för att skydda vilande data från obehörig eller offlineåtkomst. Den krypterar databasen med hjälp av AES-kryptering. Dynamisk datamaskning för känsliga data, vilket begränsar exponeringen av känsliga data. Den maskerar data för icke-auktoriserade användare. Maskeringen innehåller avsedda fält som du definierar i ett databasschemanamn, tabellnamn och kolumnnamn. Nya databaser krypteras som standard och databaskrypteringsnyckeln skyddas av ett inbyggt servercertifikat. Vi rekommenderar att du granskar databaser för att säkerställa att kryptering har angetts för dataegendomen. |
| Granska Azure Encryption-punkter | Azure-krypteringsfunktionen omfattar viktiga områden från vilande data, krypteringsmodeller och nyckelhantering med hjälp av Azure Key Vault. Granska de olika krypteringsnivåerna och hur de matchar scenarier i din organisation. |
| Utvärdera datainsamling och kvarhållningsstyrning | Livscykelhantering av data i Microsoft Purview kan du tillämpa kvarhållningsprinciper. Hantering av arkivhandlingar i Microsoft Purview gör att du kan använda kvarhållningsetiketter. Den här strategin hjälper dig att få insyn i tillgångar i hela dataegendomen. Den här strategin hjälper dig också att skydda och hantera känsliga data i moln, appar och slutpunkter. Viktigt: Som anges i 45 CFR 164.316: Tidsgräns (krävs). Behåll den dokumentation som krävs enligt punkt b(1) i det här avsnittet i sex år från den dag då den skapades, eller det datum då den senast trädde i kraft, beroende på vilket som infaller senare. |
HIPAA – skydda överföring av PHI-data
Implement technical security measures to guard against unauthorized access to electronic protected health information that is being transmitted over an electronic communications network.
Upprätta principer och procedurer för att skydda datautbyte som innehåller PHI-data.
| Rekommendation | Åtgärd |
|---|---|
| Utvärdera tillståndet för lokala program | Implementeringen av Microsoft Entra-programproxy publicerar lokala webbprogram externt och på ett säkert sätt. Med Microsoft Entra-programproxyn kan du på ett säkert sätt publicera en extern URL-slutpunkt i Azure. |
| Aktivera multifaktorautentisering | Microsoft Entra multifaktorautentisering skyddar identiteter genom att lägga till ett säkerhetslager. Att lägga till fler säkerhetslager är ett effektivt sätt att förhindra obehörig åtkomst. MFA möjliggör kravet på mer validering av inloggningsuppgifter under autentiseringsprocessen. Du kan konfigurera Authenticator-appen för att tillhandahålla verifiering med ett klick eller lösenordsfri autentisering. |
| Aktivera principer för villkorlig åtkomst för programåtkomst | Principer för villkorlig åtkomst hjälper till att begränsa åtkomsten till godkända program. Microsoft Entra analyserar signaler från antingen användaren, enheten eller platsen för att automatisera beslut och framtvinga organisationsprinciper för åtkomst till resurser och data. |
| Granska EOP-principer (Exchange Online Protection) | Skydd mot skräppost och skadlig kod i Exchange Online ger inbyggd skadlig kod och skräppostfiltrering. EOP skyddar inkommande och utgående meddelanden och är aktiverat som standard. EOP-tjänster tillhandahåller också förfalskningsskydd, kvarteringsmeddelanden och möjlighet att rapportera meddelanden i Outlook. Principerna kan anpassas för att passa företagsomfattande inställningar. Dessa har företräde framför standardprinciperna. |
| Konfigurera känslighetsetiketter | Med känslighetsetiketter från Microsoft Purview kan du klassificera och skydda dina organisationsdata. Etiketterna tillhandahåller skyddsinställningar i dokumentationen till containrar. Verktyget skyddar till exempel dokument som lagras på Microsoft Teams- och SharePoint-webbplatser för att ange och tillämpa sekretessinställningar. Utöka etiketter till filer och datatillgångar som SQL, Azure SQL, Azure Synapse, Azure Cosmos DB och AWS RDS. Utöver de 200 inbyggda typerna av känslig information finns det avancerade klassificerare som namnentiteter, träningsbara klassificerare och EDM för att skydda anpassade känsliga typer. |
| Utvärdera om en privat anslutning krävs för att ansluta till tjänster | Azure ExpressRoute skapar privata anslutningar mellan molnbaserade Azure-datacenter och infrastruktur som finns lokalt. Data överförs inte via det offentliga Internet. Tjänsten använder layer 3-anslutning, ansluter gränsroutern och ger dynamisk skalbarhet. |
| Utvärdera VPN-krav | Dokumentation om VPN Gateway ansluter ett lokalt nätverk till Azure via plats-till-plats, punkt-till-plats, VNet-till-VNet och VPN-anslutning med flera platser. Tjänsten stöder hybridarbetsmiljöer genom att tillhandahålla säker dataöverföring. |