健康信息信任联盟 (HITRUST) 共同安全框架 (CSF)

HITRUST CSF 概述

健康信息信任联盟 (HITRUST) 是由医疗保健行业代表管理的组织。 HITRUST 创建并维护了 Common Security Framework (CSF) ,这是一个可证明的框架,可帮助医疗保健组织及其提供商以一致且简化的方式展示其安全性和合规性。

CSF 以 HIPAA 和 HITECH 法案为基础,后者是美国医疗保健法,规定了使用、披露和保护单独身份的卫生信息的要求,并强制实施不合规。 HITRUST 提供了一个基准(标准化合规性框架、评估和认证流程),云服务提供商和涵盖的运行状况实体可以根据该基准衡量合规性。 CSF 还纳入了支付卡行业数据安全标准 (PCI-DSS) 、 ISO/IEC 27001 信息安全管理标准以及 EXCHANGE (MARS-E) 的最低可接受风险标准等现有框架中特定于医疗保健的安全、隐私和其他法规要求。

CSF 分为 19 个不同的域,包括终结点保护、移动设备安全性和访问控制。 HITRUST 针对这些控件认证 IT 产品/服务。 HITRUST 还根据组织、系统和监管因素将认证要求适应组织的风险。

健康信息信任联盟 (HITRUST) 共同安全框架 (CSF)

HITRUST 提供三度保证或评估级别:自我评估、CSF 验证和 CSF 认证。 每个级别在下面的级别上都具有越来越严格的生成。 具有最高级别 CSF 认证的组织满足 CSF 的所有认证要求。 Microsoft Azure 和Office 365是第一个获得 HITRUST CSF 认证的超大规模云服务。 HITRUST 评估师公司 Coalfire 根据 Azure 和Office 365如何实现安全、隐私和法规要求来保护敏感信息来执行评估。 Microsoft 支持 HITRUST 共享责任计划。

了解如何使用 Azure 安全性和符合性蓝图加速 HITRUST 部署。

下载 Microsoft Azure HITRUST 客户责任矩阵 (CRM) 蓝图 v9.0d

Microsoft 范围内云平台 & 服务

Azure、Dynamics 365 和 HITRUST

有关 Azure、Dynamics 365 和其他联机服务合规性的详细信息,请参阅 Azure HITRUST 产品/服务

Office 365和 HITRUST

Office 365环境

Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。

本部分介绍以下Office 365环境:

  • 客户端软件(客户端):客户设备上运行的商业客户端软件。
  • Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
  • Office 365 政府社区云 (GCC)Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
  • Office 365 政府社区云 - 高 (GCC High)Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
  • Office 365 DoD (DoD)Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。

使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。

你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。

Office 365 适用性和范围内的服务

使用下表确定 Office 365 服务和订阅的适用性:

适用性 范围内服务
商业 活动源服务、必应服务、Delve、Exchange Online Protection、Exchange Online、Microsoft Teams、Office 365客户门户、Office Online、Office 服务基础结构、Office 使用情况报告、OneDrive for Business、人员卡、SharePoint Online、Skype for Business、Windows Ink

Office 365 审核、报告及证书

Office 365的 HITRUST CSF 认证有效期为两年。

常见问题解答

为什么某些Office 365服务不在此认证范围内?

与其他云服务提供商相比,Microsoft 提供最全面的产品/服务。 为了跟上跨区域和行业的广泛合规性产品/服务,我们根据市场需求、客户反馈和产品生命周期将服务纳入了保证工作范围。 如果服务未包含在特定合规性产品/服务的当前范围内,则组织有责任根据合规性义务评估风险,并确定处理该服务中数据的方式。 我们不断收集客户的反馈,并与监管机构和审核员合作,扩大合规性覆盖范围,以满足你的安全和合规性需求。

Microsoft 认证是否意味着,如果我的组织使用Office 365,它符合 HITRUST CSF?

将数据存储在 Office 365 等 SaaS 中时,Microsoft 与组织共同负责实现合规性。 Microsoft 管理大多数基础结构控件,包括物理安全性、网络控制、应用程序级别控件等,组织负责管理访问控制和保护敏感数据。 OFFICE 365 HITRUST 认证演示了 Microsoft 控制框架的符合性。 基于此,组织需要实现和维护自己的数据保护控件,以满足 HITRUST CSF 要求。

Microsoft 是否指导我的组织在使用Office 365时实施适当的控制?

是的,你可以在合规性管理器(跨 Microsoft 云解决方案)中找到建议的客户操作,这些解决方案可帮助组织在使用云服务时履行复杂的合规性义务。 具体而言,对于 HITRUST CSF,我们建议在合规性管理器中使用 NIST 800-53 和 NIST CSF 评估执行风险评估。 在评估中,我们为你提供分步指南和可用于实现数据保护控件的 Microsoft 解决方案。 可以在 Microsoft Purview 合规性管理器中了解有关合规性管理器的详细信息。

使用 Microsoft Purview 合规性管理器评估风险

Microsoft Purview 合规性管理器Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况,并采取措施帮助降低风险。 合规性管理器提供了一个高级模板,用于对此法规建立评估。 在合规性管理器的“评估模板”页面中找到模板。 了解如何 在合规性管理器中生成和管理评估

资源