健康資訊信任聯盟 (HITRUST) 一般安全性架構 (CSF)
HITRUST CSF 概觀
健康情況資訊信任聯盟 (HITRUST) 是由醫療保健產業的代表所控管的組織。 HITRUST 會建立並維護 Common Security Framework (CSF) ,這是可認證的架構,可協助醫療保健組織及其提供者以一致且簡化的方式來示範其安全性與合規性。
CSF是以 HIPAA 和 HITECH 法案為基礎,也就是美國醫療保健法,這些法律已針對個別可識別的健康情況資訊的使用、揭露和保護,以及強制執行不相容性制定需求。 HITRUST 提供基準檢驗 —標準化的合規性架構、評量和認證程式—雲端服務提供者和涵蓋的健康情況實體可以針對此程式測量合規性。 CSF 也包含來自現有架構的醫療保健特定安全性、隱私權和其他法規需求,例如支付卡產業數據安全標準 (PCI-DSS) 、 ISO/IEC 27001 資訊安全性管理標準,以及 EXCHANGE (MARS-E) 的最低可接受風險標準。
CSF 分為 19 個不同的網域,包括端點保護、行動裝置安全性和訪問控制。 HITRUST 會針對這些控件認證 IT 供應專案。 HITRUST 也會根據組織、系統和法規因素,將認證需求調整為組織的風險。
健康資訊信任聯盟 (HITRUST) 一般安全性架構 (CSF)
HITRUST 提供三種程度的保證或評量層級:自我評定、已驗證 CSF 和 CSF 認證。 每個層級都會在下方的層級上建置越來越嚴謹。 具有最高層級 CSF 認證的組織,符合 CSF 的所有認證需求。 Microsoft Azure 和 Office 365 是第一個獲得 HITRUST CSF 認證的超大規模資料庫雲端服務。 HITRUST 評估公司 Coalfire 會根據 Azure 和 Office 365 如何實作安全性、隱私權和法規需求來保護敏感性資訊,來執行評定。 Microsoft支援 HITRUST 共用責任計劃。
瞭解如何使用我們的 Azure 安全性與合規性藍圖來加速您的 HITRUST 部署。
下載 Microsoft Azure HITRUST 客戶責任矩陣 (CRM) 藍圖 v9.0d
Microsoft 範圍內雲端平台與服務
- Azure 和 Azure Government
- Intune
- Microsoft 受管理的電腦
- Office 365
- Windows 365 (商業)
Azure、Dynamics 365 和 HITRUST
如需 Azure、Dynamics 365 和其他 線上服務 合規性的詳細資訊,請參閱 Azure HITRUST 供應專案。
Office 365和 HITRUST
Office 365環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋下列 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
適用性 | 範圍內服務 |
---|---|
商業 | 活動摘要服務、Bing 服務、Delve、Exchange Online Protection、Exchange Online、Microsoft Teams、Office 365 Customer Portal、Office Online、Office Service Infrastructure、Office Usage Reports、商務用 OneDrive、人員 Card、SharePoint Online、商務用 Skype、Windows Ink |
Office 365 稽核、報告和認證
#D9B0EA8A904F34D44B1611821C71CD1ED 的 HITRUST CSF 認證有效期為兩年。
常見問題集
為什麼某些 Office 365 服務不在此認證範圍內?
相較於其他雲端服務提供者,Microsoft提供最完整的供應專案。 為了跟上跨區域和產業的廣泛合規性供應項目,我們會根據市場需求、客戶意見反應和產品生命週期,將服務納入保證工作範圍內。 如果服務未包含在特定合規性供應專案的目前範圍中,您的組織必須負責根據您的合規性義務來評估風險,並判斷您在該服務中處理數據的方式。 我們會持續收集客戶的意見反應,並與監管者和稽核員合作,以擴充合規性涵蓋範圍,以符合您的安全性與合規性需求。
Microsoft認證是否表示我的組織使用 Office 365,它符合 HITRUST CSF 的規範?
當您將數據儲存在類似 Office 365 的 SaaS 中時,Microsoft與貴組織之間共同負責達成合規性。 Microsoft管理大部分的基礎結構控制器,包括實體安全性、網路控制、應用層級控制等,而且您的組織必須負責管理存取控制和保護您的敏感數據。 Office 365 HITRUST 認證會示範Microsoft控制架構的合規性。 基於這個基礎,您的組織必須實作和維護您自己的數據保護控件,以符合HITRUST CSF 需求。
使用 Office 365 時,Microsoft是否為我的組織提供實作適當控件的指引?
是,您可以在合規性管理員、跨Microsoft雲端解決方案中找到建議的客戶動作,以協助您的組織在使用雲端服務時符合複雜的合規性義務。 具體而言,針對 HITRUST CSF,建議您在合規性管理員中使用 NIST 800-53 和 NIST CSF 評量來執行風險評估。 在評量中,我們會提供您逐步指引,以及可用來實作數據保護控件的Microsoft解決方案。 您可以在 Purview 合規性管理員Microsoft深入了解 合規性管理員。
使用 Microsoft Purview 合規性管理員來評估您的風險
Microsoft Purview 合規性管理員是 Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何 在合規性管理員中建置和管理評定。