設定 HIPAA 合規性的 Microsoft Entra 識別碼

microsoft Entra ID 之類的 Microsoft 服務 可協助您符合 1996 年健康保險可移植性和責任法案 （HIPAA） 的身分識別相關需求。

HIPAA 安全性規則 （HSR） 會建立標準，以保護由涵蓋實體所建立、接收、使用或維護的個人電子個人健康資訊。 HSR 由美國衛生與人類服務部管理，並要求適當的系統管理、實體和技術保護措施，以確保電子保護健康資訊的機密性、完整性和安全性。

技術保障要求和目標定義在《聯邦條例（CCR）》第45章中。 標題 45 的第 160 部分提供一般系統管理需求，第 164 部分的子元件 A 和 C 描述安全性和隱私權需求。

Subpart • 164.304 將技術保障定義為技術保障，以及其使用的原則和程式，以保護電子保護的健康資訊，並控制其存取權。 HHS 還概述醫療保健組織在實作 HIPAA 技術保障時要考慮的重要領域。 從 • 164.312 技術防護：

• 存取控制 - 實作電子資訊系統的技術原則和程式，以維護電子保護的健康資訊，只允許存取已授與訪問許可權的人員或軟體程式， 如 164.308（a）（4） 中所述。

• 稽核控制 - 實作硬體、軟體及/或程式機制，記錄及檢查包含或使用電子受保護健康資訊之資訊系統中的活動。

• 完整性控制 - 實作原則和程式，以保護電子保護的健康資訊免於不當的改變或破壞。

• 人員或實體驗證 - 實作程式，確認尋求存取電子受保護健康情況資訊的個人或實體是所宣告的。

• 傳輸安全性 - 實作技術安全性措施，以防止未經授權存取透過電子通信網路傳輸的電子受保護健康資訊。

HSR 會將子元件定義為標準，以及必要和可尋址的實作規格。 所有都必須實作。 「可尋址」指定表示規格是合理且適當的。 可尋址並不表示實作規格是選擇性的。 因此，也需要定義為可尋址的子元件。

本系列中的其餘文章提供由重點領域和技術保障組織的資源指引和連結。 針對每個關鍵區域，有一個數據表列出相關的保護措施，以及 Microsoft Entra 指引的連結來完成保護。

深入了解

• 醫療保健 pdf 中的 HHS 零信任

• 45 CFR 160、162 和 164 發現所有 HIPAA 管理員 簡化條例的合併法規文本

• 聯邦法規（CFR）第45 標題，描述條例的公益部分

• 第 160 部分說明標題 45 的一般系統管理需求

• 第 164 部分 A 和 C 部分描述標題 45 的安全性和隱私權需求

• HIPAA 安全性風險 保管庫 guard 工具

• NIST HSR 工具組

下一步

• 存取控制 保管庫 guard 指引

• 稽核控件 保管庫 guard 指引

• 其他 保管庫 guard 指引

• 設定 HITRUST 控制件