HITRUST CSF 概述
健康資訊信託聯盟 (HITRUST) 是一個由醫療產業代表治理的組織。 HITRUST 創建並維護 CSF) 共同安全框架 (,這是一個可認證的框架,協助醫療機構及其提供者以一致且流暢的方式展現其安全性與合規性。
CSF 建立在 HIPAA 與 HITECH 法案之上,這兩兩條美國醫療法律規定了使用、揭露及保護個人可識別健康資訊的要求,並嚴格執行違規行為。 HITRUST 提供一個基準——一套標準化的合規框架、評估與認證流程——讓雲端服務提供者及受規範的健康機構能以此衡量合規性。 CSF 也納入了來自現有框架中醫療專用的安全、隱私及其他監管要求,如支付卡產業資料安全Standard (PCI-DSS) 、ISO/IEC 27001 資訊安全管理標準,以及 MARS-E) (交易所最低可接受風險標準。
CSF 分為 19 個不同領域,包括端點保護、行動裝置安全及存取控制。 HITRUST 會根據這些控管標準認證 IT 產品。 HITRUST 也會根據組織、系統及監管因素,調整認證要求以符合組織風險。
健康資訊信任聯盟 (HITRUST) 一般安全性架構 (CSF)
HITRUST 提供三種保證等級或評估等級:自我評估、CSF 驗證及 CSF 認證。 每一關的難度都會在下一關上逐步提升。 擁有最高級別CSF認證的組織,即符合CSF的所有認證要求。 Microsoft Azure 與 Office 365 是首批獲得 HITRUST CSF 認證的超大規模雲端服務。 HITRUST 評估公司 Coalfire 根據 Azure 與 Office 365 如何實施安全、隱私及法規要求來保護敏感資訊進行評估。 Microsoft 支持 HITRUST 共同責任計畫。
了解如何透過我們的 Azure 安全與合規藍圖加速您的 HITRUST 部署。
下載Microsoft Azure HITRUST 客戶責任矩陣 (CRM) 藍圖 v9.0d
Microsoft 範圍內雲端平台與服務
- Azure 和 Azure Government
- Intune
- Microsoft 受管理的電腦
- Office 365
- Windows 365 (商業)
Azure, Dynamics 365, and HITRUST
欲了解更多關於 Azure、Dynamics 365 及其他線上服務合規的資訊,請參閱 Azure HITRUST 服務。
Office 365 與 HITRUST
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | 活動訂閱服務、Bing 服務、Delve、Exchange Online Protection、Exchange Online、Microsoft Teams、Office 365 客戶入口網站、Office Online、Office 服務基礎架構、Office 使用報告、商務用 OneDrive、人員卡、SharePoint Online,商務用 Skype,Windows Ink |
Office 365 稽核、報告和認證
Office 365 的 HITRUST CSF 認證有效期為兩年。
常見問題集
為什麼有些 Office 365 服務不在這項認證的範圍內?
與其他雲端服務供應商相比,Microsoft 提供最全面的服務。 為了持續掌握我們跨地區與產業的廣泛合規服務,我們將服務納入保證工作範圍,根據市場需求、客戶反饋及產品生命週期。 如果某項服務未包含在特定合規服務的現有範圍內,您的組織需根據合規義務評估風險,並決定如何處理該服務中的資料。 我們持續收集客戶回饋,並與監管機構及稽核員合作,擴大合規覆蓋範圍,以滿足您的安全與合規需求。
Microsoft 認證是否代表如果我的組織使用 Office 365,就符合 HITRUST CSF 的規範?
當你將資料儲存在像 Office 365 這樣的 SaaS 中時,Microsoft 與你的組織共同負責達成合規。 Microsoft 負責管理大部分基礎設施控制,包括實體安全、網路控制及應用層級控制。 您的組織負責管理存取控制並保護敏感資料。 Office 365 HITRUST 認證證明了 Microsoft 控制架構的合規性。 在此框架基礎上,您的組織需要實施並維護自己的資料保護控管,以符合 HITRUST CSF 的要求。
Microsoft 是否會指導我的組織在使用 Office 365 時實施適當的控制措施?
是的,您可以在 Compliance Manager 中找到推薦的客戶行動,這是跨 Microsoft 雲端解決方案,幫助你的組織在使用雲端服務時達成複雜的合規義務。 針對HITRUST CSF,我們建議您使用 NIST 800-53 及 NIST CSF 評估,在合規管理軟體中進行風險評估。 在評估中,我們會提供逐步指導及 Microsoft 解決方案,協助你實施資料保護控制措施。 你可以在 Microsoft Purview Compliance Manager 中了解更多關於合規管理員的資訊。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施以降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 學習如何在 合規管理工具中建立和管理評估。