Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST – CSF-ÜbersichtHITRUST — CSF overview

Die Health Information Trust Alliance (HITRUST) ist eine Organisation, die von Vertretern der Gesundheitsbranche kontrolliert wird.The Health Information Trust Alliance (HITRUST) is an organization governed by representatives from the healthcare industry. HITRUST hat das Common Security Framework (CSF) erstellt und verwaltet, ein zertifiziertes Framework, mit dem Organisationen im Gesundheitswesen und ihre Anbieter ihre Sicherheit und Compliance auf konsistente und optimierte Weise demonstrieren können.HITRUST created and maintains the Common Security Framework (CSF), a certifiable framework to help healthcare organizations and their providers demonstrate their security and compliance in a consistent and streamlined manner.

Der CSF baut auf HIPAA und dem HITECH Act auf, bei denen es sich um US-Gesundheitsgesetze handelt, die Anforderungen für die Verwendung, Offenlegung und den Schutz von individuell identifizierbaren Gesundheitsinformationen festgelegt haben und die Nichtcompliance erzwingen.The CSF builds on HIPAA and the HITECH Act, which are US healthcare laws that have established requirements for the use, disclosure, and safeguarding of individually identifiable health information, and that enforce noncompliance. HITRUST bietet einen Benchmark – einen standardisierten Complianceframework, bewertungs- und Zertifizierungsprozess – für den Clouddienstanbieter und erfasste Integritätsentitäten die Compliance messen können.HITRUST provides a benchmark — a standardized compliance framework, assessment, and certification process — against which cloud service providers and covered health entities can measure compliance. Das CSF umfasst auch gesundheitsspezifische Sicherheits-, Datenschutz- und andere gesetzliche Anforderungen aus vorhandenen Frameworks wie dem Payment Card Industry Data Security Standard (PCI-DSS), ISO/IEC 27001 Information Security Management Standards und Minimum Acceptable Risk Standards for Exchanges (MARS-E).The CSF also incorporates healthcare-specific security, privacy, and other regulatory requirements from such existing frameworks as the Payment Card Industry Data Security Standard (PCI-DSS), ISO/IEC 27001 information security management standards, and Minimum Acceptable Risk Standards for Exchanges (MARS-E).

Der CSF ist in 19 verschiedene Domänen unterteilt, einschließlich Endpunktschutz, Sicherheit mobiler Geräte und Zugriffssteuerung.The CSF is divided into 19 different domains, including endpoint protection, mobile device security, and access control. HITRUST zertifiziert it-Angebote für diese Steuerelemente.HITRUST certifies IT offerings against these controls. HITRUST passt außerdem die Anforderungen für die Zertifizierung basierend auf organisatorischen, systembasierten und regulatorischen Faktoren an die Risiken einer Organisation an.HITRUST also adapts requirements for certification to the risks of an organization based on organizational, system, and regulatory factors.

Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST bietet drei Zuverlässigkeitsgrade oder Bewertungsebenen: Selbstbewertung, CSF-validiert und CSF-zertifiziert.HITRUST offers three degrees of assurance, or levels of assessment: self-assessment, CSF validated, and CSF-certified. Jede Ebene baut mit zunehmender Strenge auf der darunter stehenden Ebene auf.Each level builds with increasing rigor on the one below it. Eine Organisation mit der höchsten CsF-Zertifizierungsstufe erfüllt alle Zertifizierungsanforderungen des CSF.An organization with the highest level, CSF-certified, meets all the certification requirements of the CSF. Microsoft Azure und Office 365 sind die ersten Hyperscale-Clouddienste, die eine Zertifizierung für den HITRUST-CSF erhalten.Microsoft Azure and Office 365 are the first hyperscale cloud services to receive certification for the HITRUST CSF. Coalfire, ein HiTRUST-Assessor-Unternehmen, hat die Bewertungen basierend darauf durchgeführt, wie Azure und Office 365 Sicherheits-, Datenschutz- und behördliche Anforderungen zum Schutz vertraulicher Informationen implementieren.Coalfire, a HITRUST assessor firm, performed the assessments based on how Azure and Office 365 implement security, privacy, and regulatory requirements to protect sensitive information. Microsoft unterstützt das HITRUST Shared Responsibility Program.Microsoft supports the HITRUST Shared Responsibility Program.

Erfahren Sie, wie Sie Ihre BEREITSTELLUNG von HITRUST mit unserem Azure Security and Compliance Blueprint beschleunigen können.Learn how to accelerate your HITRUST deployment with our Azure Security and Compliance Blueprint.

Laden Sie den Microsoft Azure HITRUST Customer Responsibility Matrix (CRM)-Blueprint v9.0d herunter.Download the Microsoft Azure HITRUST Customer Responsibility Matrix (CRM) blueprint v9.0d

Microsoft-Clouddienste im LeistungsumfangMicrosoft in-scope cloud services

Audits, Berichte und ZertifikateAudits, reports, and certificates

Die HITRUST -CSF-Zertifizierung von Azure und Office 365 ist zwei Jahre gültig.The HITRUST CSF certification of Azure and Office 365 is valid for two years.

Beschleunigen Sie die Bereitstellung von HIPAA/HITRUST-Lösungen auf AzureAccelerate your deployment of HIPAA/HITRUST solutions on Azure

Nutzen Sie die Vorteile der Cloud für Gesundheitsdatenlösungen mit der Azure-Blaupause für Sicherheit und Compliance – HIPAA/HITRUST-Gesundheitsdaten und AI.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint — HIPAA/HITRUST Health Data and AI. Diese Blaupause bietet Tools und Anleitungen, die Ihnen bei den ersten Schritten der Erstellung von HIPAA/HITRUST-Lösungen helfen.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Beginnen Sie mit der Verwendung der Azure HIPAA/HITRUST-BlaupauseStart using the Azure HIPAA/HITRUST Blueprint

Beschleunigen der HIPAA/HITRUST-Compliance bei Verwendung von Office 365Accelerate your HIPAA/HITRUST compliance when using Office 365

Verwenden Sie Office 365, um Integritätsinformationen auf sichere und kompatible Weise mit der Compliancebewertung zu verwalten, mit der Sie Risikobewertungen für Gesundheitsbestimmungen wie HIPAA und Sicherheitskontrollframework wie NIST CSF und NIST 800-53 durchführen können.Use Office 365 to manage health information in a secure and compliant way with Compliance Score, which enables you to perform risk assessments against health regulations like HIPAA and security control frameworks like NIST CSF and NIST 800-53. Sie können schrittweise Anleitungen befolgen, um zu erfahren, wie Sie Datenschutzkontrollen implementieren und verwalten, die Ihnen bei der Erfüllung der Complianceverpflichtungen im Gesundheitswesen helfen.You can follow step-by-step guidance to know how to implement and maintain data protection controls that help you meet healthcare compliance obligations.

Verwenden der Compliance-BewertungStart using Compliance Score

Zusammenarbeit mit Microsoft im HITRUST Shared Responsibility ProgramCollaborate with Microsoft in the HITRUST Shared Responsibility Program

Beschleunigen Sie das Erreichen von HITRUST Compliance für Ihre in Microsoft Azure gehostete Lösung, indem Sie Ihre Bewertung mit vollständig vererbten oder gemeinsamen Verantwortlichkeitssteuerelementen für Azure im HITRUST MyCSF-Tool vorab auffüllen und bei Ihrer Bewertung mit Microsoft zusammenarbeiten.Accelerate achieving HITRUST compliance for your solution hosted on Microsoft Azure by pre-populating your assessment with fully inherited or shared responsibility controls for Azure in the HITRUST MyCSF tool, and collaborating with Microsoft on your assessment.

Weitere InformationenLearn more

Häufig gestellte FragenFrequently asked questions

Kann ich die Azure HITRUST Compliance verwenden, um auf dem Zertifizierungsprozess meiner Organisation aufzubauen?Can I use the Azure HITRUST compliance to build on my organization's certification process?

JaYes. Wenn Ihr Unternehmen eine HITRUST-Zertifizierung für Implementierungen benötigt, die in Microsoft Services bereitgestellt werden, können Sie auf Azure HITRUST Compliance aufbauen, wenn Sie Ihre Compliancebewertung durchführen.If your business requires a HITRUST certification for implementations deployed on Microsoft services, you can build on Azure HITRUST compliance when you conduct your compliance assessment. Sie sind jedoch für die Auswertung der ANFORDERUNGEN und Kontrollen von HITRUST innerhalb Ihrer eigenen Organisation verantwortlich.However, you are responsible for evaluating the HITRUST requirements and controls within your own organization.

Wie kann ich eine Kopie der HITRUST-Zertifizierung erhalten?How can I get a copy of the HITRUST certification?

Sie können eine Kopie des Zertifizierungsschreibens für Azure und Office 365 herunterladen.You can download a copy of letter of certification for Azure and Office 365.

Was sind die In-Scope-Dienste für Office 365?What are the in-scope services for Office 365?

Die im Umfang von HITRUST#A0 angebotenen Dienste sind Exchange Online-Archivierung, Exchange Online Protection, Exchange Online, Skype for Business, Admin Center, SharePoint Online, Project Online, OneDrive for Business, Office Online, MyAnalytics, Microsoft Teams, Microsoft 365 Apps for Enterprise in Office 365 Multi-Tenant Cloud und Office 365 GCC.The in-scope services of HITRUST CSF certification are Exchange Online Archiving, Exchange Online Protection, Exchange Online, Skype for Business, Admin Center, SharePoint Online, Project Online, OneDrive for Business, Office Online, MyAnalytics, Microsoft Teams, Microsoft 365 Apps for enterprise in Office 365 Multi-tenant cloud and Office 365 GCC.

Hinweis

Microsoft 365 Apps for Enterprise ermöglicht den Zugriff auf verschiedene Clouddienste, z. B. Roamingeinstellungen, Lizenzierung und OneDrive-Consumer-Cloudspeicher, und kann künftig den Zugriff auf zusätzliche Clouddienste ermöglichen.Microsoft 365 Apps for enterprise enables access to various cloud services, such as Roaming Settings, Licensing, and OneDrive consumer cloud storage, and may enable access to additional cloud services in the future. Roamingeinstellungen und -lizenzierung unterstützen die Standards für HITRUST.Roaming Settings and Licensing support the standards for HITRUST. Dieser Standard wird von OneDrive Consumer Cloud Storage nicht unterstützt, und andere Clouddienste, auf die über Microsoft 365 Apps for Enterprise zugegriffen werden kann und die Microsoft in Zukunft möglicherweise anbieten wird, unterstützen diese Standards nicht.*OneDrive consumer cloud storage does not, and other cloud services that are accessible through Microsoft 365 Apps for enterprise and that Microsoft may offer in the future also may not, support these standards.*

Warum gehören einige Office 365-Dienste nicht zum Umfang dieser Zertifizierung?Why are some Office 365 services not in the scope of this certification?

Microsoft bietet im Vergleich zu anderen Clouddienstanbietern die umfassendsten Angebote.Microsoft provides the most comprehensive offerings compared to other cloud service providers. Um mit unseren breiten Complianceangeboten über Regionen und Branchen hinweg auf dem Ganzen zu bleiben, umfassen wir Dienstleistungen im Rahmen unserer Zuverlässigkeitsbemühungen basierend auf der Marktbedarf, Kundenfeedback und dem Produktlebenszyklus.To keep up with our broad compliance offerings across regions and industries, we include services in the scope of our assurance efforts based on the market demand, customer feedback, and product lifecycle. Wenn ein Dienst nicht im aktuellen Umfang eines bestimmten Complianceangebots enthalten ist, ist Ihre Organisation dafür verantwortlich, die Risiken basierend auf Ihren Complianceverpflichtungen zu bewerten und die Art und Weise zu bestimmen, wie Sie die Daten in diesem Dienst verarbeiten.If a service is not included in the current scope of a specific compliance offering, your organization has the responsibility to assess the risks based on your compliance obligations and determine the way you process the data in that service. Wir sammeln kontinuierlich Feedback von Kunden und arbeiten mit Regulierungsbehörden und Auditoren zusammen, um unsere Complianceabdeckung zu erweitern, um Ihre Sicherheits- und Complianceanforderungen zu erfüllen.We continuously collect feedback from customers and work with regulators and auditors to expand our compliance coverage to meet your security and compliance needs.

Bedeutet die Microsoft-Zertifizierung, dass, wenn meine Organisation Azure oder Office 365 verwendet, hiTRUST-CSF-konform ist?Does Microsoft certification mean that if my organization uses Azure or Office 365, it is compliant with HITRUST CSF?

Wenn Sie Ihre Daten in einem SaaS wie Office 365 speichern, liegt es in der gemeinsamen Verantwortung zwischen Microsoft und Ihrer Organisation, Compliance zu erreichen.When you store your data in a SaaS like Office 365, it’s a shared responsibility between Microsoft and your organization to achieve compliance. Microsoft verwaltet den Großteil der Infrastrukturkontrollen, einschließlich physischer Sicherheit, Netzwerksteuerelemente, Steuerungen auf Anwendungsebene usw., und Ihre Organisation ist dafür verantwortlich, Zugriffssteuerungen zu verwalten und Ihre vertraulichen Daten zu schützen.Microsoft manages majority of the infrastructure controls including physical security, network controls, application level controls, etc., and your organization has the responsibility to manage access controls and protect your sensitive data. Die Office 365 -HITRUST-Zertifizierung veranschaulicht die Compliance des Microsoft-Kontrollframework.The Office 365 HITRUST certification demonstrates the compliance of Microsoft’s control framework. Auf dieser Aufbauend muss Ihre Organisation Ihre eigenen Datenschutzkontrollen implementieren und verwalten, um die ANFORDERUNGEN von HITRUST CSF zu erfüllen.Building on that, your organization needs to implement and maintain your own data protection controls to meet HITRUST CSF requirements.

Bietet Microsoft Anleitungen für meine Organisation zum Implementieren geeigneter Steuerelemente bei der Verwendung von Office 365?Does Microsoft provide guidance for my organization to implement appropriate controls when using Office 365?

Ja, sie finden empfohlene Kundenaktionen in der Compliance-Bewertung, in microsoftübergreifenden Cloudlösungen, mit denen Ihre Organisation komplexe Complianceverpflichtungen bei der Verwendung von Clouddiensten erfüllen kann.Yes, you can find recommended customer actions in Compliance Score, cross-Microsoft Cloud solutions that help your organization meet complex compliance obligations when using cloud services. Insbesondere für HITRUST-CSF wird empfohlen, Risikobewertungen mithilfe der NIST 800-53- und NIST -CSF-Bewertungen in der Compliancebewertung durchzuführen.Specifically, for HITRUST CSF, we recommend that you perform risk assessments using the NIST 800-53 and NIST CSF assessments in Compliance Score. In den Bewertungen stellen wir Ihnen schrittweise Anleitungen und die Microsoft-Lösungen zur Verfügung, mit deren Hilfe Sie Ihre Datenschutzsteuerelemente implementieren können.In the assessments, we provide you with step-by-step guidance and the Microsoft solutions you can use to implement your data protection controls. Weitere Informationen zur Compliance-Bewertung finden Sie in der Microsoft Compliance-Bewertung.You can learn more about Compliance Score in Microsoft Compliance Score.

Wie greift ich auf Microsoft zu?How do I engage with Microsoft?

Melden Sie sich beim HITRUST MyCSF®-Tool an, und füllen Sie Ihre Bewertung für Ihre in Microsoft Azure gehostete Lösung vorab mit vollständig vererbten oder gemeinsamen Verantwortlichkeitssteuerelementen für Azure auf.Log in to the HITRUST MyCSF® tool and pre-populate your assessment for your solution hosted on Microsoft Azure with either fully inherited or shared responsibility controls for Azure. Ein Microsoft -HITRUST-Administrator schließt dann seinen Teil der Bewertung mit dem Konto im Tool MyCSF® ab.A Microsoft HITRUST Administrator will then complete their part of the assessment using their account on the MyCSF® tool.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen in Compliance Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources