Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

ÜBERSICHT ÜBER HITRUST CSF

Die Health Information Trust Alliance (HITRUST) ist eine Organisation, die von Mitarbeitern aus der Gesundheitsbranche verwaltet wird. HITRUST hat das Common Security Framework (CSF) erstellt und verwaltet, ein zertifizierungsfähiges Framework, das Organisationen im Gesundheitswesen und ihren Anbietern dabei hilft, ihre Sicherheit und Compliance auf konsistente und optimierte Weise zu demonstrieren.

Das CSF baut auf HIPAA und dem HITECH Act auf, bei denen es sich um US-Gesundheitsgesetze handelt, die Anforderungen für die Verwendung, Offenlegung und Sicherung von individuell identifizierbaren Gesundheitsinformationen festgelegt haben und die Nichtcompliance erzwingen. HITRUST bietet einen Benchmark – einen standardisierten Compliance-Framework-, Bewertungs- und Zertifizierungsprozess –, anhand dessen Clouddienstanbieter und abgedeckte Gesundheitsentitäten die Compliance messen können. Das CSF enthält auch gesundheitsspezifische Sicherheits-, Datenschutz- und andere gesetzliche Anforderungen aus vorhandenen Frameworks wie dem Payment Card Industry Data Security Standard (PCI-DSS), ISO/IEC 27001 Information Security Management Standards und Minimum Acceptable Risk Standards for Exchanges (MARS-E).

Das CSF ist in 19 verschiedene Domänen unterteilt, einschließlich Endpunktschutz, Sicherheit mobiler Geräte und Zugriffssteuerung. HITRUST zertifiziert IT-Angebote für diese Steuerelemente. HITRUST passt außerdem die Anforderungen für die Zertifizierung an die Risiken einer Organisation basierend auf organisatorischen, System- und regulatorischen Faktoren an.

Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST bietet drei Zuverlässigkeitsgrade oder Bewertungsstufen: Selbstbewertung, CSF-validiert und CSF-zertifiziert. Jede Ebene baut mit zunehmender Strenge auf der ebene darunter auf. Eine Organisation mit der höchsten Stufe, CSF-zertifiziert, erfüllt alle Zertifizierungsanforderungen des CSF. Microsoft Azure und Office 365 sind die ersten Hyperscale-Clouddienste, die eine Zertifizierung für hitrust csf erhalten. Coalfire, ein HITRUST-Prüferunternehmen, führte die Bewertungen basierend darauf aus, wie Azure und Office 365 Sicherheits-, Datenschutz- und behördliche Anforderungen zum Schutz vertraulicher Informationen implementieren. Microsoft unterstützt das HITRUST-Programm für gemeinsame Verantwortung.

Erfahren Sie, wie Sie Ihre HITRUST-Bereitstellung mit unserem Azure Security and Compliance Blueprint beschleunigen.

Herunterladen des Blueprints für die Microsoft Azure HITRUST Customer Responsibility Matrix (CRM) v9.0d

Zu Microsoft gehörende Cloudplattformen und -dienste

Azure, Dynamics 365 und HITRUST

Weitere Informationen zu Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure HITRUST-Angebot.

Office 365 und HITRUST

Office 365-Cloudumgebungen

Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.

In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:

  • Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
  • Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
  • Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
  • Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
  • Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.

Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.

Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.

Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste

Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:

Anwendbarkeit Im Leistungsumfang enthaltene Dienste
Kommerziell Activity Feed Service, Bing Services, Delve, Exchange Online Protection, Exchange Online, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Dienstinfrastruktur, Office Nutzungsberichte, OneDrive for Business, Personenkarte, SharePoint Online, Skype for Business, Windows Ink

Office 365-Audits, -Berichte und -Zertifikate

Die HITRUST CSF-Zertifizierung von Office 365 ist zwei Jahre lang gültig.

Häufig gestellte Fragen

Warum sind einige Office 365 Dienste nicht im Rahmen dieser Zertifizierung?

Microsoft bietet im Vergleich zu anderen Clouddienstanbietern die umfassendsten Angebote. Um mit unseren umfassenden Complianceangeboten über Regionen und Branchen hinweg Schritt zu halten, umfassen wir Dienstleistungen im Rahmen unserer Assurance-Bemühungen basierend auf der Marktanforderung, dem Kundenfeedback und dem Produktlebenszyklus. Wenn ein Dienst nicht im aktuellen Umfang eines bestimmten Complianceangebots enthalten ist, hat Ihre Organisation die Verantwortung, die Risiken basierend auf Ihren Complianceverpflichtungen zu bewerten und die Art und Weise zu bestimmen, wie Sie die Daten in diesem Dienst verarbeiten. Wir sammeln kontinuierlich Feedback von Kunden und arbeiten mit Regulierungsbehörden und Auditoren zusammen, um unsere Compliance-Abdeckung zu erweitern, um Ihre Sicherheits- und Complianceanforderungen zu erfüllen.

Bedeutet die Microsoft-Zertifizierung, dass wenn meine Organisation Office 365 verwendet, sie mit HITRUST CSF kompatibel ist?

Wenn Sie Ihre Daten in einem SaaS wie Office 365 speichern, liegt es in der gemeinsamen Verantwortung von Microsoft und Ihrer Organisation, die Compliance zu erreichen. Microsoft verwaltet den Großteil der Infrastrukturkontrollen, einschließlich physischer Sicherheit, Netzwerksteuerelemente, Steuerelemente auf Anwendungsebene usw., und Ihre Organisation ist dafür verantwortlich, Zugriffskontrollen zu verwalten und Ihre vertraulichen Daten zu schützen. Die Office 365 HITRUST-Zertifizierung veranschaulicht die Compliance des Kontrollframeworks von Microsoft. Auf dieser Grundlage muss Ihre Organisation Ihre eigenen Datenschutzkontrollen implementieren und verwalten, um die HITRUST CSF-Anforderungen zu erfüllen.

Bietet Microsoft Anleitungen für meine Organisation, um geeignete Steuerelemente zu implementieren, wenn Office 365 verwendet wird?

Ja, Sie finden empfohlene Kundenaktionen in der Compliancebewertung, microsoftübergreifende Cloudlösungen, die Ihrer Organisation helfen, komplexe Complianceverpflichtungen bei der Verwendung von Clouddiensten zu erfüllen. Insbesondere für HITRUST CSF empfehlen wir, Risikobewertungen mithilfe der NIST 800-53- und NIST CSF-Bewertungen in der Compliancebewertung durchzuführen. In den Bewertungen stellen wir Ihnen schrittweise Anleitungen und die Microsoft-Lösungen zur Verfügung, mit denen Sie Ihre Datenschutzkontrollen implementieren können. Weitere Informationen zur Compliancebewertung finden Sie im Microsoft Compliance Manager.

Verwenden Sie den Microsoft Compliance Manager, um Ihr Risiko einzuschätzen

Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen und verwalten.

Ressourcen