HITRUST(Health Information Trust Alliance) CSF(Common Security Framework)

  • 아티클

HITRUST CSF 개요

HITRUST(Health Information Trust Alliance)는 의료 산업의 대표가 관리하는 organization. HITRUST는 의료 조직과 해당 공급자가 일관되고 간소화된 방식으로 보안 및 규정 준수를 입증할 수 있도록 지원하는 인증 가능한 프레임워크인 CSF(Common Security Framework)를 만들고 유지 관리합니다.

CSF는 개별적으로 식별 가능한 건강 정보의 사용, 공개 및 보호에 대한 요구 사항을 수립하고 비준수 를 시행하는 미국 의료법인 HIPAA 및 HITECH Act를 기반으로 합니다. HITRUST는 클라우드 서비스 공급자 및 적용된 상태 엔터티가 규정 준수를 측정할 수 있는 표준화된 규정 준수 프레임워크, 평가 및 인증 프로세스와 같은 벤치마크를 제공합니다. 또한 CSF는 PCI-DSS(Payment Card Industry Data Security Standard), ISO/IEC 27001 정보 보안 관리 표준 및 MARS-E(Exchanges에 허용되는 최소 위험 표준)와 같은 기존 프레임워크의 의료 관련 보안, 개인 정보 보호 및 기타 규정 요구 사항을 통합합니다.

CSF는 엔드포인트 보호, 모바일 디바이스 보안 및 액세스 제어를 포함하여 19개의 다른 도메인으로 나뉩니다. HITRUST는 이러한 컨트롤에 대해 IT 제품을 인증합니다. HITRUST는 또한 인증 요구 사항을 조직, 시스템 및 규제 요인에 따라 organization 위험에 맞게 조정합니다.

HITRUST(Health Information Trust Alliance) CSF(Common Security Framework)

HITRUST는 3가지 수준의 보증 또는 평가 수준(자체 평가, CSF 유효성 검사 및 CSF 인증)을 제공합니다. 각 수준은 아래의 수준에서 점점 더 엄격해짐에 따라 빌드됩니다. 최고 수준의 CSF 인증을 받은 organization CSF의 모든 인증 요구 사항을 충족합니다. Microsoft Azure 및 Office 365 HITRUST CSF에 대한 인증을 받은 최초의 하이퍼스케일 클라우드 서비스입니다. HITRUST 평가자 회사인 Coalfire는 Azure 및 Office 365 보안, 개인 정보 보호 및 규제 요구 사항을 구현하여 중요한 정보를 보호하는 방법에 따라 평가를 수행했습니다. Microsoft는 HITRUST 공유 책임 프로그램을 지원합니다.

Azure 보안 및 규정 준수 청사진을 사용하여 HITRUST 배포를 가속화하는 방법을 알아봅니다.

Microsoft Azure HITRUST CRM(고객 책임 매트릭스) 청사진 v9.0d 다운로드

Microsoft 범위 내 클라우드 플랫폼 및 서비스

Azure, Dynamics 365 및 HITRUST

Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure HITRUST 제품을 참조하세요.

Office 365 및 HITRUST

Office 365 환경

Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.

이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.

  • 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
  • Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
  • Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
  • Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
  • Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.

이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.

조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.

Office 365 적용 가능성 및 범위 내 서비스

다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.

적용 가능성 범위 내 서비스
상업용 활동 피드 서비스, Bing Services, Delve, Exchange Online Protection, Exchange Online, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype, Windows Ink

Office 365 감사, 보고서 및 인증서

Office 365 HITRUST CSF 인증은 2년 동안 유효합니다.

질문과 대답

일부 Office 365 서비스가 이 인증의 scope 없는 이유는 무엇인가요?

Microsoft는 다른 클라우드 서비스 공급자에 비해 가장 포괄적인 제품을 제공합니다. 지역 및 산업 전반에서 광범위한 규정 준수 제품을 유지하기 위해 시장 수요, 고객 피드백 및 제품 수명 주기에 따라 보증 노력의 scope 서비스를 포함합니다. 서비스가 특정 규정 준수 제품의 현재 scope 포함되지 않은 경우 organization 규정 준수 의무에 따라 위험을 평가하고 해당 서비스에서 데이터를 처리하는 방법을 결정할 책임이 있습니다. Microsoft는 고객의 피드백을 지속적으로 수집하고 규제 기관 및 감사자와 협력하여 규정 준수 범위를 확장하여 보안 및 규정 준수 요구 사항을 충족합니다.

Microsoft 인증은 내 organization Office 365 사용하는 경우 HITRUST CSF를 준수한다는 것을 의미하나요?

Office 365 같은 SaaS에 데이터를 저장하는 경우 규정 준수를 달성하는 것은 Microsoft와 organization 공동의 책임입니다. Microsoft는 물리적 보안, 네트워크 제어, 애플리케이션 수준 제어 등을 비롯한 대부분의 인프라 제어를 관리하며 organization 액세스 제어를 관리하고 중요한 데이터를 보호할 책임이 있습니다. Office 365 HITRUST 인증은 Microsoft의 제어 프레임워크 준수를 보여 줍니다. 이를 기반으로 organization HITRUST CSF 요구 사항을 충족하기 위해 사용자 고유의 데이터 보호 컨트롤을 구현하고 유지 관리해야 합니다.

Microsoft는 Office 365 사용할 때 적절한 컨트롤을 구현하기 위해 organization 대한 지침을 제공하나요?

예, 클라우드 서비스를 사용할 때 organization 복잡한 규정 준수 의무를 충족하는 데 도움이 되는 규정 준수 관리자, Microsoft 클라우드 간 솔루션에서 권장되는 고객 작업을 찾을 수 있습니다. 특히 HITRUST CSF의 경우 규정 준수 관리자에서 NIST 800-53 및 NIST CSF 평가를 사용하여 위험 평가를 수행하는 것이 좋습니다. 평가에서는 데이터 보호 컨트롤을 구현하는 데 사용할 수 있는 Microsoft 솔루션과 단계별 지침을 제공합니다. Microsoft Purview 준수 관리자에서 준수 관리자에 대해 자세히 알아볼 수 있습니다.

Microsoft Purview 준수 관리자를 사용하여 위험 평가

Microsoft Purview 준수 관리자는organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 이 규제에 대한 평가를 빌드하기 위한 프리미엄 서식 파일을 제공합니다. 준수 관리자의 평가 서식 파일 페이지에서 서식 파일을 찾습니다. 준수 관리자에서 평가를 빌드하고 관리하는 방법을 알아봅니다.

리소스