Health Information Trust 제휴 (HITRUST) 일반 보안 프레임 워크 (CSF)Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST-CSF 개요HITRUST — CSF overview

HITRUST (상태 정보 신뢰 동맹)는 의료 업계의 대표자가 관리 하는 조직입니다.The Health Information Trust Alliance (HITRUST) is an organization governed by representatives from the healthcare industry. HITRUST는 CSF (Common Security Framework)를 만들고 유지 관리 하며, 의료 조직과 해당 공급자가 보안 및 규정 준수를 일관적이 고 능률적인 방식으로 보여줍니다.HITRUST created and maintains the Common Security Framework (CSF), a certifiable framework to help healthcare organizations and their providers demonstrate their security and compliance in a consistent and streamlined manner.

CSF는 HIPAA와 HITECH Act 이며, 개별적으로 식별 가능한 상태 정보의 사용, 노출 및 보호를 위한 요구 사항을 설정 했으며 준수 하지 않는 기능을 적용 합니다.The CSF builds on HIPAA and the HITECH Act, which are US healthcare laws that have established requirements for the use, disclosure, and safeguarding of individually identifiable health information, and that enforce noncompliance. HITRUST에서는 클라우드 서비스 공급자 및 포함 된 상태 엔터티에서 규정 준수를 측정할 수 있는 표준화 된 준수 프레임 워크, 평가 및 인증 프로세스를 제공 합니다.HITRUST provides a benchmark — a standardized compliance framework, assessment, and certification process — against which cloud service providers and covered health entities can measure compliance. 또한 CSF는 보건 카드 업계 데이터 보안 표준 (pci-e), ISO/IEC 27001 정보 보안 관리 표준 및 교환에 대 한 최소 허용 위험 표준 (MARS-E)과 같은 기존 프레임 워크의 의료 관련 보안, 개인 정보 보호 및 기타 규정 요구 사항을 통합 합니다.The CSF also incorporates healthcare-specific security, privacy, and other regulatory requirements from such existing frameworks as the Payment Card Industry Data Security Standard (PCI-DSS), ISO/IEC 27001 information security management standards, and Minimum Acceptable Risk Standards for Exchanges (MARS-E).

CSF는 끝점 보호, 모바일 장치 보안 및 액세스 제어를 포함 하 여 서로 다른 도메인 19로 나뉩니다.The CSF is divided into 19 different domains, including endpoint protection, mobile device security, and access control. HITRUST는 이러한 컨트롤에 대해 IT 제공을 인증 합니다.HITRUST certifies IT offerings against these controls. 또한 HITRUST에서는 조직, 시스템 및 규제 요인을 기반으로 조직의 위험에 대 한 인증 요구 사항을 조정 합니다.HITRUST also adapts requirements for certification to the risks of an organization based on organizational, system, and regulatory factors.

Health Information Trust 제휴 (HITRUST) 일반 보안 프레임 워크 (CSF)Health Information Trust Alliance (HITRUST) Common Security Framework (CSF)

HITRUST은 자체 평가, CSF 유효성 검사 및 CSF 인증의 세 가지 보증 수준을 제공 합니다.HITRUST offers three degrees of assurance, or levels of assessment: self-assessment, CSF validated, and CSF-certified. 각 수준이 아래에 있는 엄격 함 증가 합니다.Each level builds with increasing rigor on the one below it. 가장 높은 수준의 인증을 받은 조직은 CSF의 모든 인증 요구 사항을 충족 합니다.An organization with the highest level, CSF-certified, meets all the certification requirements of the CSF. Microsoft Azure 및 Office 365은 HITRUST CSF에 대 한 인증을 수신 하기 위한 최초의 스케일 클라우드 서비스입니다.Microsoft Azure and Office 365 are the first hyperscale cloud services to receive certification for the HITRUST CSF. HITRUST 평가자 Coalfire는 Azure 및 Office 365에서 보안, 개인 정보 보호 및 규정 요구 사항을 구현 하 여 중요 한 정보를 보호할 수 있는 방법을 기반으로 평가를 수행 했습니다.Coalfire, a HITRUST assessor firm, performed the assessments based on how Azure and Office 365 implement security, privacy, and regulatory requirements to protect sensitive information. Microsoft는 HITRUST 공유 책임 프로그램을 지원 합니다.Microsoft supports the HITRUST Shared Responsibility Program.

Azure 보안 및 준수 청사진을 사용 하 여 HITRUST 배포를 가속화 하는 방법을 알아봅니다.Learn how to accelerate your HITRUST deployment with our Azure Security and Compliance Blueprint.

Microsoft Azure HITRUST 고객 책임 매트릭스 (CRM) 청사진 v 9.0 d 다운로드Download the Microsoft Azure HITRUST Customer Responsibility Matrix (CRM) blueprint v9.0d

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

감사, 보고서 및 인증서Audits, reports, and certificates

Azure 및 Office 365의 HITRUST CSF 인증은 2 년 동안 유효 합니다.The HITRUST CSF certification of Azure and Office 365 is valid for two years.

Azure에서 HIPAA/HITRUST 솔루션 배포를 가속화 합니다.Accelerate your deployment of HIPAA/HITRUST solutions on Azure

Azure 보안 및 규정 준수 청사진 (HIPAA/HITRUST Health Data and AI)을 사용 하 여 상태 데이터 솔루션에 대 한 클라우드의 이점을 활용할 수 있는 방법을 알아봅니다.Get a head start on taking advantage of the benefits of the cloud for health data solutions with the Azure Security and Compliance Blueprint — HIPAA/HITRUST Health Data and AI. 이 청사진은 지금 HIPAA/HITRUST 솔루션을 작성할 수 있는 도구와 지침을 제공 합니다.This blueprint provides tools and guidance to get you started building HIPAA/HITRUST solutions today.

Azure HIPAA/HITRUST 청사진 사용 시작Start using the Azure HIPAA/HITRUST Blueprint

Office 365을 사용할 때 HIPAA/HITRUST 준수 속도 향상Accelerate your HIPAA/HITRUST compliance when using Office 365

Office 365을 사용 하 여 규정 준수 점수를 사용 하 여 보안 및 준수 방식으로 상태 정보를 관리 하 고, NIST CSF 및 NIST 800-53와 같은 HIPAA 및 security control 프레임 워크와 같은 상태 규정에 대 한 위험 평가를 수행할 수 있습니다.Use Office 365 to manage health information in a secure and compliant way with Compliance Score, which enables you to perform risk assessments against health regulations like HIPAA and security control frameworks like NIST CSF and NIST 800-53. 단계별 지침에 따라 의료 준수 의무를 충족 하는 데 도움이 되는 데이터 보호 컨트롤을 구현 및 유지 관리 하는 방법을 확인할 수 있습니다.You can follow step-by-step guidance to know how to implement and maintain data protection controls that help you meet healthcare compliance obligations.

준수 점수 사용 시작Start using Compliance Score

HITRUST 공유 책임 프로그램에서 Microsoft와 공동 작업Collaborate with Microsoft in the HITRUST Shared Responsibility Program

HITRUST MyCSF 도구에서 Azure에 대 한 완전히 상속 되거나 공유 된 책임 제어를 사용 하 여 평가를 미리 채우고 평가에 대해 Microsoft와 공동으로 작업을 수행 하 여 Microsoft Azure에서 호스트 되는 솔루션에 대 한 HITRUST 준수 실현을 가속화 합니다.Accelerate achieving HITRUST compliance for your solution hosted on Microsoft Azure by pre-populating your assessment with fully inherited or shared responsibility controls for Azure in the HITRUST MyCSF tool, and collaborating with Microsoft on your assessment.

자세한 정보Learn more

자주 묻는 질문Frequently asked questions

Azure HITRUST 준수를 사용 하 여 조직의 인증 프로세스를 작성할 수 있나요?Can I use the Azure HITRUST compliance to build on my organization's certification process?

예.Yes. Microsoft 서비스에 배포 된 구현에 대 한 HITRUST 인증을 업무상 필요한 경우 준수 평가를 수행할 때 Azure HITRUST 준수에 따라 구축할 수 있습니다.If your business requires a HITRUST certification for implementations deployed on Microsoft services, you can build on Azure HITRUST compliance when you conduct your compliance assessment. 그러나 사용자는 조직 내에서 HITRUST 요구 사항 및 컨트롤을 평가 해야 합니다.However, you are responsible for evaluating the HITRUST requirements and controls within your own organization.

HITRUST 인증의 복사본은 어떻게 구할 수 있나요?How can I get a copy of the HITRUST certification?

AzureOffice 365에 대 한 인증 편지의 복사본을 다운로드할 수 있습니다.You can download a copy of letter of certification for Azure and Office 365.

Office 365의 범위 내 서비스는 무엇 인가요?What are the in-scope services for Office 365?

HITRUST CSF 인증의 범위 내 서비스는 Exchange Online, Exchange online Protection, exchange Online, 비즈니스용 Skype, 관리 센터, SharePoint Online, Project Online, 비즈니스용 OneDrive, office Online, Microsoft 팀, Office 365 다중 테 넌 트 클라우드 및 Office 365 GCC의 Microsoft 365 Apps for enterprise for BusinessThe in-scope services of HITRUST CSF certification are Exchange Online Archiving, Exchange Online Protection, Exchange Online, Skype for Business, Admin Center, SharePoint Online, Project Online, OneDrive for Business, Office Online, MyAnalytics, Microsoft Teams, Microsoft 365 Apps for enterprise in Office 365 Multi-tenant cloud and Office 365 GCC.

참고

Microsoft 365 enterprise 용 앱을 사용 하면 로밍 설정, 라이선스 및 OneDrive 소비자 클라우드 저장소와 같은 다양 한 클라우드 서비스에 액세스할 수 있으며 나중에 추가 클라우드 서비스에 대 한 액세스를 사용 하도록 설정할 수 있습니다.Microsoft 365 Apps for enterprise enables access to various cloud services, such as Roaming Settings, Licensing, and OneDrive consumer cloud storage, and may enable access to additional cloud services in the future. 로밍 설정 및 라이선스는 HITRUST에 대 한 표준을 지원 합니다.Roaming Settings and Licensing support the standards for HITRUST. OneDrive 소비자 클라우드 저장소와 함께 제공 되지 않으며 Microsoft 365 앱을 통해 액세스할 수 있는 기타 클라우드 서비스 및 Microsoft에서 향후에 제공할 수도 있는 기타 클라우드의 서비스가 이러한 표준을 지원 하지 않을 수도 있습니다. *OneDrive consumer cloud storage does not, and other cloud services that are accessible through Microsoft 365 Apps for enterprise and that Microsoft may offer in the future also may not, support these standards.*

일부 Office 365 서비스가이 인증의 범위에 없는 이유는 무엇 인가요?Why are some Office 365 services not in the scope of this certification?

Microsoft는 다른 클라우드 서비스 공급자에 비해 가장 포괄적인 제품을 제공 합니다.Microsoft provides the most comprehensive offerings compared to other cloud service providers. 지역 및 업계 전반에 걸친 광범위 한 준수 제품을 유지 하기 위해, 시장 수요, 고객 의견 및 제품 수명 주기를 기반으로 하는 보증 노력의 범위에 포함 된 서비스를 제공 합니다.To keep up with our broad compliance offerings across regions and industries, we include services in the scope of our assurance efforts based on the market demand, customer feedback, and product lifecycle. 서비스가 특정 규정 준수 제공의 현재 범위에 포함 되어 있지 않은 경우 조직은 준수 의무에 따라 위험을 평가 하 고 해당 서비스에서 데이터를 처리 하는 방법을 결정 해야 합니다.If a service is not included in the current scope of a specific compliance offering, your organization has the responsibility to assess the risks based on your compliance obligations and determine the way you process the data in that service. 고객의 피드백을 지속적으로 수집 하 고, 조정기 및 감사자와 협력 하 여 보안 및 준수 요구 사항에 맞게 준수 범위를 확장 합니다.We continuously collect feedback from customers and work with regulators and auditors to expand our compliance coverage to meet your security and compliance needs.

Microsoft 인증은 조직에서 Azure 또는 Office 365를 사용 하는 경우 HITRUST CSF를 준수 하는 것을 의미 합니다.Does Microsoft certification mean that if my organization uses Azure or Office 365, it is compliant with HITRUST CSF?

Office 365와 같은 SaaS에 데이터를 저장 하는 경우 Microsoft와 조직에서 규정 준수를 달성 하기 위해 공유 되는 책임입니다.When you store your data in a SaaS like Office 365, it’s a shared responsibility between Microsoft and your organization to achieve compliance. Microsoft는 실제 보안, 네트워크 컨트롤, 응용 프로그램 수준 컨트롤 등을 비롯 한 대부분의 인프라 컨트롤을 관리 하며, 조직에서는 액세스 제어를 관리 하 고 중요 한 데이터를 보호할 책임이 있습니다.Microsoft manages majority of the infrastructure controls including physical security, network controls, application level controls, etc., and your organization has the responsibility to manage access controls and protect your sensitive data. Office 365 HITRUST 인증에서는 Microsoft의 제어 프레임 워크를 준수 하는 방법을 보여 줍니다.The Office 365 HITRUST certification demonstrates the compliance of Microsoft’s control framework. 이 문서를 작성 하는 경우 조직에서는 HITRUST CSF 요구 사항을 충족 하기 위해 자신만의 데이터 보호 컨트롤을 구현 하 고 유지 관리 해야 합니다.Building on that, your organization needs to implement and maintain your own data protection controls to meet HITRUST CSF requirements.

Microsoft는 Office 365을 사용할 때 조직에서 적절 한 컨트롤을 구현 하는 데 도움이 되는 지침을 제공 하나요?Does Microsoft provide guidance for my organization to implement appropriate controls when using Office 365?

예, 조직에서 클라우드 서비스를 사용할 때 복잡 한 준수 의무를 충족 하는 데 도움이 되는 준수 점수, 크로스-Microsoft 클라우드 솔루션에서 권장 되는 고객 작업을 확인할 수 있습니다.Yes, you can find recommended customer actions in Compliance Score, cross-Microsoft Cloud solutions that help your organization meet complex compliance obligations when using cloud services. 특히 HITRUST CSF의 경우 준수 점수에 NIST 800-53 및 NIST CSF 평가를 사용 하 여 위험 평가를 수행 하는 것이 좋습니다.Specifically, for HITRUST CSF, we recommend that you perform risk assessments using the NIST 800-53 and NIST CSF assessments in Compliance Score. 평가에서는 데이터 보호 컨트롤을 구현 하는 데 사용할 수 있는 단계별 지침과 Microsoft 솔루션을 제공 합니다.In the assessments, we provide you with step-by-step guidance and the Microsoft solutions you can use to implement your data protection controls. 규정 준수 점수에 대 한 자세한 내용은 Microsoft 준수 점수를 확인 하세요.You can learn more about Compliance Score in Microsoft Compliance Score.

Microsoft에 참여 하려면 어떻게 해야 합니까?How do I engage with Microsoft?

HITRUST MyCSF® 도구에 로그인 하 고 Azure에 대 한 완전히 상속 되거나 공유 된 책임 제어를 사용 하 여 Microsoft Azure에 호스트 되는 솔루션에 대 한 평가를 미리 채웁니다.Log in to the HITRUST MyCSF® tool and pre-populate your assessment for your solution hosted on Microsoft Azure with either fully inherited or shared responsibility controls for Azure. 그러면 Microsoft HITRUST 관리자가 MyCSF® 도구에서 해당 계정을 사용 하 여 평가의 각 부분을 완료 합니다.A Microsoft HITRUST Administrator will then complete their part of the assessment using their account on the MyCSF® tool.

리소스Resources