MICROSOFT Entra Id'yi HIPAA uyumluluğu için yapılandırma

Microsoft Entra Id gibi Microsoft hizmetleri, 1996 Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) için kimlikle ilgili gereksinimleri karşılamanıza yardımcı olabilir.

HIPAA Güvenlik Kuralı (HSR), bireylerin kapsanan bir varlık tarafından oluşturulan, alınan, kullanılan veya korunan elektronik kişisel sağlık bilgilerini korumak için standartlar oluşturur. HSR, ABD Sağlık ve İnsan Hizmetleri Bakanlığı (HHS) tarafından yönetilir ve elektronik korumalı sağlık bilgilerinin gizliliğini, bütünlüğünü ve güvenliğini sağlamak için uygun idari, fiziksel ve teknik güvenlik önlemleri gerektirir.

Teknik koruma gereksinimleri ve hedefleri, Federal Düzenlemeler Yasası'nın (CFR) 45. Başlığında tanımlanmıştır. Başlık 45'in 160. Bölümü genel yönetim gereksinimlerini sağlar ve Bölüm 164'ün A ve C alt bölümleri güvenlik ve gizlilik gereksinimlerini açıklar.

Alt Bölüm § 164.304, teknik korumaları teknoloji olarak tanımlar ve elektronik korumalı sağlık bilgilerini koruyan ve buna erişimi denetleyen kullanımına yönelik ilke ve yordamları tanımlar. HHS, sağlık kuruluşlarının HIPAA teknik önlemlerini uygularken dikkate almaları gereken önemli alanları da özetler. § 164.312'den itibaren Teknik korumalar:

• Erişim denetimleri - Yalnızca § 164.308(a)(4)'te belirtilen erişim hakları verilmiş kişilere veya yazılım programlarına erişim izni vermek için elektronik korumalı sistem bilgilerini koruyan elektronik bilgi sistemleri için teknik ilkeler ve yordamlar uygulayın.

• Denetim denetimleri - Elektronik korumalı sistem durumu bilgilerini içeren veya kullanan bilgi sistemlerinde etkinliği kaydeden ve inceleyen donanım, yazılım ve/veya yordam mekanizmaları uygulayın.

• Bütünlük denetimleri - Elektronik korumalı sistem durumu bilgilerini yanlış değişikliklere veya yok etmeye karşı korumak için ilkeler ve yordamlar uygulayın.

• Kişi veya varlık kimlik doğrulaması - Elektronik korumalı sistem durumu bilgilerine erişmek isteyen bir kişinin veya varlığın talep edilen kişi olduğunu doğrulamak için yordamlar uygulayın.

• İletim güvenliği - Elektronik iletişim ağı üzerinden iletilen elektronik korumalı sağlık bilgilerine yetkisiz erişime karşı korunmak için teknik güvenlik önlemleri uygulayın.

HSR, gerekli ve adreslenebilir uygulama belirtimleriyle birlikte alt parçaları standart olarak tanımlar. Tümü uygulanmalıdır. "Adreslenebilir" belirtimi, bir belirtimin makul ve uygun olduğunu belirtir. Adreslenebilir, uygulama belirtimlerinin isteğe bağlı olduğu anlamına gelmez. Bu nedenle, adreslenebilir olarak tanımlanan alt bölümler de gereklidir.

Bu serideki diğer makaleler, önemli alanlara ve teknik güvenlik önlemlerine göre düzenlenmiş kaynaklara rehberlik ve bağlantılar sağlar. Her önemli alan için, ilgili korumaların listelendiği bir tablo ve korumayı gerçekleştirmek için Microsoft Entra kılavuzuna bağlantılar bulunur.

Daha fazla bilgi edinin

• Healthcare'de HHS Sıfır Güven pdf

• 45 CFR 160, 162 ve 164'te bulunan tüm HIPAA Yönetici istrative Basitleştirme Düzenlemeleri'nin birleşik düzenleme metni

• Federal Düzenlemeler Kanunu (CFR) Başlığı 45 , yönetmeliğin kamu refahı bölümünü açıklar

• Başlık 45'in genel yönetim gereksinimlerini açıklayan Bölüm 160

• Bölüm 164 Başlık 45'in güvenlik ve gizlilik gereksinimlerini açıklayan A ve C Alt Bölümleri

• HIPAA Güvenlik Riski Kasa Koruma Aracı

• NIST HSR Araç Seti

Sonraki adımlar

• Erişim Denetimleri Kasa guard kılavuzu

• Denetim Denetimleri Kasa koruma kılavuzu

• Diğer Kasa guard kılavuzu

• HITRUST denetimlerini yapılandırma