Microsoft 365 是否符合 HIPAA？

Office 365 HIPAA 合规性是越来越多的医疗保健公司迫切关心的问题。微软强大的云解决方案让提供商可以轻松保存记录并进行通信 - 但这是否太容易了？敏感信息存储在云端真的能得到保护吗？

云计算多年来一直在进军医疗保健行业。作为一项战略，它提供了许多好处，使组织和护理提供者能够扩大他们使用技术的范围和方式。通过让提供商更轻松地保存和参考患者记录（即使患者在旅途中），云计算改善并简化了患者体验。

向云的迁移对于整个医疗保健来说是积极的，但它给合规性和安全专家带来了额外的责任。幸运的是，随着越来越多的供应商和开发人员认识到市场需求，寻找符合 HIPAA 的云软件的任务变得越来越容易。许多解决方案提供商现已调整其产品以满足医疗保健组织的 HIPAA 需求。

Microsoft 365 可以说是使用最广泛的云服务，就是一个突出的例子。它为所有拥有并正确使用业务伙伴协议 (BAA) 的医疗保健组织提供 HIPAA 合规性。在本文中，您将详细了解 Microsoft 为使其 365 套件满足 HIPAA 要求而采取的措施，以及数据保护的哪些方面仍由提供商负责。

HIPAA BAA 和 Microsoft 365

任何云解决方案的 HIPAA 合规级别都取决于用户组织的 BAA。 Microsoft 365 对于医疗保健客户端来说最方便的功能之一是它提供 BAA 作为服务的标准元素。

什么是 BAA？

业务伙伴协议是 HIPAA 涵盖的实体（例如医生办公室或医院）与关联企业之间的合同。一旦任何受保护的健康信息 (PHI) 上传到云端，双方都会自动遵守 HIPAA 法规。 因此，在实施任何与患者数据相关的解决方案之前，您需要与云供应商签订 BAA。

微软的 BAA 如何运作？

默认情况下，Microsoft 向属于 HIPAA 定义的涵盖实体或业务伙伴的用户提供 BAA 作为其在线服务条款的一部分。 BAA 涵盖 Dynamics 365、Office 365 和一些其他云服务。

如果您考虑将 Microsoft 作为解决方案提供商，请详细查看 BAA，以确保 BAA 涵盖的服务和条款满足您的需求。 Microsoft 不会根据客户请求修改其 BAA，因此条款必须符合书面规定。

Microsoft 365 安全控制和 HIPAA 要求

为了确认其安全实践符合 HIPAA 官方发布者美国卫生与公众服务部 (HHS) 的建议，Microsoft 已根据 ISO 27001 标准进行了信息安全审核。该标准评估组织 IT 安全的多个方面，包括是否遵循 HHS 建议。

结果证实，Office 365 包含合规性所需的所有 HIPAA 安全和隐私控制。您可以通过 Microsoft 365 合规中心访问这些控件。

微软合规中心

Microsoft 合规中心使客户能够访问管理合规性所需的工具和信息。它包括以下功能：

• 您的合规得分，这是一种基于风险的指标，用于衡量降低风险的进展情况
• 活动警报卡，列出您的安全通知并为您提供更详细的信息
• 数据分类部分可帮助您正确组织重要数据
• 报告部分，其中包含有关第三方应用、共享文件等的信息
• 权限部分，可让您管理组织内的访问权限
• 解决方案部分包含有关您组织的合规策略的详细信息
• 数据丢失保护工具，让您跟踪敏感信息

合规中心是一个强大的资源。它可供所有 Microsoft 商业客户使用，但某些功能（例如高级威胁管理、数据分类敏感度标签、某些 DLP 功能）可能无法使用，除非您拥有顶级许可证。

适用于 HIPAA 的 Microsoft 365 安全功能

Microsoft 提供了许多安全功能来帮助企业保持对特定法规的遵守。与 HIPAA 特别相关的是：

• 最低权限访问：此功能仅向需要的人授予更高的访问权限，从而限制了数据泄露的风险和影响。
• 隐私阅读者：Microsoft 建议拥有 BAA 的客户应将代表指定为 HIPAA 隐私阅读者，这样他们就可以访问有关可能涉及受保护电子医疗信息 (ePHI) 的违规行为的消息中心通知。
• 端到端加密：微软会对所有上传或存储在公司服务器上的数据进行加密。当它传输到 Microsoft 设施之外时也会进行加密（传输中加密）；但是，由于标准互联网协议，某些信息（包括电子邮件主题行和地址字段中的数据）无法加密。因此，Microsoft 建议所有用户培训人员不要在电子邮件的“收件人”、“发件人”或“主题”行中包含 ePHI。
• 数据丢失防护： ePHI 受到保护，不会共享给未经授权的查看者。
• 多重身份验证：用户必须提供发送到其他设备或帐户的信息，然后才能登录。
• 审核日志：管理员可以查看谁查看、打开、共享或删除了文档。
• 数据备份：HIPAA 要求提供此功能，以便在必要时可以恢复 ePHI 的精确副本。
• 安全配置：Microsoft 允许客户更改 BAA 涵盖的许多服务的安全设置。对于 HIPAA 合规性，最安全的策略可能是设置最严格的参数。 Microsoft 的 HIPAA 实施指南中提供了详细的配置说明。

微软如何处理安全漏洞

Microsoft 的 BAA 规定，如果发生安全漏洞，公司将在 30 天内通知您帐户的所有全局管理员和所有拥有隐私读者指定的用户。

Microsoft 不会将违规行为通知您的客户。根据 HIPAA，该责任由您承担，如果违规行为涉及不安全的 ePHI，该责任要求所有涵盖的实体通知受影响的个人。微软也不会向美国卫生与公众服务部部长或媒体提交任何必要的通知。

如果潜在的 ePHI 存储库遭到破坏，Microsoft 不负责扫描存储的数据以确定是否有任何 ePHI 实际上已受到损害。您将收到发生违规的通知。然后，您必须评估是否有任何 ePHI 受到损害，以及影响的程度（如果有）。

Office 365 HIPAA 合规性配置：最佳实践

Microsoft 非常清楚，最终 HIPAA 合规性的责任在于客户。供应商建议所有公司建立一套程序和策略，帮助其员工以支持合规性的方式使用 Office 365。以下是设置过程中需要遵循的一些最重要的步骤。

1. 查看服务详情。

• 确保您计划使用的产品在 Microsoft 的 HIPAA 合规服务范围内。
• 查看 BAA 以确保其中包含的安全和隐私实践满足您的需求。

2. 设置访问控制程序。

• 在 Microsoft 365 消息中心中，指定您的隐私读者。
• 为管理员启用访问跟踪，以便您可以了解他们何时访问用户帐户。

3. 提供有关 PHI 排除的培训。

• 管理人员不应在任何目录、地址簿或全局地址列表中输入 ePHI。
• 任何人员不得在与 Microsoft 进行故障排除或支持对话时共享 ePHI。
• 用户不应在任何文件名、电子邮件标头或可公开访问的 SharePoint 位置中引用 ePHI。
• 用户不应通过电子邮件发送 ePHI，除非明确授权的用户。

4. 建立准入审查程序。

• 定期检查用户对所有 ePHI 存储库的访问权限。
• 定期检查用户访问权限、密码更改以及共享资源的添加。
• 创建一个协议，用于在人员变动时更新访问权限。

Netwrix 如何帮助 Microsoft 365 客户

遵守 HIPAA 并不是一项小任务，即使是最强大的组织，增加与云服务相关的合规性也会增加资源负担。 Netwrix 凭借其 HIPAA 合规性解决方案可以减轻您肩上的大部分负担。

准确了解您存储 ePHI 的位置

Netwrix 解决方案可以识别您的帐户中包含 ePHI 的特定 OneDrive for Business 存储库、Exchange Online 邮箱和 SharePoint Online 网站。这是保护 ePHI 免受内部和外部威胁的第一步。

通过最小化权限来减少攻击面

Netwrix 解决方案还可以帮助您确保您拥有正确的权限。它可以自动识别并删除对敏感数据的过多权限。它还简化了访问审查和权限认证流程，从而提高您一次性通过合规性审核的机会。

识别并应对威胁

凭借详细的跨系统可见性，Netwrix 解决方案可以发现可能表明内部威胁的危险信号，例如失败的访问尝试、权限升级和异常大量的读取，并检测正在进行的勒索软件的迹象。它使您能够轻松深入了解可疑活动，以便您可以在威胁造成严重损害之前将其阻止。

如果发生泄露，无论其来源如何，Netwrix 都可以帮助您确定事件的严重性，使您能够满足通知当局和受影响用户的所有要求。

Microsoft 365 和 HIPAA 合规性常见问题解答

使用 Office 365 是否存在任何 HIPAA 问题？

只要您仔细查看 Microsoft 的 BAA 并了解其安全性和合规性保护的范围，确认这些保护满足您的 HIPAA 合规性需求，并拥有所有必需的安全控制措施，您就应该很少担心 HIPAA 合规性。

Office 365 的 HIPAA 保护非常强大，但最终，作为 HIPAA 涵盖的实体，合规性是您的责任。

哪个 Microsoft Office 365 计划符合 HIPAA 要求？

Microsoft 向 Office 365 商业版、Office 365 美国政府版和 Office 365 美国政府国防版用户提供 HIPAA 合规性 BAA。但是，这些服务的较低级别许可证（例如 Business Basic、Business Standard 和 Business Premium）可能不具备您想要用来维持合规性的所有高级安全功能。

Microsoft 建议寻求 HIPAA 合规性的用户启用顶级安全保护。其中一些保护措施，包括反网络钓鱼威胁浏览器和数据丢失防护，仅适用于更高级别企业许可证的持有者。

与 Microsoft 签订 BAA 是否能保证遵守 HIPAA 和 HITECH 法案？

不，BAA 并不保证合规。 BAA 的目的是澄清 HIPAA 业务伙伴有责任遵守哪些合规性要求。例如，如果您的 Microsoft Office 365 帐户出现泄露，Microsoft 将通知您发生了这种情况。

即使在最强大的 BAA 下，作为云服务客户，您仍然有责任维持合规性。您需要建立并维护一个内部合规计划，以满足您作为受 HIPAA 保护的组织所需的一切要求。例如，您需要制定内部政策、程序和流程，以确保您的人员的行为不违反 HIPAA 法规。

Microsoft 的 BAA 可以帮助您在使用该公司的服务时遵守 HIPAA 原则，但它不会为您做所有事情。您仍然需要确保您的团队使用 Office 365 的方式符合 HIPAA 和 HITECH 法案的每条规则。