醫療組織和 Microsoft 商務雲端服務

在 Microsoft 商務雲端服務中取得受保護的健康資訊的安全性、合規性及隱私權。

Two medical professionals in white coats talking as they look at something in front of them that doesn’t appear in the frame

在 Microsoft 商務雲端服務中取得受保護的健康資訊的安全性、合規性及隱私權

Microsoft 了解當您 (我們的客戶) 使用我們的雲端服務,您將最重要且無可取代的資產 (也就是您的資料) 託付到到我們手中。

當您將臨床應用程式和內含受保護資療資訊 (PHI) 的資料集 (包含病患人口統計和治療資訊) 移動至公用雲端時,信任至關重要。當您在醫療生態系統中共用資料,並擴展醫療專業人員和病患存取機密資訊的方式和位置時,這十分重要。

因此無論您在前往雲端的旅程進度為何,與您信任的服務提供者合作至關重要。您必須信任機密資訊受到保護,可以安全地保留及管理,並不違反法規和法律,且其隱私權受到保護。

Microsoft 全面性措施專為建立此信任所設計,透過採取深度防禦方法的安全性,以符合適用法規要求,包括針對其商務雲端服務提供 HIPAA 商業夥伴合約 (BAA),並協助保護 PHI 和其他資料隱私安全。

A medical professional reviewing X-rays on a desktop monitor with another person sitting across from them.

在 Azure 上加速部署您的 HIPAA/HITRUST 解決方案

立即取得工具和指導方針來建立 HIPAA/HITRUST 解決方案。透過 Azure 安全性與合規性藍圖—HIPAA/HITRUST 醫療資料和 AI,充分利用適用於醫療資料解決方案的雲端功能。

Office 365 榮獲 HITRUST CSF 認證

Office 365 曾榮獲醫療資訊信賴 (HITRUST) 聯盟的 HITRUST 認證。HITRUST 一般安全性架構可協助醫療組織解決安全性和風險管理的問題。

Medical professional wearing scrubs and smiling.

Microsoft 採取深度防禦方法來保護其雲端服務安全

醫療組織容易受到資料外洩和網路攻擊。惡意執行者不僅針對醫療網路,還針對銷售點裝置 (例如收銀機)、醫療裝置 (例如心律調節器)、醫療應用程式 (例如提供虛擬醫療照護) 以及激增的醫療和個人行動裝置。根據 2015 年的 Verizon 受保護的健康資訊資料外洩報告指出,1,400 個大型與小型醫療組織受到 PHI 資料外洩困擾,並暴露超過 1.57 億筆醫療記錄。這些不僅是犯罪活動的結果,也是醫療員工自身資料保護不足和濫用的結果。

Microsoft 商務雲端服務和商業支援的設計、開發和運作,可協助確保您的資料和存取資料的所有裝置擁有高度安全性。Microsoft 的安全性策略指導準則是假設我們系統的資料外洩,並縮短從入侵到偵測的時間。我們的全球事件回應小組全年無休努力降低 Microsoft Cloud 遭受任何攻擊的影響。

我們的系統和軟體可透過強大的安全性控制協助保護您的資料,以及技術組合協助裝備您的組織以抵禦新興網路威脅、管理行動員工,以及符合政府法規。

|

Microsoft Antimalware 等最新反垃圾郵件技術層可協助識別和移除已知和未知的垃圾郵件、病毒和其他惡意軟體。我們監控伺服器、網路和應用程式,以偵測入侵並防範攻擊,而我們會持續強化這些防禦功能。而在攻擊事件中,系統已準備就緒以便防禦網路並快速復原。

 

深入了解

無論您的資料位在本機伺服器、公用雲端或是可攜式裝置,我們可協助您確保存取您網路的人員是他們聲稱的身分、他們的資料存取權受到控制,以及只有經授權能檢視 PHI 的人員可以這麼做。

 

深入了解

資料加密可讓任何沒有解密金鑰的人員無法讀取資料。Microsoft 使用產業標準安全傳輸通訊協定來加密在裝置與 Microsoft 資料中心之間傳輸的資料,或在資料中心內移動的資料。為保護待用資料,Microsoft 提供各式各樣的內建加密功能。

 

深入了解

Microsoft 商務產品和雲端服務由獨立外部稽核員根據 ISO/IEC 27001ISO/IEC 27018 等產業標準進行稽核。此外,我們也支援 HIPAA 和 HITECH 法案,以及交換的最低可接受風險標準 (MARS-E)。

HIPAA 和 HITECH 法案是美國醫療法規,是針對使用、揭露和保護個人可識別醫療資訊所建立的要求。這些法規要求醫療組織與 Microsoft 這類服務提供者簽訂合約,這類服務提供者可存取和處理病患的 PHI。這些合約或商業夥伴合約 (BAA) 釐清並限制雲端服務如何處理 PHI,並闡明各方遵守這些法律中的安全性和隱私條款。

 

Microsoft 已實作 HIPAA 要求的實體、技術和系統管理保護措施,以支援我們做為商務相關、符合 HITECH 法案的角色,要求在 PHI 外洩發生時通知個人和政府。儘管目前尚未有遵守這些法律的官方認證,但 BAA 涵蓋的 Microsoft 服務已接受經認可的獨立協力廠商稽核。例如,我們的 ISO/IEC 27001 稽核範圍包括處理 HIPAA 安全性措施的控制。

 

在 Microsoft HIPAA BAA 之下,我們提供比其他雲端提供者涵蓋更多的服務。透過 Microsoft Azure、Microsoft Dynamics 365、Microsoft Intune、Microsoft Office 365 和 Microsoft Power BI,我們提供全方位整合解決方案,包含生產力和共同作業、病患關係管理、分析、應用程式託管、資料儲存,以及應用程式和裝置管理。

 

儘管貴組織有責任確保您對 Microsoft 服務的特定使用符合 HIPAA 和 HITECH 法案,但 Microsoft 在提供 BAA 方面將協助您符合 HIPAA 合規性。為此我們提供適用於 AzureHIPAA/HITECH 法規實作指導方針和適用於 Dynamics 365 和 Office 365 的 HIPAA 實作指導方針,以及使用 Microsoft Azure 設計安全醫療解決方案的實用指南

醫療照護與醫療補助服務中心 (CMS) 已發佈交換的最低可接受風險標準 (MARS-E),其中包括架構以處理受保護資料的醫療交換機密性、完整性和可用性。MARS-E 2.0 架構提供目標在於保護這些受保護資料的資訊,並適用於所有美國平價醫療法案管理實體 (包括交換或市場)。

 

儘管目前沒有針對 MARS-E 的正式授權和資格鑑定程序,Azure 平台服務已經過獨立 FedRAMP 稽核且已根據其標準進行驗證。儘管這些標準未特別專注於 MARS-E,但 MARS-E 控制要求和目標十分接近,且提供保證 Azure 足夠協助保護資料的機密性、完整性和可用性。

我們採取的隱私權方法歷經時間考驗,並以 Microsoft 隱私權標準Microsoft 安全性開發生命週期為基礎。第三方稽核和認證驗證了我們嚴格的技術開發標準,並協助確保有系統地實作隱私權和資料保護。例如,Microsoft 是第一家採用首創的雲端隱私權國際碼實務規範 ISO/IEC 27018 的主要雲端提供者。我們也透過強力的合約承諾支持這些保護措施。

 

最終,我們將提供您控制收集、使用和發佈您的資料:

  • 我們只會將您的客戶資料用於提供我們同意的服務。我們不會針對行銷目的掃描資料,或將資料視為產品銷售給其他人。
  • 您知道我們將您的客戶資料儲存在我們全球的資料中心中。您知道誰可以存取資料、在哪些情況下存取,以及資料如何有責任地受到保護、移轉和刪除。
  • 當來自許多客戶的資料儲存在共用實體位置時,我們使用邏輯隔離來隔離每個客戶彼此的雲端服務資料

其他資源

Microsoft 企業醫療照護解決方案

保護雲端資料和隱私權

交換的最低可接受風險標準 (MARS-E)

ISO/IEC 27001

聯邦風險與授權管理計畫 (FedRAMP)


HIPAA 和 HITECH 資源

HIPAA 和 HITECH 法案

使用 Azure 設計安全健康狀況解決方案的實用指南


HIPAA/HITECH 法案實作指導方針

Azure HIPAA/HITECH 實作指導方針

Dynamics 365 和 Office 365 HIPAA/HITECH 實作指導方針