醫(yī)療保健中的信息技術(shù)治理、風(fēng)險與合規(guī)(第二版) 2024

?2024?2024安全聯(lián)盟大中華區(qū)?2024云安全聯(lián)盟大中華區(qū)——保留所有權(quán)利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯(lián)盟大中華區(qū)官網(wǎng)()。須遵守以下:(a)本文只可作個人、信息獲取、非商業(yè)用途;(b)本文內(nèi)容不得篡改;(c)本文不得轉(zhuǎn)發(fā);(d)該商標(biāo)、版權(quán)或其他聲明不得刪除。在遵循中華人民共和國著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時請注明引用于云安全聯(lián)盟大中華區(qū)。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有2YutaoMaAkhilMittalMic在此感謝以上專家及單位。如譯文有不妥當(dāng)之處，敬請讀者聯(lián)系CSAGCR秘書處給?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有3致謝 摘要 1.1新興技術(shù)對GRC的影響 7 2.1計劃 82.2定義 112.3實施 122.4監(jiān)視 122.5討論 132.6威脅 133.風(fēng)險 143.1評估風(fēng)險 153.2降低風(fēng)險 164.合規(guī)性 174.1GRC中倫理考量的整合 194.2云合規(guī)框架 194.3全球云框架 194.4地方監(jiān)管框架 205.結(jié)論 21參考文獻 ?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有4序言服務(wù)的提升帶來了巨大的機遇，同時也帶來了前所未有的挑告深入探討了GRC如何在確保合規(guī)的同時幫助機構(gòu)最大化地降低技術(shù)風(fēng)險，提升運報告指出，隨著生成式人工智能等新興技術(shù)的應(yīng)用，醫(yī)療威脅愈加復(fù)雜。AI技術(shù)的雙刃劍效應(yīng)，不僅可以提升醫(yī)療診可能因數(shù)據(jù)隱私、算法偏見等問題帶來法律和倫理上的挑戰(zhàn)展望未來，全球醫(yī)療保健行業(yè)在技術(shù)進步的驅(qū)動風(fēng)險、嚴(yán)格的監(jiān)管要求以及新型攻擊手段的不斷涌現(xiàn)。為全工具等方面加大投入，以確保組織在瞬息萬變的技術(shù)環(huán)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有5摘要持一致性。這種自頂向下的方法確保在符合行業(yè)法規(guī)和將討論一個良好的云GRC計劃的要素以及建立準(zhǔn)確性、道德和法律問題、安全性和隱私性，因為可能涉及患者GRC的目標(biāo)是建立必要的監(jiān)督，以使AI行為符合道德標(biāo)準(zhǔn)和社GRC提供了一種共享相關(guān)信息的方法，有助于彌合差距并消?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有6據(jù)完整性并改善患者治療效果，但它們也在合規(guī)性和安全管2.治理基于云的架構(gòu)和業(yè)務(wù)運營比傳統(tǒng)的本地數(shù)據(jù)中心架構(gòu)更加多樣化和復(fù)雜，因此依靠用于本地數(shù)據(jù)中心環(huán)境的相同策略和工具將不能確保在云上取得成功1。云治將云計算引入HDO會影響角色、職責(zé)、流程和度量標(biāo)準(zhǔn)。如果沒有適當(dāng)?shù)闹卫韥硖峁?biāo)準(zhǔn)和指南來駕馭風(fēng)險以及有效采購和運營云服務(wù)，HDO可能會發(fā)現(xiàn)自己面?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有7規(guī)劃始于識別利益相關(guān)者的業(yè)務(wù)需求，并識別如何滿足這些需求。云計算治理?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有8這包括評估公司治理的所有方面，以找到創(chuàng)建或維護云治理模型的起點，以便提供基于云計算治理成熟度水平的管理級別信息，來提云治理愿景基于云治理的指導(dǎo)原則和商業(yè)戰(zhàn)略。實現(xiàn)云計算愿景的戰(zhàn)略應(yīng)包括?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有9云治理路線圖定義了云治理生命周期的迭代次數(shù)。云治理的初始部署在第一個在HDO開始規(guī)劃和實施其治理模型時，有兩個關(guān)鍵領(lǐng)域?qū)τ谶@一過程的成功至關(guān)重要，首先是數(shù)據(jù)分類。數(shù)據(jù)分類為整個生態(tài)定規(guī)則。數(shù)據(jù)的安全要求決定了其分類。數(shù)據(jù)必其次，識別角色和責(zé)任。云計算處于一個責(zé)任共擔(dān)環(huán)境中。以下來自微軟的圖責(zé)任SaaSPaaSIaaS本地責(zé)任始終為客戶信息和數(shù)據(jù)設(shè)備（移動設(shè)備和PC）賬戶和身份責(zé)任因類型而異身份和目錄基礎(chǔ)設(shè)施應(yīng)用網(wǎng)絡(luò)控制操作系統(tǒng)責(zé)任轉(zhuǎn)移到云端供應(yīng)商物理主機物理網(wǎng)絡(luò)物理數(shù)據(jù)中心Microsoft客戶共享?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有10如您所見，在責(zé)任共擔(dān)模型下，基于本地數(shù)據(jù)中心的治理模型在混合云環(huán)境中清楚了解從云服務(wù)提供商那繼承的合規(guī)性至關(guān)重要。這是因為他們負(fù)責(zé)實施，適用于他們在責(zé)任共擔(dān)中所負(fù)責(zé)部分的控制措施。作為客戶施，以實現(xiàn)對法規(guī)的整體合規(guī)性。例如，如果您需要遵守《心和虛擬化安全，實施一套控制措施。然而，作為云服務(wù)的程序、系統(tǒng)和數(shù)據(jù)的訪問控制、管理應(yīng)用程序漏洞、確保您期、遵守數(shù)據(jù)保留和數(shù)據(jù)處置要求、實施安全控制、監(jiān)控您惡意活動，并處理事件。ITGRC是一個持續(xù)的過程，需要持續(xù)監(jiān)控、評估和5.定義一個治理框架。云安全聯(lián)盟（CSA）的云控制矩陣（CCM）框架專注此外，實施和管理云治理所需的技術(shù)和工具也在此項活動中被定義。進行現(xiàn)有企業(yè)技術(shù)和工具的分析，并識別出差距。差距分析的結(jié)果作?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有11括云計算各個方面的指導(dǎo)方針，如配置、訪問管理和變更控制。這些標(biāo)須傳達給所有利益相關(guān)者，明確說明每個利益相關(guān)者的角色和責(zé)任。此外，HDO應(yīng)兩者的要求。挑戰(zhàn)可能來自業(yè)務(wù)部門的路線圖和整體戰(zhàn)略方和開發(fā)人員合作時，這可能妨礙成功推出這些框架的能力。及控制措施實際意義的教育不足，會在實施過程中持續(xù)監(jiān)控對確保云治理的有效性至關(guān)重要。策略和標(biāo)準(zhǔn)并非一成不變；隨著技術(shù)和法規(guī)的變化，它們也必須更新。當(dāng)變化發(fā)生時，監(jiān)控使HDO能夠收集有關(guān)云治理流程的性能信息，這些信息可以作為下一個周實施云安全態(tài)勢管理（CSPM）解決方案提供全面洞察云配置錯誤的情況，提供采用已經(jīng)徹底改變了云計算基礎(chǔ)設(shè)施的管理，促進了主動風(fēng)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有12云治理可以顯著增強HDO利用云計算滿足業(yè)務(wù)需求的能力。隨著HDO持續(xù)以遷些困難，例如將云治理整合到其現(xiàn)有的治理流程與旨在保護資產(chǎn)的傳統(tǒng)網(wǎng)絡(luò)安全不同，醫(yī)療保健行業(yè)的網(wǎng)絡(luò)安全始終與人息息相關(guān)，它通常直接連接到面向患者的網(wǎng)絡(luò)技術(shù)——例如，對入式醫(yī)療設(shè)備。另一方面，網(wǎng)絡(luò)安全威脅在數(shù)量、種類（如健系統(tǒng)。WannaCry最深遠(yuǎn)的影響發(fā)生在英國，導(dǎo)致英國國家衛(wèi)生服務(wù)（NHS）受到嚴(yán)重影響，勒索軟件加密了文件，犯罪分子要求支付贖金以?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有13低風(fēng)險。沒有任何信息系統(tǒng)是百分之百安全的，因此控制的一個可接受的水平，并且管理風(fēng)險。為了構(gòu)建一個健壯的網(wǎng)絡(luò)防御，HDO必須理解云風(fēng)險管理是在云關(guān)系的整個生命周期中識別、評估和控制在現(xiàn)代混合云環(huán)境提供的服務(wù)和環(huán)境的可見性，責(zé)任共擔(dān)模型下的風(fēng)險管風(fēng)險管理（TPRM）的一部分。風(fēng)險評估也可能因云部署識別風(fēng)險是風(fēng)險管理的基礎(chǔ)活動；如果HDO未能識別風(fēng)險，它將難以成功管理方面的歷史經(jīng)驗，可以是識別風(fēng)險來源的良好第一步。HDO可以從這個列表開始，用于組織和記錄已經(jīng)識別的運營風(fēng)險的信息。HDO的風(fēng)險管理策略必須將運營活動和流程按優(yōu)先級排序，來區(qū)分出那些已經(jīng)被管理的和那些?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有14用Slack頻道報告他們想要報告的風(fēng)險。這樣做的好處是，GRC不需要承擔(dān)識別風(fēng)險的責(zé)任，并創(chuàng)造了一個安全意識文化，這種文化擁抱并理解風(fēng)險編號識別日期風(fēng)險描述影響可能性風(fēng)險級別處置緩解控制風(fēng)險所有人圖3：風(fēng)險登記冊《網(wǎng)絡(luò)韌性評審補充資源指南：風(fēng)險管理》第7卷：風(fēng)險管理以形成風(fēng)險處置決定。無論采用何種方法進行風(fēng)險分析，記錄這一過程都很重要，以確保一致性并為未來的改進提供背景信息11。在進行云風(fēng)險評估時，理解責(zé)任共案所帶來的風(fēng)險，并規(guī)劃針對云運營的風(fēng)險應(yīng)對和控制框架是使用大型、多樣化組織的輸入所開發(fā)的。在評估風(fēng)險之后，HDO應(yīng)該應(yīng)用控在對云平臺進行風(fēng)險評估時，有必要結(jié)合多種評估方法，如配置檢查和漏洞掃描。然而，云平臺有更多有價值的資源，并且與租戶有服?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有15值得注意的是，合同中的SLA將決定哪種類型的測試是被允許的，以及測試應(yīng)該多來自獨立評估者的報告，以驗證適當(dāng)?shù)目刂拼胧┮呀?jīng)部署并且按預(yù)期工作。HDO可以從云服務(wù)提供商那里要求第三方證明材料，例如SOC2報告。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有16HDO必須將他們的風(fēng)險和控制框架映射到一個能夠以標(biāo)準(zhǔn)化方式解決云風(fēng)險的廣泛采用和標(biāo)準(zhǔn)化的框架中受益，例如ISO27001、COBIT和NIST。為了更好地理解與云計算平臺相關(guān)的潛在威脅和風(fēng)險，請參考CSA發(fā)布的《云計算十一大頂級流行威脅》報告15。這份報告提供了對云用戶和提供商面臨的最重大安全挑戰(zhàn)的深刻見解，包括數(shù)據(jù)泄露、配置錯誤、不安全的接口和API以及內(nèi)部威脅。通過了解這些威脅，組織可以采取積極的措施來降低4.合規(guī)性云合規(guī)性指的是旨在保護和規(guī)范存儲在云平臺上的信息的準(zhǔn)則、法律和法規(guī)。對于醫(yī)療保健服務(wù)提供組織（HDO這指的是涵蓋安全性和隱私性的法規(guī)和法律。每種形式的信息都有其自己的規(guī)則。在美國，PHI有《健康保險流通與責(zé)任法案》有保護其數(shù)據(jù)主體PII的國家法律。這包括存儲在國內(nèi)和國外的數(shù)據(jù)。在美國，雖然并非所有合規(guī)要求都有全面的聯(lián)邦法律，但每個州都有?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有17除了美國的法規(guī)外，加拿大和墨西哥也有自己的法規(guī)。加拿大有兩項主要的隱的透明度。該指令還禁止將PII傳輸?shù)饺魏挝茨茏C明有足夠保護的國家。下圖顯示這份法規(guī)列表讓讀者了解在確定合規(guī)性要求時必須考慮的主要法規(guī)。這只是合規(guī)要求的一小部分；醫(yī)療機構(gòu)需要針對其特定數(shù)據(jù)存儲地方供應(yīng)商的安全態(tài)勢、對其安全實踐進行盡職調(diào)查，并?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有18實施有效的云合規(guī)策略對于組織確保其云環(huán)境的安全性和符合法規(guī)至關(guān)重要。規(guī)目標(biāo)。通過進行全面的風(fēng)險評估，HDO可以識別潛在的安定明確且有文檔記錄的政策和程序至關(guān)重要。這些策略應(yīng)涵據(jù)處理、事件響應(yīng)與管理、變更管理、漏洞管理以及數(shù)據(jù)泄隨著技術(shù)滲透到醫(yī)療保健的各個方面，倫理考量變得越來越重要。將倫理規(guī)范用中的算法偏見等問題。這種整合確保技術(shù)進步在不侵全提供了框架。這個由CSA創(chuàng)建的安全控制矩陣為安全供應(yīng)商提供了基本準(zhǔn)則。此?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有19聯(lián)邦風(fēng)險與授權(quán)管理計劃(FedRAMP)：FedRAMP是一項覆蓋為云產(chǎn)品和服務(wù)的安全評估、授權(quán)以及持續(xù)監(jiān)控提供了與任何聯(lián)邦機構(gòu)開展業(yè)務(wù)的組織而言，遵守這一套針對ISO/IEC27017：國際標(biāo)準(zhǔn)化組織(ISO)發(fā)布了多項網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，其中云合規(guī)框架幫助您應(yīng)對監(jiān)管環(huán)境，避免因不合規(guī)而帶來的財務(wù)和聲譽成本。此可以展示其對隱私和數(shù)據(jù)保護的承諾。這將幫助監(jiān)管機商、云服務(wù)提供商以及相關(guān)方合作時，如何保護醫(yī)療信息服務(wù)提供商有義務(wù)根據(jù)由兩個日本政府部門發(fā)布的兩項指個人健康信息（PHI）的服務(wù)提供商遵循其框架，以確保PHI的安全保護。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有20治理、風(fēng)險和合規(guī)（GRC）是一套幫助醫(yī)療保健服務(wù)提供組織（HDO）結(jié)構(gòu)化其治理、風(fēng)險管理和監(jiān)管合規(guī)方法的流程、實踐、框架和技術(shù)優(yōu)勢。在采用云計算時，HDO必須認(rèn)真識別其安全需求，評估服務(wù)提供商的安全和隱私控制，并理解共享責(zé)任和合規(guī)責(zé)任的傳遞。通過深入理參考文獻[1]Capgemini,2021.CloudGovernanceGuide-BusinessAlignedApproachtoCloudUtilization,Retrievedfrom/fi-en/research-and-insight/cloud-qovernance-quide-business-aligned-approach-to-cloud-utilization[2]ObjectManagementGroup,2019.PracticalGuidetoCloudGovernance,Retrievedfrom/cloud/deliverables/practical-guide-to-cloud-governance.pdf[3]Karko?ková,S.&FeuerlichtG.,2016.CloudComputingGovernanceLifecycle,ActaInformaticaPragensia,5(1):56-71DOl:10.18267/j.aip.85[4]Arend,C.,&Helkenberg,R.2021.CloudGovernanceSuccess:APracticalFrameworktoGetingStartedwithCloudDataGovernance,Retrievedfrom/WE-HCS-CNTNT-FY22-11Nov-10-Cloud-governance-eGuide-A-Practical-Framework-to-Starting-Cloud-Data-Governance-SRGCM5306_LP01-Registration---Form-in-?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有21Body.html[5]ObjectManagementGroup,2019.PracticalGuidetoCloudGovernance,Retrievedfrom/cloud/deliverables/practical-guide-to-cloud-governance.pdf[6]Ancoris,2023.CloudGovernanceFramework:HowtoDevelop,ImplementandFollowOne,Retrievedfrom/blog/cloud-governance-framework[7]Karko?ková,S.&FeuerlichtG.,2016.CloudComputingGovernanceLifecycle,ActaInformaticaPragensia,5(1):56-71DOl:10.18267/j.aip.85[8]Rasner,G.,2021.Cybersecurity&Third-PartyRisk:Third-PartyThreatHunting,JohnWiley&Sons,Inc.,Hoboken,NJ.[9]CarnegieMellonUniversity,2016.CyberResilienceReviewSupplementalResourceGuide:RiskManagement,DepartmentofHomelandSecurity[10]Rasner,G.,2021.Cybersecurity&Third-PartyRisk:Third-PartyThreatHunting,JohnWiley&Sons,Inc.,Hoboken,NJ.[11]CarnegieMellonUniversity,2016.CyberResilienceReviewSupplementalResourceGuide:RiskManagement,DepartmentofHomelandSecurity[12]Rasner,G.,2021.Cybersecurity&Third-PartyRisk:Third-PartyThreatHunting,JohnWiley&Sons,Inc.,Hoboken,NJ.[13]lorga,M.,Karmel,A.,ManagingRiskinaCloudEcosystem,/10.1109/MCC.2015.122[14]Microsoft,2023.RiskAssessmentGuideforMicrosoftCloud,Retrievedfrom/en-us/compliance/assurance/assurance-risk-assessment-guide[15]CloudSecurityAlliance,2023.TopThreatstoCloudComputingPandemicEleven,Retrievedfrom/artifacts/top-threats-to-cloud-computing-pandemic-eleven[16]Shacklett,M.,2023.WhatisCloudCompliance?AComprehensiveGuide,Retrievedfromhttps:/www.datamation.com/cloud/what-is-cloud-compliance/[17]Moschovitis,C.,2021.PrivacyRegulationsandCybersecurity:TheEssentialBusinessGuide,JohnWiley&Sons,Inc.NewJersey[18]Varankevich,S.,2017.TeritorialScopeofGDPR,Retrievedfrom?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有22/pulse/territorial-scope-gdpr-flowc