《醫(yī)療保健信息技術(shù)治理、風(fēng)險(xiǎn)與合規(guī)（第二版）》

目 錄致謝 1摘要 5引言 6新興技術(shù)對(duì)GRC的影響 7治理 7計(jì)劃 82.2定義 112.3實(shí)施 122.4監(jiān)視 122.5討論 132.6威脅 133.風(fēng)險(xiǎn) 14評(píng)估風(fēng)險(xiǎn) 15降低風(fēng)險(xiǎn) 16合規(guī)性 17GRC中倫理考量的整合 19云合規(guī)框架 19全球云框架 19地方監(jiān)管框架 205.結(jié)論 21參考文獻(xiàn) 21?2024云全聯(lián)大中區(qū)版所有 4序言隨著醫(yī)療保健行業(yè)進(jìn)入數(shù)字化轉(zhuǎn)型的深水區(qū)，信息技術(shù)的快速普及不僅為醫(yī)療服務(wù)的提升帶來了巨大的機(jī)遇，同時(shí)也帶來了前所未有的挑戰(zhàn)。在這一過程中，信、物聯(lián)網(wǎng)（IoT）以及區(qū)塊鏈等技術(shù)的崛起，進(jìn)一步加劇了這些以及遵循復(fù)雜的行業(yè)法規(guī)。（第二版GRCGRC營(yíng)效率，簡(jiǎn)化流程，并且為組織的長(zhǎng)期安全性和可持續(xù)性奠定基礎(chǔ)。AIAIGRC規(guī)要求。GRC和彈性。李雨航Y(jié)aleCSA?2024云全聯(lián)大中區(qū)版所有 5摘要HDOGRC引言HDO（GRC）HDO風(fēng)險(xiǎn)。云GRC（從而）未能將收集的結(jié)果整合到GRCGRC正確實(shí)施的GRCAIGRCGRC的目標(biāo)是建立必要的監(jiān)督，以使AI在的不利影響。GRC提供了一種共享相關(guān)信息的方法，有助于彌合差距并消除組織中的孤島。?2024云全聯(lián)大中區(qū)版所有 6新興技術(shù)對(duì)GRC的影響區(qū)塊鏈、物聯(lián)網(wǎng)（IoT、人工智能和高級(jí)分析等新興技術(shù)在醫(yī)療保健領(lǐng)域的迅GRC在GRC網(wǎng)絡(luò)安全措施。治理HDOITHDOHDOHDOITIT基于云的架構(gòu)和業(yè)務(wù)運(yùn)營(yíng)比傳統(tǒng)的本地?cái)?shù)據(jù)中心架構(gòu)更加多樣化和復(fù)雜，因此1。云治HDO時(shí)最大限度地降低風(fēng)險(xiǎn)、優(yōu)化投資并確保符合法律和法規(guī)要求。通過創(chuàng)建云治理模型，HDOHDO與企業(yè)目標(biāo)不一致?2024云全聯(lián)大中區(qū)版所有 7頻繁的策略例外評(píng)審項(xiàng)目停滯合規(guī)或監(jiān)管的處罰或失敗數(shù)據(jù)治理與管理預(yù)算超支不完整的風(fēng)險(xiǎn)評(píng)估2根據(jù)面向服務(wù)架構(gòu)（SOA）框架，云治理生命周期由四個(gè)階段組成：計(jì)劃（Plan）定義（Define）實(shí)施（Implement）監(jiān)控（Monitor）圖1:SOA治理生命周期規(guī)劃規(guī)劃始于識(shí)別利益相關(guān)者的業(yè)務(wù)需求，并識(shí)別如何滿足這些需求。云計(jì)算治理?2024云全聯(lián)大中區(qū)版所有 8生命周期的規(guī)劃階段包括：分析已實(shí)施的治理模型和流程。這包括評(píng)估公司治理的所有方面，以找到創(chuàng)建或維護(hù)云治理模型的起點(diǎn)，以便提供基于云計(jì)算治理成熟度水平的管理級(jí)別信息，來提升云計(jì)算治理。該水平分為6個(gè)級(jí)別：0：不存在云計(jì)算治理1：初始/臨時(shí)的云計(jì)算治理2：可重復(fù)的云計(jì)算治理3：已定義的云計(jì)算治理4：可管理和可度量的云計(jì)算治理5：優(yōu)化的云計(jì)算治理云治理愿景與戰(zhàn)略。云治理愿景基于云治理的指導(dǎo)原則和商業(yè)戰(zhàn)略。實(shí)現(xiàn)云計(jì)算愿景的戰(zhàn)略應(yīng)包括云治理評(píng)估以及衡量從云治理中獲得價(jià)值的指標(biāo)定義。云治理的范圍。識(shí)別利益相關(guān)者的需求識(shí)別云治理流程識(shí)別治理級(jí)別并選擇云治理的組成部分指導(dǎo)原則的適應(yīng)性調(diào)整。此活動(dòng)根據(jù)企業(yè)IT治理原則調(diào)整HDOISACA?2024云全聯(lián)大中區(qū)版所有 96HDOHDO規(guī)劃云治理路線圖。云治理路線圖定義了云治理生命周期的迭代次數(shù)。云治理的初始部署在第一個(gè)周期的實(shí)施過程中進(jìn)行。在后續(xù)的迭代中，逐步實(shí)施完整的云治理愿景3。HDO（PII）還是受保護(hù)的健康信息（PHI，或者數(shù)據(jù)可以自由共享嗎？其次，識(shí)別角色和責(zé)任。云計(jì)算處于一個(gè)責(zé)任共擔(dān)環(huán)境中。以下來自微軟的圖表展示了不同職能的責(zé)任分配：任 SaaS PaaS IaaS 本地客戶因類型而異責(zé)任供應(yīng)商

信息和數(shù)據(jù)設(shè)備（移動(dòng)設(shè)備和賬戶和身份身份和目錄基礎(chǔ)設(shè)施應(yīng)用網(wǎng)絡(luò)控制操作系統(tǒng)物理主機(jī)物理網(wǎng)絡(luò)物理數(shù)據(jù)中心Microsoft 戶 享圖2：來自微軟的云責(zé)任共擔(dān)模型?2024云全聯(lián)大中區(qū)版所有 10如您所見，在責(zé)任共擔(dān)模型下，基于本地?cái)?shù)據(jù)中心的治理模型在混合云環(huán)境中將不再充分滿足需求。清楚了解從云服務(wù)提供商那繼承的合規(guī)性至關(guān)重要。這是因?yàn)樗麄冐?fù)責(zé)實(shí)施，適用于他們?cè)谪?zé)任共擔(dān)中所負(fù)責(zé)部分的控制措施。作為客戶，您也負(fù)責(zé)實(shí)施控制措施，以實(shí)現(xiàn)對(duì)法規(guī)的整體合規(guī)性。例如，如果您需要遵守《健康保險(xiǎn)流通與責(zé)任法（HIPAA、對(duì)您的應(yīng)用程序、系統(tǒng)和數(shù)據(jù)的訪問控制、管理應(yīng)用程序漏洞、確保您有安全軟件開發(fā)生命周期、遵守?cái)?shù)據(jù)保留和數(shù)據(jù)處置要求、實(shí)施安全控制、監(jiān)控您的云資源是否有異常和惡意活動(dòng)，并處理事件。ITGRCGRC法規(guī)和業(yè)務(wù)需求進(jìn)行必要的調(diào)整。定義"定義"是定義實(shí)現(xiàn)規(guī)劃階段目標(biāo)所需步驟的過程。以下是此步驟中的一些活動(dòng)。根據(jù)公認(rèn)的治理成熟度模型評(píng)估當(dāng)前云治理的現(xiàn)狀。HDO4。HDO定義執(zhí)行所有治理流程的治理機(jī)構(gòu)。定義一個(gè)治理框架。云安全聯(lián)盟（CSA）的云控制矩陣（CCM）框架專注5。此外，實(shí)施和管理云治理所需的技術(shù)和工具也在此項(xiàng)活動(dòng)中被定義。進(jìn)行現(xiàn)有企業(yè)技術(shù)和工具的分析，并識(shí)別出差距。差距分析的結(jié)果作為獲取技術(shù)和工具的基礎(chǔ)，這些技術(shù)和工具應(yīng)支持云治理的自動(dòng)化能力。?2024云全聯(lián)大中區(qū)版所有 11實(shí)施HDO6。HDO推出治理框架時(shí)出現(xiàn)重大延誤，特別是，當(dāng)需要與工程部門、開發(fā)運(yùn)營(yíng)及控制措施實(shí)際意義的教育不足，會(huì)在實(shí)施過程中帶來意想不到的挑戰(zhàn)。監(jiān)控持續(xù)監(jiān)控對(duì)確保云治理的有效性至關(guān)重要。策略和標(biāo)準(zhǔn)并非一成不變；隨著技術(shù)和法規(guī)的變化，它們也必須更新。當(dāng)變化發(fā)生時(shí)，評(píng)審和更新策略及標(biāo)準(zhǔn)是必不可少的。HDO應(yīng)進(jìn)行定期評(píng)估，以識(shí)別需要改進(jìn)的領(lǐng)域并進(jìn)行必要的調(diào)整。HDOHDO7評(píng)估。實(shí)施云安全態(tài)勢(shì)管理（CSPM）解決方案提供全面洞察云配置錯(cuò)誤的情況，提供的采用已經(jīng)徹底改變了云計(jì)算基礎(chǔ)設(shè)施的管理，促進(jìn)了主動(dòng)風(fēng)險(xiǎn)管理。通過使用靜態(tài)IaC?2024云全聯(lián)大中區(qū)版所有 12加強(qiáng)了云治理框架。討論HDOHDOITCSACCMHDO8。威脅與旨在保護(hù)資產(chǎn)的傳統(tǒng)網(wǎng)絡(luò)安全不同，醫(yī)療保健行業(yè)的網(wǎng)絡(luò)安全始終與人息息相關(guān)，它通常直接連接到面向患者的網(wǎng)絡(luò)技術(shù)——例如，對(duì)患者生命至關(guān)重要的植入式醫(yī)療設(shè)備。另一方面，網(wǎng)絡(luò)安全威脅在數(shù)量、種類（如勒索軟件）以及對(duì)有漏洞的IoT系統(tǒng)的攻擊方面都在增加。2016150健系統(tǒng)。WannaCry（NHS）受到80HDO512519的預(yù)定手術(shù)和臨床預(yù)約不得不取消。?2024云全聯(lián)大中區(qū)版所有 13風(fēng)險(xiǎn)HDOHDO一個(gè)可接受的水平，并且管理風(fēng)險(xiǎn)。為了構(gòu)建一個(gè)健壯的網(wǎng)絡(luò)防御，HDO云風(fēng)險(xiǎn)管理是在云關(guān)系的整個(gè)生命周期中識(shí)別、評(píng)估和控制在現(xiàn)代混合云環(huán)境（IaaSPaaSSaaS風(fēng)險(xiǎn)管理（TPRM）私有云、公有云或混合云。HDOHDO風(fēng)險(xiǎn)識(shí)別中的重要活動(dòng)包括：/HDO在風(fēng)險(xiǎn)登記冊(cè)中記錄已識(shí)別的風(fēng)險(xiǎn)，或采用其他跟蹤機(jī)制。風(fēng)險(xiǎn)登記簿一般用于組織和記錄已經(jīng)識(shí)別的運(yùn)營(yíng)風(fēng)險(xiǎn)的信息。HDO9HDO是來自《網(wǎng)絡(luò)韌性評(píng)審補(bǔ)充資源指南：風(fēng)險(xiǎn)管理》10中的一個(gè)示例。建立一個(gè)與您的技術(shù)組織熟悉的工作方式相一致的報(bào)告機(jī)制，例如工程師使?2024云全聯(lián)大中區(qū)版所有 14SlackGRC報(bào)告風(fēng)險(xiǎn)。風(fēng)險(xiǎn)編號(hào)識(shí)別日期風(fēng)險(xiǎn)描述影響可能性風(fēng)險(xiǎn)級(jí)別處置緩解控制風(fēng)險(xiǎn)所有人圖3：風(fēng)險(xiǎn)登記冊(cè)《網(wǎng)絡(luò)韌性評(píng)審補(bǔ)充資源指南：風(fēng)險(xiǎn)管理》第7卷：風(fēng)險(xiǎn)管理評(píng)估風(fēng)險(xiǎn)風(fēng)險(xiǎn)分析過程確保所有已識(shí)別的風(fēng)險(xiǎn)都在HDO以形成風(fēng)險(xiǎn)處置決定。無論采用何種方法進(jìn)行風(fēng)險(xiǎn)分析，記錄這一過程都很重要，11。在進(jìn)行云風(fēng)險(xiǎn)評(píng)估時(shí)，理解責(zé)任共HDO1213。ISONIST框架是使用大型、多樣化組織的輸入所開發(fā)的。在評(píng)估風(fēng)險(xiǎn)之后，HDO在對(duì)云平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，有必要結(jié)合多種評(píng)估方法，如配置檢查和漏洞掃描。然而，云平臺(tái)有更多有價(jià)值的資源，并且與租戶有服務(wù)級(jí)別協(xié)議，因此一些評(píng)估方法需要根據(jù)云計(jì)算的特性進(jìn)行調(diào)整。問卷調(diào)查：?jiǎn)柧硖峁┝艘惶钻P(guān)于管理和操作控制的問題，供系統(tǒng)技術(shù)或管理?2024云全聯(lián)大中區(qū)版所有 15HDO性、系統(tǒng)規(guī)模和結(jié)構(gòu)等。訪談：現(xiàn)場(chǎng)訪談涉及評(píng)估人員前往現(xiàn)場(chǎng)訪談系統(tǒng)技術(shù)或管理人員，并收集有關(guān)系統(tǒng)的物理、環(huán)境和操作方面的信息。訪談的內(nèi)容應(yīng)包括：是否有數(shù)據(jù)存儲(chǔ)完整性測(cè)試的設(shè)計(jì)是否有清除數(shù)據(jù)副本的手段和措施絡(luò)入侵虛擬機(jī)（VM）之間以及虛擬機(jī)與宿主機(jī)之間的隔離方法營(yíng)和安全培訓(xùn)計(jì)劃SaaSPaaSIaaSSLA降低風(fēng)險(xiǎn)HDOCSPHDO來自獨(dú)立評(píng)估者的報(bào)告，以驗(yàn)證適當(dāng)?shù)目刂拼胧┮呀?jīng)部署并且按預(yù)期工作。HDOSOC2HDOHDO?2024云全聯(lián)大中區(qū)版所有 16問控制列表是否適當(dāng)?shù)叵拗屏嗽L問，身份和訪問管理是否按預(yù)期工作，以及漏洞是否及時(shí)發(fā)現(xiàn)并進(jìn)行了適當(dāng)?shù)墓芾?。HDOHDOISO27001、COBITNIST。CSA15。這份報(bào)告提供了對(duì)云用戶和提供商面臨的最重API勢(shì)。合規(guī)性云合規(guī)性指的是旨在保護(hù)和規(guī)范存儲(chǔ)在云平臺(tái)上的信息的準(zhǔn)則、法律和法規(guī)。對(duì)于醫(yī)療保健服務(wù)提供組織（HDO，這指的是涵蓋安全性和隱私性的法規(guī)和法律。（PIIHDOHDO每種形式的信息都有其自己的規(guī)則。在美國，PHI（HIPAAPCI，（PCIDSS。不少國家、地區(qū)PII?2024云全聯(lián)大中區(qū)版所有 1722017除了美國的法規(guī)外，加拿大和墨西哥也有自己的法規(guī)。加拿大有兩項(xiàng)主要的隱（GDPRPIIPIIGDPR圖4:GDPR適用范圍18這份法規(guī)列表讓讀者了解在確定合規(guī)性要求時(shí)必須考慮的主要法規(guī)。這只是合規(guī)要求的一小部分；醫(yī)療機(jī)構(gòu)需要針對(duì)其特定數(shù)據(jù)存儲(chǔ)地點(diǎn)和涉及對(duì)象進(jìn)一步研究相關(guān)要求。IT求的合同協(xié)議至關(guān)重要。?2024云全聯(lián)大中區(qū)版所有 18實(shí)施有效的云合規(guī)策略對(duì)于組織確保其云環(huán)境的安全性和符合法規(guī)至關(guān)重要。規(guī)目標(biāo)。通過進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，HDO續(xù)監(jiān)控有助于及時(shí)識(shí)別和糾正不合規(guī)問題或安全事件。19GRC隨著技術(shù)滲透到醫(yī)療保健的各個(gè)方面，倫理考量變得越來越重要。將倫理規(guī)范GRC下，為患者帶來利益。云合規(guī)框架這些框架特別針對(duì)云合規(guī)要求。云服務(wù)提供商和客戶都應(yīng)該深入了解這些框架，包括全球采納的框架以及所在國家、地區(qū)的監(jiān)管框架。全球云框架（CCM（CSA（CCMCSACSA（STAR）的認(rèn)證程序。STAR?2024云全聯(lián)大中區(qū)版所有 19聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃(FedRAMP)：FedRAMP是一項(xiàng)覆蓋整個(gè)政府的計(jì)劃，為云產(chǎn)品和服務(wù)的安全評(píng)估、授權(quán)以及持續(xù)監(jiān)控提供了一種標(biāo)準(zhǔn)化方法。對(duì)于希望與任何聯(lián)邦機(jī)構(gòu)開展業(yè)務(wù)的組織而言，遵守這一套針對(duì)云的特定數(shù)據(jù)安全法規(guī)是必要的。ISO/IEC27017：國際標(biāo)準(zhǔn)化組織(ISO)發(fā)布了多項(xiàng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，其中ISO/IEC27017:2015是提供云服務(wù)信息安全控制指南的標(biāo)準(zhǔn)。云合規(guī)框架幫助您應(yīng)對(duì)監(jiān)管環(huán)境，避免因不合規(guī)而帶來的財(cái)務(wù)和聲譽(yù)成本。此伙伴的信譽(yù)和信任。20地方監(jiān)管框架有許多國家、地區(qū)特定的云框架。以下是一些示例：（2G3M措施。這些指南定義了云服務(wù)提供商的義務(wù)。《醫(yī)療信息系統(tǒng)安全管理指南5.1（20211發(fā)布《處理醫(yī)療信息的信息系統(tǒng)和服務(wù)提供商安全管理指南（20208》由日本經(jīng)濟(jì)產(chǎn)業(yè)省發(fā)布法國健康數(shù)據(jù)托管個(gè)人健康信息（PHI）PHI維護(hù)托管物理基礎(chǔ)設(shè)施的物理場(chǎng)所的正常運(yùn)行狀態(tài)?2024云全聯(lián)大中區(qū)版所有 20esüagaü5.éê?êesüagaü5.éê?êGRen’om, ri[1]Capgen’om, riGUI

.ca enini.

uide-BusinessAHgnedApproachtoCloudnresearch—and—insihtc1oud—overnance—uide—business—aed—a roach—to i1izationbject?bject?entGroup,2019.Pzact1ca1GutdetoCloudGorecnance,Retrievedr/c1oud/de1iverab1es/ractical—uide—to—cloud—overnance.df[3]d,S.&Feuer1ichtG.,2016.CloudComputingGovernanceLifecyc1e,ActaInformaticaPragensia,5(1):56-TlD01:10.l826T/j.aip.85[4]Arend,C.,&He1kenberg,R.2021.CloudGoreznanceSuccess:APcact1catFzarievozktoGettingStarted+!thCloudDatoGoromance,Retrievedfromhttps://info.niicrosoft.cont/BE—HCS—CNTNT—FY22—11Nov—10—C1oud—governance—eGuide—A—Practical—Framework—to—Starting—C1oud—Data—Governance—SRGCH5306LP0l—Registration———Forn—in—21[5 Object ManagementGroup,2019.Code?ìca7butde?oCloudGoceznance,Retrievedfrom[7)harko?kovó,S.&Feuer1ichtG.,2016.CloudConputingGo[7)harko?kovó,S.&Feuer1ichtG.,2016.CloudConputingGoceznonceLifeInformatica Pragensia,5(1):56—71D0l:10.18267/j.aip.85[8 Rasner,G.,2021.Cybezsecuzlty&Tbled—PantyPlsk.TOlzhi1ey&Sons,Inc.,Hoboken,NJ.[9Carnegiebe11onIniversity,2016.CybezPes1[10]Rasner,G.,2021.Cybersecurity&ThirdRisk:ThThreatHunting,JohnsiIey&Sons,Inc.,Hoboken,NJ.[11]Carnegiebe11onInive2016.CybeResourceGuide:RiskManagpatmentofewSupplementalSecurity[12]Rasner,G.,202Hi1ey&Sons,InbersetyRisk:Third—PartyThreatHunting,Johnn,N/.[13)1orga,me1,inaCloudEcosystem,doiorg/101109/MCC.2015.122,20IGuideforHicrosofICIoud,Retrievedfrorihiii?s:.’.’C1oudSence,2023.TopThreetstoCloudConputingPrudentcElecen,Retrieved€u1de,Johnsi1ey&Sons,Inc.NewJersey[18aVarankevich,S,201aTeritorialScopeofGDPR,Retrievedfrom22https://wv.linkedin.con/pu1se/terr