《醫(yī)療保健信息技術(shù)治理、風(fēng)險與合規(guī)（第二版）》

目 錄致謝 1摘要 5引言 6新興技術(shù)對GRC的影響 7治理 7計劃 82.2定義 112.3實施 122.4監(jiān)視 122.5討論 132.6威脅 133.風(fēng)險 14評估風(fēng)險 15降低風(fēng)險 16合規(guī)性 17GRC中倫理考量的整合 19云合規(guī)框架 19全球云框架 19地方監(jiān)管框架 205.結(jié)論 21參考文獻(xiàn) 21?2024云全聯(lián)大中區(qū)版所有 4序言隨著醫(yī)療保健行業(yè)進(jìn)入數(shù)字化轉(zhuǎn)型的深水區(qū)，信息技術(shù)的快速普及不僅為醫(yī)療服務(wù)的提升帶來了巨大的機(jī)遇，同時也帶來了前所未有的挑戰(zhàn)。在這一過程中，信、物聯(lián)網(wǎng)（IoT）以及區(qū)塊鏈等技術(shù)的崛起，進(jìn)一步加劇了這些以及遵循復(fù)雜的行業(yè)法規(guī)。（第二版GRCGRC營效率，簡化流程，并且為組織的長期安全性和可持續(xù)性奠定基礎(chǔ)。AIAIGRC規(guī)要求。GRC和彈性。李雨航Y(jié)aleCSA?2024云全聯(lián)大中區(qū)版所有 5摘要HDOGRC引言HDO（GRC）HDO風(fēng)險。云GRC（從而）未能將收集的結(jié)果整合到GRCGRC正確實施的GRCAIGRCGRC的目標(biāo)是建立必要的監(jiān)督，以使AI在的不利影響。GRC提供了一種共享相關(guān)信息的方法，有助于彌合差距并消除組織中的孤島。?2024云全聯(lián)大中區(qū)版所有 6新興技術(shù)對GRC的影響區(qū)塊鏈、物聯(lián)網(wǎng)（IoT、人工智能和高級分析等新興技術(shù)在醫(yī)療保健領(lǐng)域的迅GRC在GRC網(wǎng)絡(luò)安全措施。治理HDOITHDOHDOHDOITIT基于云的架構(gòu)和業(yè)務(wù)運營比傳統(tǒng)的本地數(shù)據(jù)中心架構(gòu)更加多樣化和復(fù)雜，因此1。云治HDO時最大限度地降低風(fēng)險、優(yōu)化投資并確保符合法律和法規(guī)要求。通過創(chuàng)建云治理模型，HDOHDO與企業(yè)目標(biāo)不一致?2024云全聯(lián)大中區(qū)版所有 7頻繁的策略例外評審項目停滯合規(guī)或監(jiān)管的處罰或失敗數(shù)據(jù)治理與管理預(yù)算超支不完整的風(fēng)險評估2根據(jù)面向服務(wù)架構(gòu)（SOA）框架，云治理生命周期由四個階段組成：計劃（Plan）定義（Define）實施（Implement）監(jiān)控（Monitor）圖1:SOA治理生命周期規(guī)劃規(guī)劃始于識別利益相關(guān)者的業(yè)務(wù)需求，并識別如何滿足這些需求。云計算治理?2024云全聯(lián)大中區(qū)版所有 8生命周期的規(guī)劃階段包括：分析已實施的治理模型和流程。這包括評估公司治理的所有方面，以找到創(chuàng)建或維護(hù)云治理模型的起點，以便提供基于云計算治理成熟度水平的管理級別信息，來提升云計算治理。該水平分為6個級別：0：不存在云計算治理1：初始/臨時的云計算治理2：可重復(fù)的云計算治理3：已定義的云計算治理4：可管理和可度量的云計算治理5：優(yōu)化的云計算治理云治理愿景與戰(zhàn)略。云治理愿景基于云治理的指導(dǎo)原則和商業(yè)戰(zhàn)略。實現(xiàn)云計算愿景的戰(zhàn)略應(yīng)包括云治理評估以及衡量從云治理中獲得價值的指標(biāo)定義。云治理的范圍。識別利益相關(guān)者的需求識別云治理流程識別治理級別并選擇云治理的組成部分指導(dǎo)原則的適應(yīng)性調(diào)整。此活動根據(jù)企業(yè)IT治理原則調(diào)整HDOISACA?2024云全聯(lián)大中區(qū)版所有 96HDOHDO規(guī)劃云治理路線圖。云治理路線圖定義了云治理生命周期的迭代次數(shù)。云治理的初始部署在第一個周期的實施過程中進(jìn)行。在后續(xù)的迭代中，逐步實施完整的云治理愿景3。HDO（PII）還是受保護(hù)的健康信息（PHI，或者數(shù)據(jù)可以自由共享嗎？其次，識別角色和責(zé)任。云計算處于一個責(zé)任共擔(dān)環(huán)境中。以下來自微軟的圖表展示了不同職能的責(zé)任分配：任 SaaS PaaS IaaS 本地客戶因類型而異責(zé)任供應(yīng)商

信息和數(shù)據(jù)設(shè)備（移動設(shè)備和賬戶和身份身份和目錄基礎(chǔ)設(shè)施應(yīng)用網(wǎng)絡(luò)控制操作系統(tǒng)物理主機(jī)物理網(wǎng)絡(luò)物理數(shù)據(jù)中心Microsoft 戶 享圖2：來自微軟的云責(zé)任共擔(dān)模型?2024云全聯(lián)大中區(qū)版所有 10如您所見，在責(zé)任共擔(dān)模型下，基于本地數(shù)據(jù)中心的治理模型在混合云環(huán)境中將不再充分滿足需求。清楚了解從云服務(wù)提供商那繼承的合規(guī)性至關(guān)重要。這是因為他們負(fù)責(zé)實施，適用于他們在責(zé)任共擔(dān)中所負(fù)責(zé)部分的控制措施。作為客戶，您也負(fù)責(zé)實施控制措施，以實現(xiàn)對法規(guī)的整體合規(guī)性。例如，如果您需要遵守《健康保險流通與責(zé)任法（HIPAA、對您的應(yīng)用程序、系統(tǒng)和數(shù)據(jù)的訪問控制、管理應(yīng)用程序漏洞、確保您有安全軟件開發(fā)生命周期、遵守數(shù)據(jù)保留和數(shù)據(jù)處置要求、實施安全控制、監(jiān)控您的云資源是否有異常和惡意活動，并處理事件。ITGRCGRC法規(guī)和業(yè)務(wù)需求進(jìn)行必要的調(diào)整。定義"定義"是定義實現(xiàn)規(guī)劃階段目標(biāo)所需步驟的過程。以下是此步驟中的一些活動。根據(jù)公認(rèn)的治理成熟度模型評估當(dāng)前云治理的現(xiàn)狀。HDO4。HDO定義執(zhí)行所有治理流程的治理機(jī)構(gòu)。定義一個治理框架。云安全聯(lián)盟（CSA）的云控制矩陣（CCM）框架專注5。此外，實施和管理云治理所需的技術(shù)和工具也在此項活動中被定義。進(jìn)行現(xiàn)有企業(yè)技術(shù)和工具的分析，并識別出差距。差距分析的結(jié)果作為獲取技術(shù)和工具的基礎(chǔ)，這些技術(shù)和工具應(yīng)支持云治理的自動化能力。?2024云全聯(lián)大中區(qū)版所有 11實施HDO6。HDO推出治理框架時出現(xiàn)重大延誤，特別是，當(dāng)需要與工程部門、開發(fā)運營及控制措施實際意義的教育不足，會在實施過程中帶來意想不到的挑戰(zhàn)。監(jiān)控持續(xù)監(jiān)控對確保云治理的有效性至關(guān)重要。策略和標(biāo)準(zhǔn)并非一成不變；隨著技術(shù)和法規(guī)的變化，它們也必須更新。當(dāng)變化發(fā)生時，評審和更新策略及標(biāo)準(zhǔn)是必不可少的。HDO應(yīng)進(jìn)行定期評估，以識別需要改進(jìn)的領(lǐng)域并進(jìn)行必要的調(diào)整。HDOHDO7評估。實施云安全態(tài)勢管理（CSPM）解決方案提供全面洞察云配置錯誤的情況，提供的采用已經(jīng)徹底改變了云計算基礎(chǔ)設(shè)施的管理，促進(jìn)了主動風(fēng)險管理。通過使用靜態(tài)IaC?2024云全聯(lián)大中區(qū)版所有 12加強(qiáng)了云治理框架。討論HDOHDOITCSACCMHDO8。威脅與旨在保護(hù)資產(chǎn)的傳統(tǒng)網(wǎng)絡(luò)安全不同，醫(yī)療保健行業(yè)的網(wǎng)絡(luò)安全始終與人息息相關(guān)，它通常直接連接到面向患者的網(wǎng)絡(luò)技術(shù)——例如，對患者生命至關(guān)重要的植入式醫(yī)療設(shè)備。另一方面，網(wǎng)絡(luò)安全威脅在數(shù)量、種類（如勒索軟件）以及對有漏洞的IoT系統(tǒng)的攻擊方面都在增加。2016150健系統(tǒng)。WannaCry（NHS）受到80HDO512519的預(yù)定手術(shù)和臨床預(yù)約不得不取消。?2024云全聯(lián)大中區(qū)版所有 13風(fēng)險HDOHDO一個可接受的水平，并且管理風(fēng)險。為了構(gòu)建一個健壯的網(wǎng)絡(luò)防御，HDO云風(fēng)險管理是在云關(guān)系的整個生命周期中識別、評估和控制在現(xiàn)代混合云環(huán)境（IaaSPaaSSaaS風(fēng)險管理（TPRM）私有云、公有云或混合云。HDOHDO風(fēng)險識別中的重要活動包括：/HDO在風(fēng)險登記冊中記錄已識別的風(fēng)險，或采用其他跟蹤機(jī)制。風(fēng)險登記簿一般用于組織和記錄已經(jīng)識別的運營風(fēng)險的信息。HDO9HDO是來自《網(wǎng)絡(luò)韌性評審補充資源指南：風(fēng)險管理》10中的一個示例。建立一個與您的技術(shù)組織熟悉的工作方式相一致的報告機(jī)制，例如工程師使?2024云全聯(lián)大中區(qū)版所有 14SlackGRC報告風(fēng)險。風(fēng)險編號識別日期風(fēng)險描述影響可能性風(fēng)險級別處置緩解控制風(fēng)險所有人圖3：風(fēng)險登記冊《網(wǎng)絡(luò)韌性評審補充資源指南：風(fēng)險管理》第7卷：風(fēng)險管理評估風(fēng)險風(fēng)險分析過程確保所有已識別的風(fēng)險都在HDO以形成風(fēng)險處置決定。無論采用何種方法進(jìn)行風(fēng)險分析，記錄這一過程都很重要，11。在進(jìn)行云風(fēng)險評估時，理解責(zé)任共HDO1213。ISONIST框架是使用大型、多樣化組織的輸入所開發(fā)的。在評估風(fēng)險之后，HDO在對云平臺進(jìn)行風(fēng)險評估時，有必要結(jié)合多種評估方法，如配置檢查和漏洞掃描。然而，云平臺有更多有價值的資源，并且與租戶有服務(wù)級別協(xié)議，因此一些評估方法需要根據(jù)云計算的特性進(jìn)行調(diào)整。問卷調(diào)查：問卷提供了一套關(guān)于管理和操作控制的問題，供系統(tǒng)技術(shù)或管理?2024云全聯(lián)大中區(qū)版所有 15HDO性、系統(tǒng)規(guī)模和結(jié)構(gòu)等。訪談：現(xiàn)場訪談涉及評估人員前往現(xiàn)場訪談系統(tǒng)技術(shù)或管理人員，并收集有關(guān)系統(tǒng)的物理、環(huán)境和操作方面的信息。訪談的內(nèi)容應(yīng)包括：是否有數(shù)據(jù)存儲完整性測試的設(shè)計是否有清除數(shù)據(jù)副本的手段和措施絡(luò)入侵虛擬機(jī)（VM）之間以及虛擬機(jī)與宿主機(jī)之間的隔離方法營和安全培訓(xùn)計劃SaaSPaaSIaaSSLA降低風(fēng)險HDOCSPHDO來自獨立評估者的報告，以驗證適當(dāng)?shù)目刂拼胧┮呀?jīng)部署并且按預(yù)期工作。HDOSOC2HDOHDO?2024云全聯(lián)大中區(qū)版所有 16問控制列表是否適當(dāng)?shù)叵拗屏嗽L問，身份和訪問管理是否按預(yù)期工作，以及漏洞是否及時發(fā)現(xiàn)并進(jìn)行了適當(dāng)?shù)墓芾?。HDOHDOISO27001、COBITNIST。CSA15。這份報告提供了對云用戶和提供商面臨的最重API勢。合規(guī)性云合規(guī)性指的是旨在保護(hù)和規(guī)范存儲在云平臺上的信息的準(zhǔn)則、法律和法規(guī)。對于醫(yī)療保健服務(wù)提供組織（HDO，這指的是涵蓋安全性和隱私性的法規(guī)和法律。（PIIHDOHDO每種形式的信息都有其自己的規(guī)則。在美國，PHI（HIPAAPCI，（PCIDSS。不少國家、地區(qū)PII?2024云全聯(lián)大中區(qū)版所有 1722017除了美國的法規(guī)外，加拿大和墨西哥也有自己的法規(guī)。加拿大有兩項主要的隱（GDPRPIIPIIGDPR圖4:GDPR適用范圍18這份法規(guī)列表讓讀者了解在確定合規(guī)性要求時必須考慮的主要法規(guī)。這只是合規(guī)要求的一小部分；醫(yī)療機(jī)構(gòu)需要針對其特定數(shù)據(jù)存儲地點和涉及對象進(jìn)一步研究相關(guān)要求。IT求的合同協(xié)議至關(guān)重要。?2024云全聯(lián)大中區(qū)版所有 18實施有效的云合規(guī)策略對于組織確保其云環(huán)境的安全性和符合法規(guī)至關(guān)重要。規(guī)目標(biāo)。通過進(jìn)行全面的風(fēng)險評估，HDO續(xù)監(jiān)控有助于及時識別和糾正不合規(guī)問題或安全事件。19GRC隨著技術(shù)滲透到醫(yī)療保健的各個方面，倫理考量變得越來越重要。將倫理規(guī)范GRC下，為患者帶來利益。云合規(guī)框架這些框架特別針對云合規(guī)要求。云服務(wù)提供商和客戶都應(yīng)該深入了解這些框架，包括全球采納的框架以及所在國家、地區(qū)的監(jiān)管框架。全球云框架（CCM（CSA（CCMCSACSA（STAR）的認(rèn)證程序。STAR?2024云全聯(lián)大中區(qū)版所有 19聯(lián)邦風(fēng)險與授權(quán)管理計劃(FedRAMP)：FedRAMP是一項覆蓋整個政府的計劃，為云產(chǎn)品和服務(wù)的安全評估、授權(quán)以及持續(xù)監(jiān)控提供了一種標(biāo)準(zhǔn)化方法。對于希望與任何聯(lián)邦機(jī)構(gòu)開展業(yè)務(wù)的組織而言，遵守這一套針對云的特定數(shù)據(jù)安全法規(guī)是必要的。ISO/IEC27017：國際標(biāo)準(zhǔn)化組織(ISO)發(fā)布了多項網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，其中ISO/IEC27017:2015是提供云服務(wù)信息安全控制指南的標(biāo)準(zhǔn)。云合規(guī)框架幫助您應(yīng)對監(jiān)管環(huán)境，避免因不合規(guī)而帶來的財務(wù)和聲譽成本。此伙伴的信譽和信任。20地方監(jiān)管框架有許多國家、地區(qū)特定的云框架。以下是一些示例：（2G3M措施。這些指南定義了云服務(wù)提供商的義務(wù)。《醫(yī)療信息系統(tǒng)安全管理指南5.1（20211發(fā)布《處理醫(yī)療信息的信息系統(tǒng)和服務(wù)提供商安全管理指南（20208》由日本經(jīng)濟(jì)產(chǎn)業(yè)省發(fā)布法國健康數(shù)據(jù)托管個人健康信息（PHI）PHI維護(hù)托管物理基礎(chǔ)設(shè)施的物理場所的正常運行狀態(tài)?2024云全聯(lián)大中區(qū)版所有 20esüagaü5.éê?êesüagaü5.éê?êGRen’om, ri[1]Capgen’om, riGUI

.ca enini.

uide-BusinessAHgnedApproachtoCloudnresearch—and—insihtc1oud—overnance—uide—business—aed—a roach—to i1izationbject?bject?entGroup,2019.Pzact1ca1GutdetoCloudGorecnance,Retrievedr/c1oud/de1iverab1es/ractical—uide—to—cloud—overnance.df[3]d,S.&Feuer1ichtG.,2016.CloudComputingGovernanceLifecyc1e,ActaInformaticaPragensia,5(1):56-TlD01:10.l826T/j.aip.85[4]Arend,C.,&He1kenberg,R.2021.CloudGoreznanceSuccess:APcact1catFzarievozktoGettingStarted+!thCloudDatoGoromance,Retrievedfromhttps://info.niicrosoft.cont/BE—HCS—CNTNT—FY22—11Nov—10—C1oud—governance—eGuide—A—Practical—Framework—to—Starting—C1oud—Data—Governance—SRGCH5306LP0l—Registration———Forn—in—21[5 Object ManagementGroup,2019.Code?ìca7butde?oCloudGoceznance,Retrievedfrom[7)harko?kovó,S.&Feuer1ichtG.,2016.CloudConputingGo[7)harko?kovó,S.&Feuer1ichtG.,2016.CloudConputingGoceznonceLifeInformatica Pragensia,5(1):56—71D0l:10.18267/j.aip.85[8 Rasner,G.,2021.Cybezsecuzlty&Tbled—PantyPlsk.TOlzhi1ey&Sons,Inc.,Hoboken,NJ.[9Carnegiebe11onIniversity,2016.CybezPes1[10]Rasner,G.,2021.Cybersecurity&ThirdRisk:ThThreatHunting,JohnsiIey&Sons,Inc.,Hoboken,NJ.[11]Carnegiebe11onInive2016.CybeResourceGuide:RiskManagpatmentofewSupplementalSecurity[12]Rasner,G.,202Hi1ey&Sons,InbersetyRisk:Third—PartyThreatHunting,Johnn,N/.[13)1orga,me1,inaCloudEcosystem,doiorg/101109/MCC.2015.122,20IGuideforHicrosofICIoud,Retrievedfrorihiii?s:.’.’C1oudSence,2023.TopThreetstoCloudConputingPrudentcElecen,Retrieved€u1de,Johnsi1ey&Sons,Inc.NewJersey[18aVarankevich,S,201aTeritorialScopeofGDPR,Retrievedfrom22https://wv.linkedin.con/pu1se/terr