醫(yī)療健康網(wǎng)絡(luò)安全手冊

目錄醫(yī)療健康行業(yè)作為首要目標(biāo) 7云計算—大湖中的小池塘 7醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀 9醫(yī)療健康和網(wǎng)絡(luò)安全—關(guān)鍵行業(yè)考慮3) 9安全醫(yī)療的承諾 10時刻保護所有患者 11當(dāng)前和未來的可擴展性 12時間、金錢和資源 14管理整個生命周期 1552存儲 1753使用 1754共享 1855歸檔 1856銷毀 18提升你的安全態(tài)勢 197結(jié)論 0培訓(xùn)和教育 0推薦閱讀材料 0我們?yōu)獒t(yī)療健康行業(yè)推薦的云安全培訓(xùn)。 1參考 2介紹不斷演變的格局想要理解當(dāng)代醫(yī)療健康技術(shù)所處的確切階段，很有必要先回顧一下它的演化進(jìn)程。醫(yī)療健康行業(yè)曾遇到過哪些障礙以及如何克服這些障礙的？醫(yī)療健康領(lǐng)域?qū)l(fā)生怎樣的變革，又將是誰來引領(lǐng)這些變革呢？世紀(jì)0年代，使用計算機動進(jìn)行某些護理活動和記錄的設(shè)想，標(biāo)志著信息時代新旅程的開啟。但當(dāng)時并沒有什么進(jìn)展，一方面是因為信息計算還沒有發(fā)展到一定程度。另一方面，醫(yī)學(xué)界并沒看到它的價值，也就對醫(yī)療健康電腦化興致索然。從0年代中期開始，商家已著手開發(fā)起了醫(yī)院管理程序。0年代末，醫(yī)院會計系統(tǒng)共享開始出現(xiàn)，供中小型醫(yī)院使用。此外，還嘗試了用于臨床的計算機系統(tǒng)，可惜并沒有取得成功。到了0年代，計算機已經(jīng)發(fā)展得更為靈活、強大，成為了實用的信息管理工具。另外，當(dāng)時引入的網(wǎng)絡(luò)能夠?qū)碜圆煌攸c的醫(yī)療健康數(shù)據(jù)鏈接起來。再加上以患者為中心的綜合數(shù)據(jù)變得愈發(fā)重要，人們的重點慢慢轉(zhuǎn)移到了記錄終身健康檔案上（Hanna、al和Edards，6年）。在這之前，很少有關(guān)計算機在臨床上應(yīng)用。阻礙計算機發(fā)展的最大因素是醫(yī)療供應(yīng)商不愿證實計算機在成本和患者健康方面的優(yōu)勢（Thnk，3）。從此，醫(yī)療健康系統(tǒng)的健康記錄迅速走向了計算機化。如今，患者的病歷檔案里已有著完整的病史記錄，不同醫(yī)生可以從不同地點檢索、查看和修改。醫(yī)療健康行業(yè)開始進(jìn)入了一個專注于臨床護理的創(chuàng)新時代。數(shù)字化轉(zhuǎn)型徹底改變了醫(yī)療健康產(chǎn)業(yè)，這在幾年前還不可能做到。隨著云計算和大數(shù)據(jù)分析的蓬勃發(fā)展，加上以消費者為中心的醫(yī)療體系的轉(zhuǎn)變，醫(yī)療健康服務(wù)正在重塑。衛(wèi)生保健組織HO)能夠訪問大量數(shù)據(jù)，如果對其整理、分析和適當(dāng)利用，這些數(shù)據(jù)可為HO和患者帶來巨大利益。云計算的運用催生出了物聯(lián)網(wǎng)Io)和可穿戴醫(yī)療設(shè)備即醫(yī)療物聯(lián)網(wǎng)IoM)這些技術(shù)創(chuàng)新提供了大量數(shù)據(jù)，可以有效提高患者護理水平、完善臨床資料、增加效率并降低成本（Ars，）。不久前醫(yī)療設(shè)備還是沒有任何網(wǎng)絡(luò)連接的獨立設(shè)備。如今的醫(yī)療設(shè)備不僅有網(wǎng)絡(luò)連接，而且還常常接入云端。這種連接大有益處。首先，它可以遠(yuǎn)程監(jiān)控設(shè)備。醫(yī)療系統(tǒng)人員無需患者前來即可遠(yuǎn)程查看植入設(shè)備的傳感狀況。醫(yī)院的護理人員也可以從一個中心區(qū)域監(jiān)控患者，不再需要頻繁查房。在新冠疫情期間，遠(yuǎn)程醫(yī)療更成了醫(yī)療健康系統(tǒng)一個顯著增長的方面。由于醫(yī)療健康服務(wù)逐漸轉(zhuǎn)變?yōu)橐曰颊邽橹行倪h(yuǎn)程醫(yī)療可以運用在各個方面包括遠(yuǎn)程患者監(jiān)控或常規(guī)預(yù)約等等此外新冠疫情的爆發(fā)促使HO開始采用視頻會議進(jìn)行常規(guī)在線門診。如果得到有效運用，遠(yuǎn)程醫(yī)療可以極大地改善患者與其他患者、工作人員和弱勢群體的接觸問題，還可以為家中癥狀較輕的患者提供所需的護理，同時減緩致命病毒的傳播。這些先進(jìn)技術(shù)通過與云計算結(jié)合，使我們現(xiàn)在擁有了龐大的數(shù)據(jù)集。這些數(shù)據(jù)集可同大數(shù)據(jù)分析一起使用于管理人口健康、預(yù)測健康趨勢以及處理流行疾病，如新冠疫情的應(yīng)對。這種數(shù)據(jù)分析可以有效改善患者的治療效果。醫(yī)療健康行業(yè)作為首要目標(biāo)無論從哪個角度看，美國醫(yī)療健康行業(yè)是一個目標(biāo)豐富的環(huán)境！該行業(yè)得到超過,6個組織的支持，這些組織包括數(shù)千個復(fù)雜且動態(tài)的供應(yīng)鏈。美國每個公民中就有一個是這些組織的雇員。在0多家注冊醫(yī)院中每年的住院人數(shù)超過0萬。這還不包括新冠疫情后遠(yuǎn)程醫(yī)療和遠(yuǎn)程醫(yī)療服務(wù)的激增這創(chuàng)造了一種新的患者服務(wù)、入院和治療類別。1自年以來，美國每年的醫(yī)療支出占國內(nèi)生產(chǎn)總值（P）的%以上，這一事實表明了美國在醫(yī)療健康行業(yè)的支出規(guī)模。云計算—大湖中的小池塘云計算仍處于起步階段，該行業(yè)在世紀(jì)0年代開始技術(shù)嘗試。但如圖所示，預(yù)計采用的增長速度將越來越快3。隨著這種增長，預(yù)計由于本手冊中提到的許多原因，網(wǎng)絡(luò)安全攻擊的風(fēng)險將反映與目前該行業(yè)的現(xiàn)有傳統(tǒng)技術(shù)平臺所經(jīng)歷的頻率相似，甚至更高。根據(jù)9年的泰雷茲報告%接受調(diào)查的醫(yī)療健康組織報告了數(shù)據(jù)泄露，其中三分之一的機構(gòu)自去年以來報告了數(shù)據(jù)泄露。所有接受調(diào)查的組織都報告說使用數(shù)字轉(zhuǎn)換技術(shù)收集、存儲或共享敏感信息?！?年至9年間，共發(fā)生了,4起醫(yī)療健康數(shù)據(jù)泄露事件，涉及0多條記錄。這些泄漏事件已導(dǎo)致,4,1份醫(yī)療記錄丟失被盜暴露或不允許披露。這相當(dāng)于美國人口的.%以上。9年，每天報告的醫(yī)療健康數(shù)據(jù)泄露事件達(dá).4起?！?根據(jù)1年月日發(fā)表在《HathITurty》上的一篇文章，自0年月以來，針對醫(yī)療實體的網(wǎng)絡(luò)攻擊增加了%。根據(jù)hkPont和ortedHathurty的報告按照這個比率該行業(yè)占所有數(shù)據(jù)泄露報告事件的%。hkPont的研究為該行業(yè)目前面臨的最大威脅提供了新的分析在聯(lián)邦機構(gòu)就醫(yī)療服務(wù)提供商面臨的勒索軟件威脅發(fā)出告警后不久，研究人員發(fā)現(xiàn)攻擊事件增加了%，是其他行業(yè)的兩倍多。這些威脅包括僵尸網(wǎng)絡(luò)、遠(yuǎn)程代碼執(zhí)行和oS攻擊，其中勒索軟件攻擊增幅最大。hkPont強調(diào)，惡意軟件是醫(yī)療健康提供商面臨的最大威脅。這些信息證實了我們的論點，醫(yī)療健康行業(yè)面臨著與其他行業(yè)不同的重大挑戰(zhàn)，即：供足夠的醫(yī)療健康服務(wù)將會收集大量敏感數(shù)據(jù)這些數(shù)據(jù)比其他行業(yè)具有更大的長期風(fēng)險此外與可以訪問和利用的其他類型的數(shù)據(jù)相比，這些數(shù)據(jù)本質(zhì)上對黑客更具吸引力。因此，可能會對成功受到攻擊的組織產(chǎn)生一系列負(fù)面影響例如：監(jiān)管機（例如美國的HHA和歐盟和歐洲經(jīng)濟區(qū)的PR處以巨額罰款處罰或采取法律訴訟；此外，患者和社會的信心喪失，所涉組織的聲譽也受到損害。從風(fēng)險的角度來看，無法完全減輕未來受到損害的可能性。例如，在金融服務(wù)中，可以取消信用卡并關(guān)閉銀行賬戶。在醫(yī)療健康領(lǐng)域，患者的私人數(shù)據(jù)可以在無休止的欺詐和濫用循環(huán)中重新出售、回收和再利用！更糟糕的是，患者可能永遠(yuǎn)不會意識到與他們的數(shù)據(jù)相關(guān)的欺詐行為！如果沒有改進(jìn)和更有效的干預(yù)措施，結(jié)果是可想而知且令人擔(dān)憂的。隨著更敏感的醫(yī)療健康和相關(guān)個人數(shù)據(jù)遷移到云端受獨立提供商和市場新進(jìn)入者增長的刺激目標(biāo)數(shù)量將增長，并且數(shù)據(jù)量將呈指數(shù)級增長。全球患者將繼續(xù)來到美國尋求只有在美國才能獲得的出色醫(yī)療健康服務(wù)。這就產(chǎn)生了來自歐盟的合規(guī)負(fù)擔(dān)——通用數(shù)據(jù)保護條例，又名PR。此類活動引發(fā)了兩項監(jiān)管要求。根據(jù)美國HIPAA要求，定期風(fēng)險評估必須記錄這些跨境數(shù)據(jù)流的存在而根據(jù)歐盟的PR必須記錄實現(xiàn)合規(guī)所需的數(shù)據(jù)保護要求。此外隨著英國于1年月1日退出歐盟，根據(jù)英國脫歐協(xié)議，英國目前存在的PR肯定會進(jìn)行修改。醫(yī)療健康也是管理供應(yīng)鏈風(fēng)險的一項研究。組織不應(yīng)天真地認(rèn)為他們不必?fù)?dān)心安全性，因為他們正在遷移到云。根據(jù)HIPAA的規(guī)定，供應(yīng)商繼續(xù)負(fù)責(zé)完成和記錄企業(yè)風(fēng)險評估，包括與外包給第三方相關(guān)的風(fēng)險，尤其是第三方的第方可能隨后負(fù)責(zé)選定的安全和隱私控制的操作。現(xiàn)在，比以往任何時候都更需要一個安全公理，那就是組織是強大的取決于其最薄弱的環(huán)節(jié)是“強大”的，這是所有供應(yīng)商盡職調(diào)查的精神和實踐中的一個口號。我們觀察到采用云服務(wù)的組織開始意識到隨著每個新CP的采用他們實際上已將其企業(yè)擴展“云中某處”的另一個實體。一個他們對其運營的控制措施有限，甚至可見性更低的實體，但仍然對持續(xù)運營、有效性能、適當(dāng)?shù)陌踩浴㈦[私和所有相關(guān)的法規(guī)遵從性要求負(fù)全部責(zé)任。雖然并非不可能，但如果沒有深入的規(guī)劃、持續(xù)的警惕和對整個供應(yīng)鏈提供的技術(shù)服務(wù)的掌握，成功也不是必然的。這些新挑戰(zhàn)可能會給那些試圖平衡患者護理和在全球大流行病中運營的組織帶來相當(dāng)大的預(yù)算和培訓(xùn)負(fù)擔(dān)。解決醫(yī)療健康領(lǐng)域的網(wǎng)絡(luò)安全和云技術(shù)技能差距。進(jìn)入1年，大多數(shù)醫(yī)療健康組織面臨的最普遍挑戰(zhàn)之一將是掌握技能提升和新技能要求以滿足數(shù)字化轉(zhuǎn)型和云技術(shù)平臺的獨特需求包括治理風(fēng)險合規(guī)性、安全性和隱私保護。醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀為了反映美國網(wǎng)絡(luò)安全現(xiàn)狀的最新快照在此分享0年進(jìn)行的最新調(diào)查的結(jié)果以便對行業(yè)的當(dāng)前趨勢和挑戰(zhàn)提供一些見解。最近的一項市場研究調(diào)查了來自5家醫(yī)療健康組織的,4名安全專業(yè)人員旨在了解為什么這些組織容易受到與醫(yī)療健康相關(guān)的數(shù)據(jù)泄露的影響。如下圖1所示，研究人員發(fā)現(xiàn)：.%的衛(wèi)生系統(tǒng)、醫(yī)院和醫(yī)生組織評估其基礎(chǔ)設(shè)施沒有做好應(yīng)對網(wǎng)絡(luò)攻擊的準(zhǔn)備。.%的IT專業(yè)人士證實，數(shù)據(jù)攻擊者的攻擊速度超過了企業(yè)抵御攻擊者的能力。.網(wǎng)絡(luò)安全專業(yè)人才短缺的現(xiàn)象有增無減，遠(yuǎn)遠(yuǎn)滿足不了衛(wèi)生系統(tǒng)的需求。在一項相關(guān)的黑皮書調(diào)查中1名醫(yī)療健康人力資源高管接受了調(diào)查。他們報告說醫(yī)療I職位的招聘具有挑戰(zhàn)性往往比其他I職位的招聘時間長%另外6名衛(wèi)生系統(tǒng)的IO也接受了采訪他們認(rèn)為許多安全專業(yè)人員不愿意在醫(yī)療機構(gòu)中尋求工作。總而言之，醫(yī)療健康網(wǎng)絡(luò)安全方面的現(xiàn)有差距，加上醫(yī)療健康部門缺乏經(jīng)驗豐富的IT專業(yè)人員增加了醫(yī)療健康數(shù)據(jù)泄漏的可能性。這些網(wǎng)絡(luò)安全風(fēng)險只會因在家工作的情況增加而加劇大量醫(yī)護人員需要在家工作，而沒有專門為這些新工作范式設(shè)計全面和量身定制的安全指南和最佳實踐。醫(yī)療健康和網(wǎng)絡(luò)安全—關(guān)鍵行業(yè)考慮3)據(jù)預(yù)測，醫(yī)療健康行業(yè)遭受的網(wǎng)絡(luò)攻擊將是其他行業(yè)平均數(shù)量的3倍。

圖表2據(jù)預(yù)測，7年至0年間，針對醫(yī)療機構(gòu)的勒索軟件攻擊將翻兩番，到1年可能增長到倍。根據(jù)HIPAA雜志的一份報告，醫(yī)療健康電子郵件欺詐攻擊在兩年內(nèi)增加了%。根據(jù)HathITurty的一份報告超過%的美國醫(yī)療健康員工表示他們沒有接受網(wǎng)絡(luò)安全意識培訓(xùn)。超過%的醫(yī)療健康組織在過去3年中經(jīng)歷過數(shù)據(jù)泄露，%的醫(yī)療健康組織承認(rèn)在同一時間段內(nèi)有次以上的數(shù)據(jù)泄露。據(jù)稱醫(yī)療健康機構(gòu)在其I預(yù)算中網(wǎng)絡(luò)安全部分的平均比例（7%而其他行（如金融服務(wù)業(yè)）的這一比例約為。I研究公司artnr預(yù)測，到0年，醫(yī)療服務(wù)機構(gòu)中超過%的網(wǎng)絡(luò)攻擊將涉及物聯(lián)網(wǎng)（IoT）。界定醫(yī)療健康行業(yè)的網(wǎng)絡(luò)事實是無可辯駁的！這是一個被圍攻的行業(yè)。由于其文化和對患者護理和健康的總體承諾，安全和隱私問題并非組織需要。因此，結(jié)果是可預(yù)見的，許多攻擊都是成功的并且這些成功通常具有長期的影響。如果執(zhí)行得當(dāng)，云計算的采用可為醫(yī)療健康提供者提供獨特的機會，以實現(xiàn)其護理和交付系統(tǒng)的現(xiàn)代化，并集成內(nèi)部部署解決方案無法實現(xiàn)的安全和隱私功能。該論點得到了rkreon)最近進(jìn)行的一項研究的證實，其中得出的結(jié)論“我們可以把這些結(jié)果解釋為宣稱云計算還沒有為醫(yī)療健康應(yīng)用做好準(zhǔn)備應(yīng)該避免使用。然而，另一種解釋可能表明，這更多地是關(guān)于機構(gòu)對云的準(zhǔn)備，而不是云固有的不安全性。無論哪種方式，這些結(jié)果都應(yīng)該鼓勵所有遷移到云的醫(yī)療健康組織評估其處理模式轉(zhuǎn)變（即云安全）的能力…”安全醫(yī)療的承諾只有在醫(yī)療健康領(lǐng)域我們才會遇到這樣一個悖論越來越多的數(shù)據(jù)通過醫(yī)生辦公室和公共衛(wèi)生部門流動：然而，在過去，這些數(shù)據(jù)的價值在很大程度上尚未開發(fā)，因為它們是非結(jié)構(gòu)化的，并且被孤立在互不通信的系統(tǒng)中（l，9）。如今，大數(shù)據(jù)分析比以往任何時候都更加重要。大數(shù)據(jù)可用于幫助快速識別OI-9的爆發(fā)，并提供更好的應(yīng)對措施。大數(shù)據(jù)還可用于關(guān)聯(lián)治療數(shù)據(jù)，從而有助于結(jié)束大流行。隨著HO繼續(xù)通過改善服務(wù)、質(zhì)量和成本獲得競爭優(yōu)勢，他們依靠技術(shù)來提供優(yōu)勢。這一舉措始于電子醫(yī)療記錄，以及越來越依賴技術(shù)通過連接設(shè)備提供醫(yī)療健康，現(xiàn)在已轉(zhuǎn)向虛擬醫(yī)療健康。主要由于OID9大流行，去年向虛擬醫(yī)療健康服務(wù)的轉(zhuǎn)變加速了。虛擬醫(yī)療和可穿戴個人健康監(jiān)測設(shè)備的使用大大增加了攻擊面。再加上商業(yè)性的非醫(yī)療機構(gòu)現(xiàn)在也參與其中亞馬遜宣布擴展到全國范圍內(nèi)的遠(yuǎn)程醫(yī)療谷歌收購了tbt我們現(xiàn)在有一個更大的攻擊面問題是隨著這一增長，我們?nèi)绾蝺冬F(xiàn)獲得高質(zhì)量、低成本和安全醫(yī)療的承諾？使用安全可靠的技術(shù)可以實現(xiàn)改善患者和提供者的實踐和標(biāo)準(zhǔn)的承諾。為了增強這項技術(shù)HO越來越多地將其遷移到云端。云計算可以提高HO的能力但由于監(jiān)管要求醫(yī)療健康服務(wù)需要一個安全且可審計的平臺。云計算可以鏈接所有孤立的系統(tǒng)，允許收集和分析數(shù)據(jù)。云計算有助于兌現(xiàn)改善患者治療效果和改善醫(yī)療服務(wù)提供者與患者之間溝通的承諾。時刻保護所有患者云計算作為一項有望改變醫(yī)療健康行業(yè)的有前途的技術(shù)迅速進(jìn)入我們的環(huán)境。云計算具有許多優(yōu)勢，例如靈活性成本和能源節(jié)約資源共享和快速部（AIsaOttom和amrai9年云計算還帶來了許多安全和隱私問題在當(dāng)今的移動社會中HO需要隨時隨地訪問醫(yī)療記錄云計算促進(jìn)了來自患者醫(yī)療設(shè)備醫(yī)療物聯(lián)網(wǎng)IoMT)和多個HO的數(shù)據(jù)共享。這種共享以及HO和患者隨時隨地訪問，需要更高級別的安全性。無論數(shù)據(jù)駐留在何處HO都負(fù)責(zé)確保醫(yī)療數(shù)據(jù)的隱私和安全。醫(yī)療健康數(shù)據(jù)很有價值而HO是網(wǎng)絡(luò)犯罪分子的目標(biāo)。這使得始終HO必須保護所有患者信息。除了保護患者信息的道德義務(wù)外組織還需要滿足監(jiān)管要求。世界上大多數(shù)國家地區(qū)還制定了管理健康數(shù)據(jù)處理的數(shù)據(jù)保護法。這些要求可能會在國家法（一般適用于個人數(shù)據(jù)和部門法（適用于特定領(lǐng)（如健康或特定法（適用于特定情況如OID中描述。每項法律都有其要求，這些要求可能是另一項法律的補充，也可能是另一項法律的例外。此外，由于國家之間的數(shù)據(jù)保護制度存在差異，大多數(shù)國家除非滿足某些條件否則禁止個人數(shù)據(jù)（包括健康數(shù)據(jù)）的傳輸，HO必須了解管理其數(shù)據(jù)收集、處理和存儲地點的法律；這里法律包括所有國家和地方法律。1保證人們越來越意識到當(dāng)前安全事件呈上升趨勢許多組織的表現(xiàn)不佳與此同時公眾信任度也在下降。對公開報告中傳達(dá)的信息缺乏信心可能會削弱披露的動機?？梢酝ㄟ^使用第三方獨立保證來縮小可信度差距。然而，這并不是一個不合格的解決方案。迄今為止，許多驗證和保證實踐本身在穩(wěn)健性、可靠性和一致性方面存在問題，并且所采用的保證模型不足以滿足更廣泛的能力維度方面的要求。有必要建立一個通用框架確保報告的透明性和道德性并確保擔(dān)保提供者本身的信譽AAR計劃提供了解決這些差距的方法和工具。安全信任保證和風(fēng)險TA)計劃包含透明度嚴(yán)格審計和標(biāo)準(zhǔn)協(xié)調(diào)的關(guān)鍵原則。使用AR的公司指出最佳實踐并驗證其云產(chǎn)品的安全狀況。云控制矩陣是AR計劃所依據(jù)的特定部門云控制的基準(zhǔn)。AR注冊表記錄了流行的云計算產(chǎn)品提供的安全和隱私控制。這個可公開訪問的注冊表允許云客戶評估他們的安全提供商以做出最佳采購決策。要使用云推動業(yè)務(wù)成功您必須了解責(zé)任共擔(dān)模（圖并且明確各個角色和職責(zé)至關(guān)重要。AR要求組織考慮云服務(wù)提供商和用戶的角色和責(zé)任。云的共同云的共同任｜地責(zé)任云端的共同責(zé)任｜托管的服務(wù)治理治理治理終端終端訪理訪理身份/目錄服務(wù)身份/目錄服務(wù)應(yīng)用網(wǎng)絡(luò)控制決服類型應(yīng)用網(wǎng)絡(luò)控制操作系統(tǒng)操作系統(tǒng)機機絡(luò)絡(luò)據(jù)心據(jù)心云商移C云提商）移S云提商）決服型決服型于戶任停電、中斷、漏洞和災(zāi)難仍然是一種風(fēng)險，即使對于云也是如此。因此，作為云用戶，您必須識別風(fēng)險并實施相關(guān)控制措施。當(dāng)前和未來的可擴展性規(guī)模和可伸縮性是描述醫(yī)療健康行業(yè)和云計算的兩個口號，這一點并不奇怪！它們適用于虛擬世界中的云計算，虛擬世界支持允許I資源動態(tài)擴展或收縮的云技術(shù)流程。它們主要應(yīng)用于醫(yī)療健康行業(yè)的物理世界，這是由大量潛在患者消費者衡量在過去一年中我們觀察到該行業(yè)如何以云計算解決方案的形式采用可伸縮性的概念，這種解決方案支持可歸因于新冠病毒大流行的不可預(yù)見的患者疾病和護理高峰。從歷史上看，美國醫(yī)療健康行業(yè)的規(guī)模和范圍需要在技術(shù)資源、流程和人員方面進(jìn)行巨額投資。這些投資導(dǎo)致了持續(xù)的資本成本、遺留技術(shù)平臺以及不變的基礎(chǔ)設(shè)施和房地產(chǎn)承諾。今天，供給和需求都在不斷變化，有時甚至是意料之外的變化——這就是明證新冠病毒大流行過去兩年的影響——是使用新冠病毒的重要驅(qū)動因素。目前的趨勢表明，對醫(yī)療健康的需求持續(xù)增長，這主要歸因于人口老齡化和增長，再加上消費者日益增長的興趣和健康。在5年至5年期間，與–%的增長率趨勢相關(guān)的主要趨勢有四個：消費主義升級這導(dǎo)致供應(yīng)商市場從基于數(shù)量的服務(wù)轉(zhuǎn)向基于價值的服務(wù)價值模型根據(jù)護理成本效益和臨床病例結(jié)果獎勵提供者。這些變化保證了通過云計算可實現(xiàn)的可變隨需應(yīng)變IT資源實現(xiàn)的快速創(chuàng)新。云計算使消費者能夠識別和使用大量提供商提供的同類最佳醫(yī)療服務(wù)。醫(yī)療監(jiān)管和金融風(fēng)險重組的影響醫(yī)療改革和監(jiān)管已經(jīng)并將繼續(xù)改變醫(yī)療格局監(jiān)管影響市場結(jié)構(gòu)這將繼續(xù)推動縱向和橫向的整合。由此帶來的組織規(guī)模和范圍的增長，促進(jìn)了對創(chuàng)新服務(wù)和產(chǎn)品的更大投資，吸引了廣大消費者患者整合的進(jìn)一步影響催生了新技術(shù)平臺和服務(wù)的誕生這些平臺和服務(wù)創(chuàng)造了由云計算支持的新產(chǎn)品和服務(wù)，如大數(shù)據(jù)分析和人工智能。受影響的運營流程：在本用例中，信息促進(jìn)了數(shù)據(jù)安全和隱私保護。需要考慮統(tǒng)一的安全管理機制。數(shù)字化的影響IT特別是云計算是使消費者能夠?qū)ζ溽t(yī)療健康擁有更大所有權(quán)并讓他們以更少的限制獲得更多選擇的促成因素。醫(yī)療健康行業(yè)正朝著以信息為中心的交付模式發(fā)展，該模式促進(jìn)合作、協(xié)作和信息共享云計算提供了虛擬基礎(chǔ)設(shè)施允許醫(yī)院醫(yī)療機構(gòu)保險公司研究機構(gòu)和醫(yī)療\生態(tài)系統(tǒng)中的其他參與者利用相同的計算資源。關(guān)注預(yù)防性保健。如今，消費者使用移動應(yīng)用程序、物聯(lián)網(wǎng)（Io）和可穿戴技術(shù)——所有這些都可以通過云監(jiān)控他們的健康、與他們的提供商通信和接受治療。醫(yī)療健康正在從一個“修復(fù)我的系統(tǒng)”以“促進(jìn)幸?！毕到y(tǒng)，主要歸功于技術(shù)創(chuàng)新。需要醫(yī)療實踐和醫(yī)療服務(wù)轉(zhuǎn)型。今天基于云的技術(shù)的承諾，加上基于數(shù)據(jù)分析、人工智能全球協(xié)作和無處不在的訪問的許多技術(shù)創(chuàng)新，將加速行業(yè)轉(zhuǎn)型n、目前能夠提供獨立于時間和地點、協(xié)作、一致和實時的認(rèn)知患者支持和服務(wù)。這些能力將有助于實現(xiàn)未來醫(yī)療健康的必要轉(zhuǎn)型。為了獲得云計算所帶來的諸多好處，并在整個醫(yī)療健康領(lǐng)域充分利用這些好處，消費組織應(yīng)該遵循幾個深思熟慮的步驟，以經(jīng)濟高效地利用云服務(wù)提供商提供的眾多服務(wù)。這些步驟必須考慮到消費組織的動態(tài)，以及他們需要提供的服務(wù)的規(guī)模和范圍。將云計算用于醫(yī)療健康的指導(dǎo)：為云計算構(gòu)建商業(yè)案例。確定特定的基于云的醫(yī)療健康解決方案并確定其優(yōu)先級。確定合適的云部署和服務(wù)模型。執(zhí)行符合HIPAA的測試。所有云服務(wù)和云服務(wù)提供商的企業(yè)風(fēng)險評估。確保滿足所有安全和隱私要求。記錄與現(xiàn)有企業(yè)系統(tǒng)的集成和互操作性點。（這應(yīng)包括整個供應(yīng)鏈中所有其他受影響的應(yīng)用程序服務(wù)。）為所有LA和PI協(xié)商云服務(wù)協(xié)議和監(jiān)控工具。開發(fā)用于監(jiān)控管理所有云服務(wù)和所有云服務(wù)提供商的責(zé)任矩陣模型。為整個云服務(wù)組合和云服務(wù)提供商開發(fā)和監(jiān)控風(fēng)險儀表板（注意應(yīng)定期與所有云服務(wù)和云服務(wù)提供商的單獨清單進(jìn)行核對。）保存一份關(guān)于所有高風(fēng)險未決問題的相關(guān)分發(fā)報告。記錄糾正措施計劃和狀態(tài)。時間、金錢和資源最近一項ynrsek的APP會議調(diào)查中，%的醫(yī)療健康專業(yè)人士指出，資源（金錢、人員和工具）是滿足組織安全和隱私需求的最大障礙。以NIT網(wǎng)絡(luò)安全框架作為衡量標(biāo)準(zhǔn)，%的醫(yī)療機構(gòu)在合規(guī)性方面的評估得分低于“”。很多時候，根本原因是過于復(fù)雜。復(fù)雜性給系統(tǒng)和資源帶來很大負(fù)擔(dān)。即使安全技術(shù)有所改進(jìn)，還是系統(tǒng)越復(fù)雜安全性越低。造成這種情況的原因有很多，但都可以追溯到復(fù)雜性問題。為什么？因為我們非常關(guān)注技術(shù)，并且增加了很多法規(guī)和標(biāo)準(zhǔn)。因此，我們變得支離破碎，過于復(fù)雜。復(fù)雜系統(tǒng)：有更多的獨立進(jìn)程，會產(chǎn)生更多安全風(fēng)險。有更多的接口和交互，會產(chǎn)生更多安全風(fēng)險。更難監(jiān)控，可能包含未經(jīng)測試和審計的部分。更難安全地開發(fā)和實施。員工和利益相關(guān)者更難理解和接受培訓(xùn)。為了應(yīng)對這些日益增長的業(yè)務(wù)問題云安全聯(lián)盟A)創(chuàng)建了云控制矩陣CM)與國際行業(yè)工作小組共同開發(fā)，明確了云安全相關(guān)的通用控件，是AAR構(gòu)建的基礎(chǔ)。M映射到超過種不同的標(biāo)準(zhǔn)和法規(guī)，這有助于顯著減少安全程序的實施。我們應(yīng)該將%的時間用于計劃，%的時間用于實施，但實際上，大多數(shù)組織將%的時間用于計劃，%的時間用于實施，%的時間用于滅火，然后延續(xù)系統(tǒng)的生命周期或直至我們退休，以較早者為準(zhǔn)。我們逐個看下它們是如何影響項目的時間限制是指可用于完成項目的時間成本（金錢）約束是指項目可用的預(yù)算金額。資源是指實現(xiàn)優(yōu)質(zhì)和有效的系統(tǒng)所需的人數(shù)、流程和技術(shù)。但我們還須將范圍納入其中。項目范圍的大小將對時間成本和資源產(chǎn)生重大影響。范圍擴大通常意味著時間增多和成本增加，時間限制可能意味著成本增加和范圍縮小，而預(yù)算緊張可能意味著時間增加和范圍縮小。最后，組織的安全性是復(fù)雜性的直接結(jié)果。集成系統(tǒng)可降低成本并提高安全性。集成安全系統(tǒng)使組織能夠?qū)⑵淞鞒毯统绦蛘系揭粋€完整的框架中，這有助于有效和高效地實現(xiàn)目標(biāo)。為了使這些系統(tǒng)成為公司整體系統(tǒng)的組成部分，流程之間必須無縫連接。換種方式做事...經(jīng)驗告訴我們，成功企業(yè)在整個組織中推行最佳實踐，而不僅僅是在一個特定領(lǐng)域。當(dāng)下的產(chǎn)品和服務(wù)必須滿足各種認(rèn)證和合規(guī)性要求制定可重復(fù)使用的流程和一致框架讓組織能夠符合標(biāo)準(zhǔn)發(fā)展業(yè)務(wù)和妥善經(jīng)營。制定全公司范圍的戰(zhàn)略可以打破長期以來部門相互隔絕的“孤島效應(yīng)”，對于許多組織來說，這代表著企業(yè)文化的重大變化。集成安全系統(tǒng)將業(yè)務(wù)的所有組件集成到一個連貫的系統(tǒng)中，以實現(xiàn)其目的和使命，并以最少的成本、時間和資源維護系統(tǒng)，同時降低風(fēng)險并提高彈性。管理整個生命周期任何關(guān)于云安全的討論都應(yīng)該從數(shù)據(jù)的生命周期開始。當(dāng)我們在為云實施定義所需要的安全控制時，需要記住這些都是為數(shù)據(jù)而生的。計算機，包括云計算，生成，存儲，處理和使用數(shù)據(jù)。核心價值就在數(shù)據(jù)中，這也就是我們需要盡力去保護的東西。為了保護數(shù)據(jù)，我們必須知道我們擁有哪些數(shù)據(jù)，這些數(shù)據(jù)存儲在什么地方。為了確保你能夠從所有的角度照顧到數(shù)據(jù)安全的方方面面，最好的辦法就是貫徹整個數(shù)據(jù)生命周期去審視它。數(shù)據(jù)的生命周期管理是及其重要的，因為隨著時間的流逝，數(shù)據(jù)的價值可能會下降，但是數(shù)據(jù)存儲的成本和數(shù)據(jù)暴露的風(fēng)險并不會。數(shù)據(jù)生命周期為：創(chuàng)建數(shù)據(jù)的生成，獲取或者是修改存儲將數(shù)據(jù)發(fā)送到數(shù)據(jù)倉庫使用對數(shù)據(jù)進(jìn)行處理，查看或者是其他任何的使用活動共享數(shù)據(jù)或是信息為其他人所訪問歸檔數(shù)據(jù)放置于長期的存儲之中銷毀當(dāng)數(shù)據(jù)不再需要時，對它進(jìn)行物理性的摧毀創(chuàng)建醫(yī)療健康服務(wù)組織HO)會因為眾多的原因創(chuàng)建和收集數(shù)據(jù)，比如財務(wù)，供應(yīng)鏈，人力資源和病患資料。第一步是需要識別創(chuàng)建了什么類型的數(shù)據(jù)。此數(shù)據(jù)是否是敏感數(shù)據(jù)諸如受保護的健康信息PHI，個人可標(biāo)識信息PII,或者支付卡行業(yè)PI)數(shù)據(jù)？在此階段的關(guān)鍵性安全因素如下:數(shù)據(jù)是如何創(chuàng)建，收集或是進(jìn)行修改的？是否由外部資源所創(chuàng)建，比如一個新的患者或是員工輸入了最初的數(shù)據(jù)？是否是通過其他數(shù)據(jù)源匯編而創(chuàng)建？是否是通過鍵盤輸入，移動端應(yīng)用或是聯(lián)合數(shù)據(jù)？HO必須知道所有收據(jù)的來源。數(shù)據(jù)的用途是什么？這對于HO們來說是至關(guān)重要的因為PII和PHI法規(guī)都要求HO能夠告知收集的數(shù)據(jù)的內(nèi)容和用途誰能夠創(chuàng)建和收集數(shù)據(jù)？當(dāng)數(shù)據(jù)包含PHI時識別誰能夠創(chuàng)建或是收集數(shù)據(jù)就變得非常重要“誰是對數(shù)據(jù)的一致性的回顧。數(shù)據(jù)是怎么進(jìn)行分類分級的？數(shù)據(jù)的分類關(guān)系到此類數(shù)據(jù)的保密性要求。例如：是僅供內(nèi)部使用，業(yè)務(wù)機密還是PHI敏感數(shù)據(jù)聯(lián)邦信息和信息系統(tǒng)安全分類9IP)9建立了相關(guān)信息和信息系統(tǒng)的三個潛在的影響層（低中高針對三個層級各有三個明確的安全目（保密性一致性和可用性(tn,sl,arkr,ahn,anduk).影響數(shù)據(jù)創(chuàng)建的工具的安全性如何？供應(yīng)商是否部署了安全開發(fā)實踐，包括應(yīng)用代碼掃描，針對代碼的訪問控制和知識產(chǎn)權(quán)保護？了解數(shù)據(jù)的來源會幫助組織建立一個堅實的安全基礎(chǔ)。存儲HO的存儲管理政策可以幫助HO更有效的管理他們的存儲資源，并同時滿足所有法律和法規(guī)的合規(guī)要求。在HO決定存儲要求之前，他們必須要明白有多大數(shù)量的數(shù)據(jù)要進(jìn)行存儲，它們都是些什么數(shù)據(jù)。隨后的問題可以對啟動關(guān)于存儲的對話有所幫助：數(shù)據(jù)將會被存儲在哪里？是云端，企業(yè)數(shù)據(jù)中心，本地存儲或者是可移動的媒介。所以這些都有它們各自不同的要求，同時HO應(yīng)該考慮每種存儲方式可能產(chǎn)生的影響。誰可以訪問存儲中的數(shù)據(jù)？這是對于管理數(shù)據(jù)存儲基礎(chǔ)架構(gòu)的人來說，想要了解訪問特權(quán)的關(guān)鍵點。對于云端的數(shù)據(jù)來說，它具體存儲在什么地方？這是想要了解數(shù)據(jù)存儲位置所首先要知道的，無論是主要數(shù)據(jù)還是備份數(shù)據(jù)。數(shù)據(jù)是否有離岸存儲？法規(guī)要求可能會因為存儲的具體位置而有所不同。數(shù)據(jù)需要保留多長時間？數(shù)據(jù)保留要求可能會決定最終使用的存儲方式是否有針對靜態(tài)數(shù)據(jù)的加密要求？基于數(shù)據(jù)保密性的考慮，可能會有法規(guī)或是業(yè)務(wù)要求對數(shù)據(jù)進(jìn)行加密了解存儲的數(shù)據(jù)的種類，存儲位置，訪問權(quán)限，存儲狀態(tài)和保留期限可以幫助HO部署正確的安全控制。使用由于數(shù)據(jù)收集的速度和規(guī)模在不斷的增長，用于處理數(shù)據(jù)集的分析技術(shù)越來越復(fù)雜，同時數(shù)據(jù)的使用也變得越來越多種多樣。針對健康研究的大數(shù)據(jù)有著巨大的潛力；然而必須要對它進(jìn)行正確的保護以防止相關(guān)數(shù)據(jù)的丟失和濫用。在醫(yī)療健康領(lǐng)域的數(shù)據(jù)安全可以助推積極的成果并阻止負(fù)面影響的產(chǎn)生。另外，透明度也對醫(yī)療健康業(yè)的數(shù)據(jù)安全提出了復(fù)雜的挑戰(zhàn)。HO需要在保證安全的同時，在如何使用它們的數(shù)據(jù)方面顯示出更大的透明度。了解數(shù)據(jù)和如何使用數(shù)據(jù)是非常重要的。HO必須知道后面問題的答案：。？？？？對于數(shù)據(jù)和用戶進(jìn)行全面的了解有助于HO確?？梢圆渴鹫_的控制，并讓這些控制高效的保護數(shù)據(jù)。這些控制必須包含一個強健的識別和準(zhǔn)入控制程序IAM)在云計算中陳舊的網(wǎng)絡(luò)邊界不再那么有效同時準(zhǔn)入控制已經(jīng)變成了新的邊界。共享多年以來HOs建立了很多數(shù)據(jù)倉庫這些煙囪式系統(tǒng)導(dǎo)致了數(shù)據(jù)孤島這種煙囪式系統(tǒng)的大量使用導(dǎo)致所建立的系統(tǒng)中的數(shù)據(jù)更多的被復(fù)制而不是共享。而良好的數(shù)據(jù)安全則可以提供更有效的分享數(shù)據(jù)的流程。為此，HO必須要回答出如下問題：？？？H？有兩項技術(shù)可以幫助HOs來安全的共享數(shù)據(jù)，它們是云訪問安全代理AS)和權(quán)限管理服務(wù)M).AB是一個策略執(zhí)行中心它可以把多個安全策略進(jìn)行合并然后將她們應(yīng)用到HO云端所有的實例上AB可以讓HO使用更細(xì)粒度的方法來進(jìn)行數(shù)據(jù)保護和策略執(zhí)行MS可以幫助HOs提升他們的數(shù)據(jù)保護策略通過持續(xù)一致的數(shù)據(jù)使用策略來保護信息，無論它存在什么位置上。HO可以定義誰有權(quán)限打開，修改，打印，轉(zhuǎn)發(fā)或是對信息進(jìn)行其他的操作行為。HO還可以創(chuàng)建定制的使用策略模板并直接應(yīng)用到對應(yīng)的信息上。歸檔法律法規(guī)諸《健康保險流通與責(zé)任法案HIPAA)展示了如何制定一份有效的數(shù)據(jù)管理計劃來應(yīng)對HOs所創(chuàng)建，處理和存儲的那些無窮無盡的數(shù)據(jù)陣列。HOs必須要執(zhí)行這樣的信息安全政策,不僅是為了減少支出，降低成本還要提升運營效率。那些HO必須要保存但是不再活躍的數(shù)據(jù)就應(yīng)當(dāng)歸檔。數(shù)據(jù)是否需要歸檔是HO必須要知道的：H？儲ePH？robe,)銷毀HO不能忘記數(shù)據(jù)銷毀，包括資產(chǎn)處置，這是數(shù)據(jù)生命周期中最后一步重要的階段。由于敏感數(shù)據(jù)和受管制的數(shù)據(jù)可能跨多個站點存儲，HO必須有簡明扼要的政策和流程定義如何銷毀過期、受限訪問的數(shù)據(jù)以及它所使用的未加密的存儲媒介：？？？？？？？在多租戶的云環(huán)境下，數(shù)據(jù)銷毀對于一個單個實體來說是很困難的，因為存儲介質(zhì)不可能為了單個實體而銷毀；這是一個全有或是全無的局面。這里有兩個行之有效的方式來確保數(shù)據(jù)已經(jīng)被銷毀。一是如果數(shù)據(jù)是被加密的如果不再需要相關(guān)數(shù)據(jù)就將密鑰銷毀當(dāng)數(shù)據(jù)還以物理方式存在那里的時候它將無法再被使用lan)。關(guān)于這個方法有一點需要注意，HO必須從合同責(zé)任上確保每一個租戶使用不同的秘鑰來進(jìn)行數(shù)據(jù)加密。第二個方法，可以使用多次重寫的方式直到數(shù)據(jù)無法再被獲取。提升你的安全態(tài)勢隨著新聞中安全漏洞的數(shù)量呈指數(shù)級增長，您需要在下一個標(biāo)題是關(guān)于您的組織之前采取行動。但是，提升你的安全態(tài)勢可能會讓你難以決定從哪里開始。提升到一個強大的安全態(tài)勢需要時間和持續(xù)的改進(jìn)，然而，有一些簡單的關(guān)鍵行動，您可以采取，將促進(jìn)長期安全成功。建立一種安全意識的文化，讓領(lǐng)導(dǎo)層參與進(jìn)來，讓全體員工參與進(jìn)來。對安全專業(yè)人士來說，最大的挑戰(zhàn)之一是向他們的領(lǐng)導(dǎo)或管理證明投資安全的價值。雖然許多領(lǐng)導(dǎo)者可能傳統(tǒng)上將安全視為組織生產(chǎn)力的障礙，但必須幫助他們認(rèn)識到安全所帶來的好處。由于今天的許多入侵都是由員工的失誤造成的，一個受過教育的員工是一個強有力的安全態(tài)勢最關(guān)鍵的組成部分。確保你實施了一個涵蓋所有員工的全面培訓(xùn)平臺。深入程度應(yīng)該由風(fēng)險、員工角色和責(zé)任決定。建立定期的安全內(nèi)部審計。當(dāng)涉及到識別安全環(huán)境中的漏洞時，內(nèi)部審計是必要的。確保您對業(yè)務(wù)流程和相關(guān)的安全狀況具有完全的可視性是至關(guān)重要的。在醫(yī)療健康領(lǐng)域從患者登記到控制和監(jiān)控傳輸身體功能信息以及配藥的活動醫(yī)療設(shè)備軟件被廣泛使用。潛在的供應(yīng)鏈攻擊和破壞一直是一個問題，但最近的例子，如oarWnd提醒我們，攻擊者可以利用第三方代碼直接危及代理系統(tǒng)。根據(jù)onatyp最近的一份報告，開源軟件供應(yīng)鏈攻擊增加了%以上，指向一個越來越有吸引力的攻擊途徑。年度tass“醫(yī)療數(shù)據(jù)泄漏報告”其分析數(shù)據(jù)發(fā)布到“恥辱之墻”.泄漏報告和由美國健康和人類服務(wù)部門運營的公眾問責(zé)網(wǎng)站顯示美國醫(yī)療數(shù)據(jù)泄露的總數(shù)從6年的9上升到9年的0人,增長.%.%的入侵是由黑客入侵和I事件造成的。擁有一個良好的信息安全管理系統(tǒng)，涵蓋關(guān)鍵的人員、流程和技術(shù)，這是至關(guān)重要的。這包括很好地處理第三方云