醫(yī)療保健中的信息技術(shù)治理、風(fēng)險(xiǎn)與合規(guī)(第二版) 2024

?2024?2024安全聯(lián)盟大中華區(qū)?2024云安全聯(lián)盟大中華區(qū)——保留所有權(quán)利。你可以在你的電腦上下載、儲(chǔ)存、展示、查看及打印，或者訪問(wèn)云安全聯(lián)盟大中華區(qū)官網(wǎng)()。須遵守以下:(a)本文只可作個(gè)人、信息獲取、非商業(yè)用途;(b)本文內(nèi)容不得篡改;(c)本文不得轉(zhuǎn)發(fā);(d)該商標(biāo)、版權(quán)或其他聲明不得刪除。在遵循中華人民共和國(guó)著作權(quán)法相關(guān)條款情況下合理使用本文內(nèi)容，使用時(shí)請(qǐng)注明引用于云安全聯(lián)盟大中華區(qū)。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有2YutaoMaAkhilMittalMic在此感謝以上專(zhuān)家及單位。如譯文有不妥當(dāng)之處，敬請(qǐng)讀者聯(lián)系CSAGCR秘書(shū)處給?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有3致謝 摘要 1.1新興技術(shù)對(duì)GRC的影響 7 2.1計(jì)劃 82.2定義 112.3實(shí)施 122.4監(jiān)視 122.5討論 132.6威脅 133.風(fēng)險(xiǎn) 143.1評(píng)估風(fēng)險(xiǎn) 153.2降低風(fēng)險(xiǎn) 164.合規(guī)性 174.1GRC中倫理考量的整合 194.2云合規(guī)框架 194.3全球云框架 194.4地方監(jiān)管框架 205.結(jié)論 21參考文獻(xiàn) ?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有4序言服務(wù)的提升帶來(lái)了巨大的機(jī)遇，同時(shí)也帶來(lái)了前所未有的挑告深入探討了GRC如何在確保合規(guī)的同時(shí)幫助機(jī)構(gòu)最大化地降低技術(shù)風(fēng)險(xiǎn)，提升運(yùn)報(bào)告指出，隨著生成式人工智能等新興技術(shù)的應(yīng)用，醫(yī)療威脅愈加復(fù)雜。AI技術(shù)的雙刃劍效應(yīng)，不僅可以提升醫(yī)療診可能因數(shù)據(jù)隱私、算法偏見(jiàn)等問(wèn)題帶來(lái)法律和倫理上的挑戰(zhàn)展望未來(lái)，全球醫(yī)療保健行業(yè)在技術(shù)進(jìn)步的驅(qū)動(dòng)風(fēng)險(xiǎn)、嚴(yán)格的監(jiān)管要求以及新型攻擊手段的不斷涌現(xiàn)。為全工具等方面加大投入，以確保組織在瞬息萬(wàn)變的技術(shù)環(huán)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有5摘要持一致性。這種自頂向下的方法確保在符合行業(yè)法規(guī)和將討論一個(gè)良好的云GRC計(jì)劃的要素以及建立準(zhǔn)確性、道德和法律問(wèn)題、安全性和隱私性，因?yàn)榭赡苌婕盎颊逩RC的目標(biāo)是建立必要的監(jiān)督，以使AI行為符合道德標(biāo)準(zhǔn)和社GRC提供了一種共享相關(guān)信息的方法，有助于彌合差距并消?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有6據(jù)完整性并改善患者治療效果，但它們也在合規(guī)性和安全管2.治理基于云的架構(gòu)和業(yè)務(wù)運(yùn)營(yíng)比傳統(tǒng)的本地?cái)?shù)據(jù)中心架構(gòu)更加多樣化和復(fù)雜，因此依靠用于本地?cái)?shù)據(jù)中心環(huán)境的相同策略和工具將不能確保在云上取得成功1。云治將云計(jì)算引入HDO會(huì)影響角色、職責(zé)、流程和度量標(biāo)準(zhǔn)。如果沒(méi)有適當(dāng)?shù)闹卫韥?lái)提供標(biāo)準(zhǔn)和指南來(lái)駕馭風(fēng)險(xiǎn)以及有效采購(gòu)和運(yùn)營(yíng)云服務(wù)，HDO可能會(huì)發(fā)現(xiàn)自己面?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有7規(guī)劃始于識(shí)別利益相關(guān)者的業(yè)務(wù)需求，并識(shí)別如何滿足這些需求。云計(jì)算治理?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有8這包括評(píng)估公司治理的所有方面，以找到創(chuàng)建或維護(hù)云治理模型的起點(diǎn)，以便提供基于云計(jì)算治理成熟度水平的管理級(jí)別信息，來(lái)提云治理愿景基于云治理的指導(dǎo)原則和商業(yè)戰(zhàn)略。實(shí)現(xiàn)云計(jì)算愿景的戰(zhàn)略應(yīng)包括?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有9云治理路線圖定義了云治理生命周期的迭代次數(shù)。云治理的初始部署在第一個(gè)在HDO開(kāi)始規(guī)劃和實(shí)施其治理模型時(shí)，有兩個(gè)關(guān)鍵領(lǐng)域?qū)τ谶@一過(guò)程的成功至關(guān)重要，首先是數(shù)據(jù)分類(lèi)。數(shù)據(jù)分類(lèi)為整個(gè)生態(tài)定規(guī)則。數(shù)據(jù)的安全要求決定了其分類(lèi)。數(shù)據(jù)必其次，識(shí)別角色和責(zé)任。云計(jì)算處于一個(gè)責(zé)任共擔(dān)環(huán)境中。以下來(lái)自微軟的圖責(zé)任SaaSPaaSIaaS本地責(zé)任始終為客戶(hù)信息和數(shù)據(jù)設(shè)備（移動(dòng)設(shè)備和PC）賬戶(hù)和身份責(zé)任因類(lèi)型而異身份和目錄基礎(chǔ)設(shè)施應(yīng)用網(wǎng)絡(luò)控制操作系統(tǒng)責(zé)任轉(zhuǎn)移到云端供應(yīng)商物理主機(jī)物理網(wǎng)絡(luò)物理數(shù)據(jù)中心Microsoft客戶(hù)共享?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有10如您所見(jiàn)，在責(zé)任共擔(dān)模型下，基于本地?cái)?shù)據(jù)中心的治理模型在混合云環(huán)境中清楚了解從云服務(wù)提供商那繼承的合規(guī)性至關(guān)重要。這是因?yàn)樗麄冐?fù)責(zé)實(shí)施，適用于他們?cè)谪?zé)任共擔(dān)中所負(fù)責(zé)部分的控制措施。作為客戶(hù)施，以實(shí)現(xiàn)對(duì)法規(guī)的整體合規(guī)性。例如，如果您需要遵守《心和虛擬化安全，實(shí)施一套控制措施。然而，作為云服務(wù)的程序、系統(tǒng)和數(shù)據(jù)的訪問(wèn)控制、管理應(yīng)用程序漏洞、確保您期、遵守?cái)?shù)據(jù)保留和數(shù)據(jù)處置要求、實(shí)施安全控制、監(jiān)控您惡意活動(dòng)，并處理事件。ITGRC是一個(gè)持續(xù)的過(guò)程，需要持續(xù)監(jiān)控、評(píng)估和5.定義一個(gè)治理框架。云安全聯(lián)盟（CSA）的云控制矩陣（CCM）框架專(zhuān)注此外，實(shí)施和管理云治理所需的技術(shù)和工具也在此項(xiàng)活動(dòng)中被定義。進(jìn)行現(xiàn)有企業(yè)技術(shù)和工具的分析，并識(shí)別出差距。差距分析的結(jié)果作?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有11括云計(jì)算各個(gè)方面的指導(dǎo)方針，如配置、訪問(wèn)管理和變更控制。這些標(biāo)須傳達(dá)給所有利益相關(guān)者，明確說(shuō)明每個(gè)利益相關(guān)者的角色和責(zé)任。此外，HDO應(yīng)兩者的要求。挑戰(zhàn)可能來(lái)自業(yè)務(wù)部門(mén)的路線圖和整體戰(zhàn)略方和開(kāi)發(fā)人員合作時(shí)，這可能妨礙成功推出這些框架的能力。及控制措施實(shí)際意義的教育不足，會(huì)在實(shí)施過(guò)程中持續(xù)監(jiān)控對(duì)確保云治理的有效性至關(guān)重要。策略和標(biāo)準(zhǔn)并非一成不變；隨著技術(shù)和法規(guī)的變化，它們也必須更新。當(dāng)變化發(fā)生時(shí)，監(jiān)控使HDO能夠收集有關(guān)云治理流程的性能信息，這些信息可以作為下一個(gè)周實(shí)施云安全態(tài)勢(shì)管理（CSPM）解決方案提供全面洞察云配置錯(cuò)誤的情況，提供采用已經(jīng)徹底改變了云計(jì)算基礎(chǔ)設(shè)施的管理，促進(jìn)了主動(dòng)風(fēng)?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有12云治理可以顯著增強(qiáng)HDO利用云計(jì)算滿足業(yè)務(wù)需求的能力。隨著HDO持續(xù)以遷些困難，例如將云治理整合到其現(xiàn)有的治理流程與旨在保護(hù)資產(chǎn)的傳統(tǒng)網(wǎng)絡(luò)安全不同，醫(yī)療保健行業(yè)的網(wǎng)絡(luò)安全始終與人息息相關(guān)，它通常直接連接到面向患者的網(wǎng)絡(luò)技術(shù)——例如，對(duì)入式醫(yī)療設(shè)備。另一方面，網(wǎng)絡(luò)安全威脅在數(shù)量、種類(lèi)（如健系統(tǒng)。WannaCry最深遠(yuǎn)的影響發(fā)生在英國(guó)，導(dǎo)致英國(guó)國(guó)家衛(wèi)生服務(wù)（NHS）受到嚴(yán)重影響，勒索軟件加密了文件，犯罪分子要求支付贖金以?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有13低風(fēng)險(xiǎn)。沒(méi)有任何信息系統(tǒng)是百分之百安全的，因此控制的一個(gè)可接受的水平，并且管理風(fēng)險(xiǎn)。為了構(gòu)建一個(gè)健壯的網(wǎng)絡(luò)防御，HDO必須理解云風(fēng)險(xiǎn)管理是在云關(guān)系的整個(gè)生命周期中識(shí)別、評(píng)估和控制在現(xiàn)代混合云環(huán)境提供的服務(wù)和環(huán)境的可見(jiàn)性，責(zé)任共擔(dān)模型下的風(fēng)險(xiǎn)管風(fēng)險(xiǎn)管理（TPRM）的一部分。風(fēng)險(xiǎn)評(píng)估也可能因云部署識(shí)別風(fēng)險(xiǎn)是風(fēng)險(xiǎn)管理的基礎(chǔ)活動(dòng)；如果HDO未能識(shí)別風(fēng)險(xiǎn)，它將難以成功管理方面的歷史經(jīng)驗(yàn)，可以是識(shí)別風(fēng)險(xiǎn)來(lái)源的良好第一步。HDO可以從這個(gè)列表開(kāi)始，用于組織和記錄已經(jīng)識(shí)別的運(yùn)營(yíng)風(fēng)險(xiǎn)的信息。HDO的風(fēng)險(xiǎn)管理策略必須將運(yùn)營(yíng)活動(dòng)和流程按優(yōu)先級(jí)排序，來(lái)區(qū)分出那些已經(jīng)被管理的和那些?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有14用Slack頻道報(bào)告他們想要報(bào)告的風(fēng)險(xiǎn)。這樣做的好處是，GRC不需要承擔(dān)識(shí)別風(fēng)險(xiǎn)的責(zé)任，并創(chuàng)造了一個(gè)安全意識(shí)文化，這種文化擁抱并理解風(fēng)險(xiǎn)編號(hào)識(shí)別日期風(fēng)險(xiǎn)描述影響可能性風(fēng)險(xiǎn)級(jí)別處置緩解控制風(fēng)險(xiǎn)所有人圖3：風(fēng)險(xiǎn)登記冊(cè)《網(wǎng)絡(luò)韌性評(píng)審補(bǔ)充資源指南：風(fēng)險(xiǎn)管理》第7卷：風(fēng)險(xiǎn)管理以形成風(fēng)險(xiǎn)處置決定。無(wú)論采用何種方法進(jìn)行風(fēng)險(xiǎn)分析，記錄這一過(guò)程都很重要，以確保一致性并為未來(lái)的改進(jìn)提供背景信息11。在進(jìn)行云風(fēng)險(xiǎn)評(píng)估時(shí)，理解責(zé)任共案所帶來(lái)的風(fēng)險(xiǎn)，并規(guī)劃針對(duì)云運(yùn)營(yíng)的風(fēng)險(xiǎn)應(yīng)對(duì)和控制框架是使用大型、多樣化組織的輸入所開(kāi)發(fā)的。在評(píng)估風(fēng)險(xiǎn)之后，HDO應(yīng)該應(yīng)用控在對(duì)云平臺(tái)進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)，有必要結(jié)合多種評(píng)估方法，如配置檢查和漏洞掃描。然而，云平臺(tái)有更多有價(jià)值的資源，并且與租戶(hù)有服?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有15值得注意的是，合同中的SLA將決定哪種類(lèi)型的測(cè)試是被允許的，以及測(cè)試應(yīng)該多來(lái)自獨(dú)立評(píng)估者的報(bào)告，以驗(yàn)證適當(dāng)?shù)目刂拼胧┮呀?jīng)部署并且按預(yù)期工作。HDO可以從云服務(wù)提供商那里要求第三方證明材料，例如SOC2報(bào)告。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有16HDO必須將他們的風(fēng)險(xiǎn)和控制框架映射到一個(gè)能夠以標(biāo)準(zhǔn)化方式解決云風(fēng)險(xiǎn)的廣泛采用和標(biāo)準(zhǔn)化的框架中受益，例如ISO27001、COBIT和NIST。為了更好地理解與云計(jì)算平臺(tái)相關(guān)的潛在威脅和風(fēng)險(xiǎn)，請(qǐng)參考CSA發(fā)布的《云計(jì)算十一大頂級(jí)流行威脅》報(bào)告15。這份報(bào)告提供了對(duì)云用戶(hù)和提供商面臨的最重大安全挑戰(zhàn)的深刻見(jiàn)解，包括數(shù)據(jù)泄露、配置錯(cuò)誤、不安全的接口和API以及內(nèi)部威脅。通過(guò)了解這些威脅，組織可以采取積極的措施來(lái)降低4.合規(guī)性云合規(guī)性指的是旨在保護(hù)和規(guī)范存儲(chǔ)在云平臺(tái)上的信息的準(zhǔn)則、法律和法規(guī)。對(duì)于醫(yī)療保健服務(wù)提供組織（HDO這指的是涵蓋安全性和隱私性的法規(guī)和法律。每種形式的信息都有其自己的規(guī)則。在美國(guó)，PHI有《健康保險(xiǎn)流通與責(zé)任法案》有保護(hù)其數(shù)據(jù)主體PII的國(guó)家法律。這包括存儲(chǔ)在國(guó)內(nèi)和國(guó)外的數(shù)據(jù)。在美國(guó)，雖然并非所有合規(guī)要求都有全面的聯(lián)邦法律，但每個(gè)州都有?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有17除了美國(guó)的法規(guī)外，加拿大和墨西哥也有自己的法規(guī)。加拿大有兩項(xiàng)主要的隱的透明度。該指令還禁止將PII傳輸?shù)饺魏挝茨茏C明有足夠保護(hù)的國(guó)家。下圖顯示這份法規(guī)列表讓讀者了解在確定合規(guī)性要求時(shí)必須考慮的主要法規(guī)。這只是合規(guī)要求的一小部分；醫(yī)療機(jī)構(gòu)需要針對(duì)其特定數(shù)據(jù)存儲(chǔ)地方供應(yīng)商的安全態(tài)勢(shì)、對(duì)其安全實(shí)踐進(jìn)行盡職調(diào)查，并?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有18實(shí)施有效的云合規(guī)策略對(duì)于組織確保其云環(huán)境的安全性和符合法規(guī)至關(guān)重要。規(guī)目標(biāo)。通過(guò)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估，HDO可以識(shí)別潛在的安定明確且有文檔記錄的政策和程序至關(guān)重要。這些策略應(yīng)涵據(jù)處理、事件響應(yīng)與管理、變更管理、漏洞管理以及數(shù)據(jù)泄隨著技術(shù)滲透到醫(yī)療保健的各個(gè)方面，倫理考量變得越來(lái)越重要。將倫理規(guī)范用中的算法偏見(jiàn)等問(wèn)題。這種整合確保技術(shù)進(jìn)步在不侵全提供了框架。這個(gè)由CSA創(chuàng)建的安全控制矩陣為安全供應(yīng)商提供了基本準(zhǔn)則。此?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有19聯(lián)邦風(fēng)險(xiǎn)與授權(quán)管理計(jì)劃(FedRAMP)：FedRAMP是一項(xiàng)覆蓋為云產(chǎn)品和服務(wù)的安全評(píng)估、授權(quán)以及持續(xù)監(jiān)控提供了與任何聯(lián)邦機(jī)構(gòu)開(kāi)展業(yè)務(wù)的組織而言，遵守這一套針對(duì)ISO/IEC27017：國(guó)際標(biāo)準(zhǔn)化組織(ISO)發(fā)布了多項(xiàng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，其中云合規(guī)框架幫助您應(yīng)對(duì)監(jiān)管環(huán)境，避免因不合規(guī)而帶來(lái)的財(cái)務(wù)和聲譽(yù)成本。此可以展示其對(duì)隱私和數(shù)據(jù)保護(hù)的承諾。這將幫助監(jiān)管機(jī)商、云服務(wù)提供商以及相關(guān)方合作時(shí)，如何保護(hù)醫(yī)療信息服務(wù)提供商有義務(wù)根據(jù)由兩個(gè)日本政府部門(mén)發(fā)布的兩項(xiàng)指?jìng)€(gè)人健康信息（PHI）的服務(wù)提供商遵循其框架，以確保PHI的安全保護(hù)。?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有20治理、風(fēng)險(xiǎn)和合規(guī)（GRC）是一套幫助醫(yī)療保健服務(wù)提供組織（HDO）結(jié)構(gòu)化其治理、風(fēng)險(xiǎn)管理和監(jiān)管合規(guī)方法的流程、實(shí)踐、框架和技術(shù)優(yōu)勢(shì)。在采用云計(jì)算時(shí)，HDO必須認(rèn)真識(shí)別其安全需求，評(píng)估服務(wù)提供商的安全和隱私控制，并理解共享責(zé)任和合規(guī)責(zé)任的傳遞。通過(guò)深入理參考文獻(xiàn)[1]Capgemini,2021.CloudGovernanceGuide-BusinessAlignedApproachtoCloudUtilization,Retrievedfrom/fi-en/research-and-insight/cloud-qovernance-quide-business-aligned-approach-to-cloud-utilization[2]ObjectManagementGroup,2019.PracticalGuidetoCloudGovernance,Retrievedfrom/cloud/deliverables/practical-guide-to-cloud-governance.pdf[3]Karko?ková,S.&FeuerlichtG.,2016.CloudComputingGovernanceLifecycle,ActaInformaticaPragensia,5(1):56-71DOl:10.18267/j.aip.85[4]Arend,C.,&Helkenberg,R.2021.CloudGovernanceSuccess:APracticalFrameworktoGetingStartedwithCloudDataGovernance,Retrievedfrom/WE-HCS-CNTNT-FY22-11Nov-10-Cloud-governance-eGuide-A-Practical-Framework-to-Starting-Cloud-Data-Governance-SRGCM5306_LP01-Registration---Form-in-?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有21Body.html[5]ObjectManagementGroup,2019.PracticalGuidetoCloudGovernance,Retrievedfrom/cloud/deliverables/practical-guide-to-cloud-governance.pdf[6]Ancoris,2023.CloudGovernanceFramework:HowtoDevelop,ImplementandFollowOne,Retrievedfrom/blog/cloud-governance-framework[7]Karko?ková,S.&FeuerlichtG.,2016.CloudComputingGovernanceLifecycle,ActaInformaticaPragensia,5(1):56-71DOl:10.18267/j.aip.85[8]Rasner,G.,2021.Cybersecurity&Third-PartyRisk:Third-PartyThreatHunting,JohnWiley&Sons,Inc.,Hoboken,NJ.[9]CarnegieMellonUniversity,2016.CyberResilienceReviewSupplementalResourceGuide:RiskManagement,DepartmentofHomelandSecurity[10]Rasner,G.,2021.Cybersecurity&Third-PartyRisk:Third-PartyThreatHunting,JohnWiley&Sons,Inc.,Hoboken,NJ.[11]CarnegieMellonUniversity,2016.CyberResilienceReviewSupplementalResourceGuide:RiskManagement,DepartmentofHomelandSecurity[12]Rasner,G.,2021.Cybersecurity&Third-PartyRisk:Third-PartyThreatHunting,JohnWiley&Sons,Inc.,Hoboken,NJ.[13]lorga,M.,Karmel,A.,ManagingRiskinaCloudEcosystem,/10.1109/MCC.2015.122[14]Microsoft,2023.RiskAssessmentGuideforMicrosoftCloud,Retrievedfrom/en-us/compliance/assurance/assurance-risk-assessment-guide[15]CloudSecurityAlliance,2023.TopThreatstoCloudComputingPandemicEleven,Retrievedfrom/artifacts/top-threats-to-cloud-computing-pandemic-eleven[16]Shacklett,M.,2023.WhatisCloudCompliance?AComprehensiveGuide,Retrievedfromhttps:/www.datamation.com/cloud/what-is-cloud-compliance/[17]Moschovitis,C.,2021.PrivacyRegulationsandCybersecurity:TheEssentialBusinessGuide,JohnWiley&Sons,Inc.NewJersey[18]Varankevich,S.,2017.TeritorialScopeofGDPR,Retrievedfrom?2024云安全聯(lián)盟大中華區(qū)版權(quán)所有22/pulse/territorial-scope-gdpr-flowc