医疗保健中的信息技术治理、风险与合规(第二版)

©2024云安全联盟大中华区版权所有 ©2024云安全联盟大中华区——保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网(https://www.c-csa.cn)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 ©2024云安全联盟大中华区版权所有 ©2024云安全联盟大中华区版权所有1 致谢 《医疗保健中的信息技术治理、风险与合规（第二版）》由CSA工作组专家编写，CSA大中华区秘书处组织数据安全工作组专家进行翻译并审校。 中文版翻译专家组 组长：王安宇翻译组： 王彪、张明敏、易利杰、卜宋博审校组： 王安宇、罗智杰、高健凯研究协调员： 卜宋博、闭俊林 感谢以下单位的支持与贡献： 北京天融信网络安全技术有限公司杭州安恒信息技术股份有限公司 （以上排名不分先后） ©2024云安全联盟大中华区版权所有2 英文版本编写专家 主要作者：Dr.JimAngle贡献者： YutaoMaAkhilMittalMichaelRoza审校组： AnupGhatageTolgayKizilelma,PhDNamalKulathungaYuvarajMadheswaranVaibhavMalikKennethMoras MeghanaParwateAkshayShettyRoseSongerUdithWickramasuriya CSA全球工作人员 AlexKaluzaClaireLehnert 在此感谢以上专家及单位。如译文有不妥当之处，敬请读者联系CSAGCR秘书处给予雅正！联系邮箱research@c-csa.cn；国际云安全联盟CSA公众号。 ©2024云安全联盟大中华区版权所有3 目录 致谢1 摘要5 1.引言6 1.1新兴技术对GRC的影响7 2.治理7 2.1计划8 2.2定义11 2.3实施12 2.4监视12 2.5讨论13 2.6威胁13 3.风险14 3.1评估风险15 3.2降低风险16 4.合规性17 4.1GRC中伦理考量的整合19 4.2云合规框架19 4.3全球云框架19 4.4地方监管框架20 5.结论21 参考文献21 ©2024云安全联盟大中华区版权所有4 序言 随着医疗保健行业进入数字化转型的深水区，信息技术的快速普及不仅为医疗服务的提升带来了巨大的机遇，同时也带来了前所未有的挑战。在这一过程中，信息技术治理、风险管理与合规（GRC）成为医疗保健机构不可忽视的关键领域。云计算、人工智能（AI）、物联网（IoT）以及区块链等技术的崛起，进一步加剧了这些挑战，要求医疗保健组织在采纳新技术的同时，确保患者数据安全、信息隐私保护、以及遵循复杂的行业法规。 《医疗保健信息技术治理、风险与合规（第二版）》从全球视角出发，全面剖析了云计算环境下的GRC框架如何帮助医疗保健机构应对当下的安全和合规挑战。报告深入探讨了GRC如何在确保合规的同时帮助机构最大化地降低技术风险，提升运营效率，简化流程，并且为组织的长期安全性和可持续性奠定基础。 报告指出，随着生成式人工智能等新兴技术的应用，医疗保健行业面临的安全威胁愈加复杂。AI技术的双刃剑效应，不仅可以提升医疗诊断的精准度和效率，也可能因数据隐私、算法偏见等问题带来法律和伦理上的挑战。针对这些问题，报告建议医疗保健机构将AI的治理纳入GRC框架中，以确保技术发展符合道德标准和法规要求。 展望未来，全球医疗保健行业在技术进步的驱动下，将持续面临复杂的供应链风险、严格的监管要求以及新型攻击手段的不断涌现。为此，报告呼吁医疗保健机构采用前瞻性思维，构建具备自动化能力的GRC框架，并在零信任架构、云原生安全工具等方面加大投入，以确保组织在瞬息万变的技术环境中保持强大的适应能力和弹性。 李雨航YaleLiCSA大中华区主席兼研究院长 ©2024云安全联盟大中华区版权所有5 摘要 医疗保健服务提供组织（HDO）使用云服务的情况正变得越来越普遍化，但向云端的迁移却带来了挑战。其中一个主要挑战是在云中建立治理、风险与合规（GRC），这需要重新定义业务和技术的流程，并依赖第三方提供商。为了确保HDO能够从云计算中获益，设计并实施一个稳健的云GRC计划非常重要，该计划能够解决这些挑战，并确保符合行业法规和标准。 1.引言 HDO意识到通过治理、风险与合规（GRC）计划能全面了解风险和合规的价值，该计划使HDO能够从业务角度解决技术风险，通过自顶向下的方法使业务和技术保持一致性。这种自顶向下的方法确保在符合行业法规和标准的同时也能识别和解决风险。 云GRC是组织收集重要风险数据、验证合规性并报告结果的有效手段。云管理是云GRC中的一个重要关注领域，它在很多组织中以孤岛的方式实施。（从而）未能将收集的结果整合到GRC计划中，可能导致重复性工作，并且不能充分利用GRC。正确实施的GRC计划可以消除重复性工作，提供数据存储库，并促进自动化。本文将讨论一个良好的云GRC计划的要素以及建立该计划所需的条件。 人工智能（AI）的重要性正在快速增加，特别是在医疗保健行业。因此，GRC也受到越来越多的关注。AIGRC专注于人工智能和机器学习（ML）系统的数据质量和准确性、道德和法律问题、安全性和隐私性，因为可能涉及患者和其他敏感数据。GRC的目标是建立必要的监督，以使AI行为符合道德标准和社会期望，并防范潜在的不利影响。 GRC提供了一种共享相关信息的方法，有助于弥合差距并消除组织中的孤岛。 ©2024云安全联盟大中华区版权所有6 1.1新兴技术对GRC的影响 区块链、物联网（IoT）、人工智能和高级分析等新兴技术在医疗保健领域的迅速采用，为GRC框架带来了新的挑战和机遇。这些技术可以帮助简化流程、增强数据完整性并改善患者治疗效果，但它们也在合规性和安全管理方面带来了复杂性。在GRC框架内解决这些技术问题，可确保它们符合医疗保健标准和法规，同时增强网络安全措施。 2.治理 由于云计算相对于本地数据中心的独特性，，HDO需要重新考虑如何实现IT治理。HDO必须实施并维护一个治理生命周期，来规划、定义、实施和监控治理。HDO必须考虑如何管理责任共担模型和多租户环境。此外，虽然HDO可能有云优先策略，但至少在最初，他们将处于混合云环境中。在医疗保健领域中，有效的IT治理确保技术投资与组织目标一致，高效分配资源，决策过程透明且负责任。这包括为IT系统和人员制定策略、程序和标准。 基于云的架构和业务运营比传统的本地数据中心架构更加多样化和复杂，因此依靠用于本地数据中心环境的相同策略和工具将不能确保在云上取得成功1。云治理是基于风险和标准框架的HDO的策略和标准的集合。根据信息系统审计和控制协会（ISACA）的说法，云环境中的治理有助于实现使用云计算服务所带来的好处，同时最大限度地降低风险、优化投资并确保符合法律和法规要求。 通过创建云治理模型，HDO可以避免许多云优先战略的陷阱。 将云计算引入HDO会影响角色、职责、流程和度量标准。如果没有适当的治理来提供标准和指南来驾驭风险以及有效采购和运营云服务，HDO可能会发现自己面临一些常见问题： ·与企业目标不一致 ©2024云安全联盟大中华区版权所有7 ·频繁的策略例外评审 ·项目停滞 ·合规或监管的处罚或失败 ·数据治理与管理 ·预算超支 ·不完整的风险评估² 根据面向服务架构（SOA）框架，云治理生命周期由四个阶段组成： ·计划（Plan） ·定义（Define） ·实施（Implement） ·监控（Monitor） 图1:SOA治理生命周期 2.1规划 规划始于识别利益相关者的业务需求，并识别如何满足这些需求。云计算治理 ©2024云安全联盟大中华区版权所有8 生命周期的规划阶段包括： 1.分析已实施的治理模型和流程。 这包括评估公司治理的所有方面，以找到创建或维护云治理模型的起点，以便提供基于云计算治理成熟度水平的管理级别信息，来提升云计算治理。该水平分为6个级别： ·级别0：不存在云计算治理 ·级别1：初始/临时的云计算治理 ·级别2：可重复的云计算治理 ·级别3：已定义的云计算治理 ·级别4：可管理和可度量的云计算治理 ·级别5：优化的云计算治理 2.云治理愿景与战略。 云治理愿景基于云治理的指导原则和商业战略。实现云计算愿景的战略应包括云治理评估以及衡量从云治理中获得价值的指标定义。 3.云治理的范围。 ·识别利益相关者的需求 ·识别云治理流程 ·识别治理级别并选择云治理的组成部分 4.指导原则的适应性调整。 此活动根据企业IT治理原则调整HDO的云治理指导原则。。ISACA组织认为采 ©2024云安全联盟大中华区版权所有9 用和使用云有6个指导原则：赋能、成本收益、企业风险、能力、问责和信任。这些原则通过强调云计算的问题和关注点，为HDO提供了高层次的指导，并有助于在采用云解决方案的同时实现HDO的业务目标。 5.规划云治理路线图。 云治理路线图定义了云治理生命周期的迭代次数。云治理的初始部署在第一个周期的实施过程中进行。在后续的迭代中，逐步实施完整的云治理愿景3。 在HDO开始规划和实施其治理模型时，有两个关键领域对于这一过程的成功至关重要，首先是数据分类。数据分类为整个生态系统中的数据访问、使用和共享设定规则。数据的安全要求决定了其分类。数据必须要多安全？它是个人可识别信息 （PII）还是受保护的健康信息（PHI），或者数据可以自由共享吗？ 责任 SaaS PaaS IaaS 本地 其次，识别角色和责任。云计算处于一个责任共担环境中。以下来自微软的图表展示了不同职能的责任分配： 责任始终为客户 信息和数据设备（移动设备和PC）账户和身份 责任 因类型而异 身份和目录基础设施应用网络控制操作系统 责任转移到云端供应商 物理主机物理网络物理数据中心 Microsoft客户共享 图2：来自微软的云责任共担模型 ©2024云安全联盟大中华区版权所有10 如您所见，在责任共担模型下，基于本地数据中心的治理模型在混合云环境中将不再充分满足需求。 清楚了解从云服务提供商那继承的合规性至关重要。这是因为他们负责实施，适用于他们在责任共担中所负责部分的控制措施。作为客户，您也负责实施控制措施，以实现对法规的整体合规性。例如，如果您需要遵守《健康保险流通与责任法案》（HIPAA），您的云服务提供商将根据他们在责任共担中所负责的部分，如数据中心和虚拟化安全，实施一套控制措施。然而，作为云服务的客户，您也负责实施来自合规性继承的其余控制措施，如实施适当的身份和访问管理（IAM）、对您的应用程序、系统和数据的访问控制、管理应用程序漏洞、确保您有安全软件开发生命周期、遵守数据保留和数据处置要求、实施安全控制、监控您的云资源是否有异常和恶意活动，并处理事件。ITGRC是一个持续的过程，需要持续监控、评估和改进。医疗保健组织应定期审查其ITGRC框架，评估其有效性，并根据不断变化的风险、法规和业务需求进行必要的调整。 2.2定义 "定义"是定义实现规划阶段目标所需步骤的过程。以下是此步骤中的一些活动。 1.根据公认的治理成熟度模型评估当前云治理的现状。 2.定义适用于HDO的治理策略和合规法规4。 3.识别必须弥补的差距以满足HDO的云治理要求。 4.定义执行所有治理流程的治理机构。 5.定义一个治理框架。云安全联盟（CSA）的云控制矩阵（CCM）框架专注于整个信息安全生命周期5。 此外，实施和管理云治理所需的技术和工具也在此项活动中被定义。进行现有企业技术和工具的分析，并识别出差距。差距分析的结果作为获取技术和工具的基础，这些技术和工具应支持云治理的自动化能力。 ©2024云安全联盟大中华区