《云安全聯盟：醫療保健中的信息技術治理、風險與合規（第二版）（2024）（26頁）.pdf》由會員分享，可在線閱讀，更多相關《云安全聯盟：醫療保健中的信息技術治理、風險與合規（第二版）（2024）（26頁）.pdf（26頁珍藏版）》請在三個皮匠報告上搜索。

1、 2024云安全聯盟大中華區版權所有醫醫療療保保健健中中的的信信息息技技術術治治理理、風風險險與與合合規規（第第二二版版）2024云安全聯盟大中華區版權所有2024 云安全聯盟大中華區 保留所有權利。你可以在你的電腦上下載、儲存、展示、查看及打印，或者訪問云安全聯盟大中華區官網(https:/www.c-)。須遵守以下:(a)本文只可作個人、信息獲取、非商業用途;(b)本文內容不得篡改;(c)本文不得轉發;(d)該商標、版權或其他聲明不得刪除。在遵循中華人民共和國著作權法相關條款情況下合理使用本文內容，使用時請注明引用于云安全聯盟大中華區。2024云安全聯盟大中華區版權所有1 2024云安全聯

2、盟大中華區版權所有2致致謝謝醫療保健中的信息技術治理、風險與合規（第二版）由 CSA 工作組專家編寫，CSA大中華區秘書處組織數據安全工作組專家進行翻譯并審校。中文版翻譯專家組組組長長：王安宇翻翻譯譯組組：王彪、張明敏、易利杰、卜宋博審審校校組組：王安宇、羅智杰、高健凱研研究究協協調調員員：卜宋博、閉俊林感感謝謝以以下下單單位位的的支支持持與與貢貢獻獻：北京天融信網絡安全技術有限公司杭州安恒信息技術股份有限公司（以上排名不分先后）2024云安全聯盟大中華區版權所有3英文版本編寫專家主主要要作作者者：Dr.Jim Angle貢貢獻獻者者：Yutao MaAkhil MittalMichael R

3、oza審審校校組組：Anup GhatageTolgay Kizilelma,PhDNamal KulathungaYuvaraj MadheswaranVaibhav MalikKenneth MorasMeghana ParwateAkshay ShettyRose SongerUdith WickramasuriyaCSA 全球工作人員Alex KaluzaClaire Lehnert在此感謝以上專家及單位。如譯文有不妥當之處，敬請讀者聯系 CSA GCR 秘書處給予雅正！聯系郵箱 researchc-；國際云安全聯盟 CSA 公眾號。2024云安全聯盟大中華區版權所有4目錄致謝.1摘要

4、.51.引言.61.1 新興技術對 GRC 的影響.72.治理.72.1 計劃.82.2 定義.112.3 實施.122.4 監視.122.5 討論.132.6 威脅.133.風險.143.1 評估風險.153.2 降低風險.164.合規性.174.1GRC 中倫理考量的整合.194.2 云合規框架.194.3 全球云框架.194.4 地方監管框架.205.結論.21參考文獻.21 2024云安全聯盟大中華區版權所有5序序言言隨著醫療保健行業進入數字化轉型的深水區，信息技術的快速普及不僅為醫療服務的提升帶來了巨大的機遇，同時也帶來了前所未有的挑戰。在這一過程中，信息技術治理、風險管理與合規（G

5、RC）成為醫療保健機構不可忽視的關鍵領域。云計算、人工智能（AI）、物聯網（IoT）以及區塊鏈等技術的崛起，進一步加劇了這些挑戰，要求醫療保健組織在采納新技術的同時，確?；颊邤祿踩?、信息隱私保護、以及遵循復雜的行業法規。醫療保健信息技術治理、風險與合規（第二版）從全球視角出發，全面剖析了云計算環境下的 GRC 框架如何幫助醫療保健機構應對當下的安全和合規挑戰。報告深入探討了 GRC 如何在確保合規的同時幫助機構最大化地降低技術風險，提升運營效率，簡化流程，并且為組織的長期安全性和可持續性奠定基礎。報告指出，隨著生成式人工智能等新興技術的應用，醫療保健行業面臨的安全威脅愈加復雜。AI 技術的雙

6、刃劍效應，不僅可以提升醫療診斷的精準度和效率，也可能因數據隱私、算法偏見等問題帶來法律和倫理上的挑戰。針對這些問題，報告建議醫療保健機構將 AI 的治理納入 GRC 框架中，以確保技術發展符合道德標準和法規要求。展望未來，全球醫療保健行業在技術進步的驅動下，將持續面臨復雜的供應鏈風險、嚴格的監管要求以及新型攻擊手段的不斷涌現。為此，報告呼吁醫療保健機構采用前瞻性思維，構建具備自動化能力的 GRC 框架，并在零信任架構、云原生安全工具等方面加大投入，以確保組織在瞬息萬變的技術環境中保持強大的適應能力和彈性。李雨航 Yale LiCSA 大中華區主席兼研究院長 2024云安全聯盟大中華區版權所有6

7、摘摘要要醫療保健服務提供組織（HDO）使用云服務的情況正變得越來越普遍化，但向云端的遷移卻帶來了挑戰。其中一個主要挑戰是在云中建立治理、風險與合規（GRC），這需要重新定義業務和技術的流程，并依賴第三方提供商。為了確保 HDO 能夠從云計算中獲益，設計并實施一個穩健的云 GRC 計劃非常重要，該計劃能夠解決這些挑戰，并確保符合行業法規和標準。1.引引言言HDO 意識到通過治理、風險與合規（GRC）計劃能全面了解風險和合規的價值，該計劃使 HDO 能夠從業務角度解決技術風險，通過自頂向下的方法使業務和技術保持一致性。這種自頂向下的方法確保在符合行業法規和標準的同時也能識別和解決風險。云 GRC

8、是組織收集重要風險數據、驗證合規性并報告結果的有效手段。云管理是云 GRC 中的一個重要關注領域，它在很多組織中以孤島的方式實施。（從而）未能將收集的結果整合到 GRC 計劃中，可能導致重復性工作，并且不能充分利用 GRC。正確實施的 GRC 計劃可以消除重復性工作，提供數據存儲庫，并促進自動化。本文將討論一個良好的云 GRC 計劃的要素以及建立該計劃所需的條件。人工智能（AI）的重要性正在快速增加，特別是在醫療保健行業。因此，GRC 也受到越來越多的關注。AI GRC 專注于人工智能和機器學習（ML）系統的數據質量和準確性、道德和法律問題、安全性和隱私性，因為可能涉及患者和其他敏感數據。GR

9、C 的目標是建立必要的監督，以使 AI 行為符合道德標準和社會期望，并防范潛在的不利影響。GRC 提供了一種共享相關信息的方法，有助于彌合差距并消除組織中的孤島。2024云安全聯盟大中華區版權所有71.1 新新興興技技術術對對 GRC 的的影影響響區塊鏈、物聯網（IoT）、人工智能和高級分析等新興技術在醫療保健領域的迅速采用，為 GRC 框架帶來了新的挑戰和機遇。這些技術可以幫助簡化流程、增強數據完整性并改善患者治療效果，但它們也在合規性和安全管理方面帶來了復雜性。在 GRC 框架內解決這些技術問題，可確保它們符合醫療保健標準和法規，同時增強網絡安全措施。2.治治理理由于云計算相對于本地數據中

10、心的獨特性，HDO 需要重新考慮如何實現 IT 治理。HDO 必須實施并維護一個治理生命周期，來規劃、定義、實施和監控治理。HDO 必須考慮如何管理責任共擔模型和多租戶環境。此外，雖然 HDO 可能有云優先策略，但至少在最初，他們將處于混合云環境中。在醫療保健領域中，有效的 IT 治理確保技術投資與組織目標一致，高效分配資源，決策過程透明且負責任。這包括為 IT 系統和人員制定策略、程序和標準?；谠频募軜嫼蜆I務運營比傳統的本地數據中心架構更加多樣化和復雜，因此依靠用于本地數據中心環境的相同策略和工具將不能確保在云上取得成功 1。云治理是基于風險和標準框架的 HDO 的策略和標準的集合。根據信

11、息系統審計和控制協會（ISACA）的說法，云環境中的治理有助于實現使用云計算服務所帶來的好處，同時最大限度地降低風險、優化投資并確保符合法律和法規要求。通過創建云治理模型，HDO 可以避免許多云優先戰略的陷阱。將云計算引入 HDO 會影響角色、職責、流程和度量標準。如果沒有適當的治理來提供標準和指南來駕馭風險以及有效采購和運營云服務，HDO 可能會發現自己面臨一些常見問題：與企業目標不一致 2024云安全聯盟大中華區版權所有8 頻繁的策略例外評審 項目停滯 合規或監管的處罰或失敗 數據治理與管理 預算超支 不完整的風險評估根據面向服務架構（SOA）框架，云治理生命周期由四個階段組成：計劃（Pl

12、an）定義（Define）實施（Implement）監控（Monitor）圖 1:SOA 治理生命周期2.1 規規劃劃規劃始于識別利益相關者的業務需求，并識別如何滿足這些需求。云計算治理 2024云安全聯盟大中華區版權所有9生命周期的規劃階段包括：1 1.分分析析已已實實施施的的治治理理模模型型和和流流程程。這包括評估公司治理的所有方面，以找到創建或維護云治理模型的起點，以便提供基于云計算治理成熟度水平的管理級別信息，來提升云計算治理。該水平分為6 個級別：級別 0：不存在云計算治理級別 1：初始/臨時的云計算治理級別 2：可重復的云計算治理級別 3：已定義的云計算治理級別 4：可管理和可度量

13、的云計算治理級別 5：優化的云計算治理2 2.云云治治理理愿愿景景與與戰戰略略。云治理愿景基于云治理的指導原則和商業戰略。實現云計算愿景的戰略應包括云治理評估以及衡量從云治理中獲得價值的指標定義。3 3.云云治治理理的的范范圍圍。識別利益相關者的需求 識別云治理流程 識別治理級別并選擇云治理的組成部分4 4.指指導導原原則則的的適適應應性性調調整整。此活動根據企業 IT 治理原則調整 HDO 的云治理指導原則。ISACA 組織認為采 2024云安全聯盟大中華區版權所有10用和使用云有 6 個指導原則：賦能、成本收益、企業風險、能力、問責和信任。這些原則通過強調云計算的問題和關注點，為 HDO

14、提供了高層次的指導，并有助于在采用云解決方案的同時實現 HDO 的業務目標。5 5.規規劃劃云云治治理理路路線線圖圖。云治理路線圖定義了云治理生命周期的迭代次數。云治理的初始部署在第一個周期的實施過程中進行。在后續的迭代中，逐步實施完整的云治理愿景3。在 HDO 開始規劃和實施其治理模型時，有兩個關鍵領域對于這一過程的成功至關重要，首先是數據分類。數據分類為整個生態系統中的數據訪問、使用和共享設定規則。數據的安全要求決定了其分類。數據必須要多安全？它是個人可識別信息（PII）還是受保護的健康信息（PHI），或者數據可以自由共享嗎？其次，識別角色和責任。云計算處于一個責任共擔環境中。以下來自微軟

15、的圖表展示了不同職能的責任分配：Microsoft客戶共享SaaSPaaSIaaS本地責責任任責責任任始始終終為為客客戶戶責責任任因因類類型型而而異異責責任任轉轉移移到到云云端端供供應應商商信息和數據設備（移動設備和PC）身份和目錄基礎設施應用網絡控制操作系統物理主機物理網絡物理數據中心賬戶和身份圖 2：來自微軟的云責任共擔模型 2024云安全聯盟大中華區版權所有11如您所見，在責任共擔模型下，基于本地數據中心的治理模型在混合云環境中將不再充分滿足需求。清楚了解從云服務提供商那繼承的合規性至關重要。這是因為他們負責實施，適用于他們在責任共擔中所負責部分的控制措施。作為客戶，您也負責實施控制措施

16、，以實現對法規的整體合規性。例如，如果您需要遵守健康保險流通與責任法案（HIPAA），您的云服務提供商將根據他們在責任共擔中所負責的部分，如數據中心和虛擬化安全，實施一套控制措施。然而，作為云服務的客戶，您也負責實施來自合規性繼承的其余控制措施，如實施適當的身份和訪問管理（IAM）、對您的應用程序、系統和數據的訪問控制、管理應用程序漏洞、確保您有安全軟件開發生命周期、遵守數據保留和數據處置要求、實施安全控制、監控您的云資源是否有異常和惡意活動，并處理事件。IT GRC 是一個持續的過程，需要持續監控、評估和改進。醫療保健組織應定期審查其 IT GRC 框架，評估其有效性，并根據不斷變化的風險、

17、法規和業務需求進行必要的調整。2.2 定定義義定義 是定義實現規劃階段目標所需步驟的過程。以下是此步驟中的一些活動。1.根據公認的治理成熟度模型評估當前云治理的現狀。2.定義適用于 HDO 的治理策略和合規法規4。3.識別必須彌補的差距以滿足 HDO 的云治理要求。4.定義執行所有治理流程的治理機構。5.定義一個治理框架。云安全聯盟（CSA）的云控制矩陣（CCM）框架專注于整個信息安全生命周期5。此外，實施和管理云治理所需的技術和工具也在此項活動中被定義。進行現有企業技術和工具的分析，并識別出差距。差距分析的結果作為獲取技術和工具的基礎，這些技術和工具應支持云治理的自動化能力。2024云安全聯

18、盟大中華區版權所有122.3 實實施施實施治理框架是一個具有挑戰性的過程，它需要合作、溝通、監控和持續改進。HDO 在定義階段定義了流程、技術和工具?，F在，HDO 需要定義標準和程序。這些包括云計算各個方面的指導方針，如配置、訪問管理和變更控制。這些標準和程序必須傳達給所有利益相關者，明確說明每個利益相關者的角色和責任。此外，HDO 應提供培訓，讓所有利益相關者熟悉云治理策略、程序和標準6。理解實施云治理將面對挑戰是重要的。一些挑戰包括安全和隱私。HDO 需要明確兩者的要求。挑戰可能來自業務部門的路線圖和整體戰略方面。這會導致在組織內推出治理框架時出現重大延誤，特別是，當需要與工程部門、開發運

19、營（DevOps）和開發人員合作時，這可能妨礙成功推出這些框架的能力。此外，對治理重要性以及控制措施實際意義的教育不足，會在實施過程中帶來意想不到的挑戰。2.4 監監控控持續監控對確保云治理的有效性至關重要。策略和標準并非一成不變；隨著技術和法規的變化，它們也必須更新。當變化發生時，評審和更新策略及標準是必不可少的。HDO 應進行定期評估，以識別需要改進的領域并進行必要的調整。監控使 HDO 能夠收集有關云治理流程的性能信息，這些信息可以作為下一個周期的關鍵輸入。然后 HDO 可以確保滿足云治理的目標和目的。必須持續監控，以提供最新和準確的信息。根據業務需求7，測量數據會連續地或以設定的時間間

20、隔進行評估。實施云安全態勢管理（CSPM）解決方案提供全面洞察云配置錯誤的情況，提供及時的建議和有效的策略來減輕技術風險的暴露。此外，基礎設施即代碼（IaC）的采用已經徹底改變了云計算基礎設施的管理，促進了主動風險管理。通過使用靜態代碼分析技術，組織可以在將 IaC 腳本部署到生產環境之前識別和解決錯誤配置。這種主動的方法通過簡化風險檢測和促進快速補救，極大地提高了投資回報率（ROI），2024云安全聯盟大中華區版權所有13加強了云治理框架。2.5 討討論論云治理可以顯著增強 HDO 利用云計算滿足業務需求的能力。隨著 HDO 持續以遷移向云，它們必須了解如何利用云服務并實現業務與 IT 的一

21、致性。雖然并沒有一個特定的云治理框架，HDO 需要選擇一個框架并根據其需求進行調整。CSA 的 CCM 框架專注于整個生命周期，并可以使 HDO 在開發其框架時獲益。實施云治理影響業務價值的創造和使用云服務的收益。然而，HDO 可能會面臨一些困難，例如將云治理整合到其現有的治理流程中、規劃治理路線圖以及設計治理結構。制定清晰的云治理實施指南將有助于克服這些困難8。2.6 威威脅脅與旨在保護資產的傳統網絡安全不同，醫療保健行業的網絡安全始終與人息息相關，它通常直接連接到面向患者的網絡技術例如，對患者生命至關重要的植入式醫療設備。另一方面，網絡安全威脅在數量、種類（如勒索軟件）以及對有漏洞的 Io

22、T 系統的攻擊方面都在增加。2016 年，非特定目標的勒索軟件 WannaCry，攻擊了 150 多個國家，包括醫療保健系統。WannaCry 最深遠的影響發生在英國，導致英國國家衛生服務（NHS）受到嚴重影響，勒索軟件加密了文件，犯罪分子要求支付贖金以解鎖醫療記錄或關鍵設備。結果是超過 80 家獨立醫院的正常醫療運營受到干擾超過四天。這次網絡攻擊直接影響了生命，給 HDO 帶來了新的威脅。在 5 月 12 日至 5 月 19 日之間，成千上萬的預定手術和臨床預約不得不取消。2024云安全聯盟大中華區版權所有143.風風險險網絡安全風險是業務風險的一個子集，因此，應該用業務術語來討論。HDO

23、應該在組織風險的環境下看待信息風險。當 HDO 實施信息安全控制時，他們的目標是降低風險。沒有任何信息系統是百分之百安全的，因此控制的目的就是將風險降低到一個可接受的水平，并且管理風險。為了構建一個健壯的網絡防御，HDO 必須理解風險。云風險管理是在云關系的整個生命周期中識別、評估和控制在現代混合云環境中的風險的過程。由于采用了不同類型的云（IaaS、PaaS、SaaS），并且缺乏對 CSP提供的服務和環境的可見性，責任共擔模型下的風險管理是復雜的，這也是第三方風險管理（TPRM）的一部分。風險評估也可能因云部署的形式不同而有所不同私有云、公有云或混合云。識別風險是風險管理的基礎活動；如果 H

24、DO 未能識別風險，它將難以成功管理其風險。HDO 必須確保他們能夠及時識別風險，然后將其傳達給適當的利益相關者。風險識別中的重要活動包括：建立風險類別?？紤]威脅態勢的一種常見方式是識別風險/威脅的來源。這種方法有助于將具有共同特征、策略和趨勢的風險劃分到合適的類別。為依賴科技和信息資產的運營活動識別風險來源?；仡?HDO 在負面運營事件方面的歷史經驗，可以是識別風險來源的良好第一步。HDO 可以從這個列表開始，然后根據其風險管理活動的范圍和獨特的運營環境進行定制。在風險登記冊中記錄已識別的風險，或采用其他跟蹤機制。風險登記簿一般用于組織和記錄已經識別的運營風險的信息。HDO 的風險管理策略必

25、須將運營活動和流程按優先級排序，來區分出那些已經被管理的和那些較不重要的，需要較低關注水平的活動和流程9。HDO 應該使用風險登記冊來記錄和管理已識別的風險。下表是來自網絡韌性評審補充資源指南：風險管理10中的一個示例。建立一個與您的技術組織熟悉的工作方式相一致的報告機制，例如工程師使 2024云安全聯盟大中華區版權所有15用 Slack 頻道報告他們想要報告的風險。這樣做的好處是，GRC 不需要承擔識別風險的責任，并創造了一個安全意識文化，這種文化擁抱并理解風險，并且員工可以報告風險。圖 3：風險登記冊 網絡韌性評審補充資源指南：風險管理 第 7 卷：風險管理3.1 評評估估風風險險風險分析

26、過程確保所有已識別的風險都在HDO的風險驅動因素背景下進行評估，以形成風險處置決定。無論采用何種方法進行風險分析，記錄這一過程都很重要，以確保一致性并為未來的改進提供背景信息11。在進行云風險評估時，理解責任共擔模型非常重要。在傳統的數據中心中，所有的安全責任都落在 HDO 上。最重要的是理解誰負責云部署的所有階段12。在獲取云服務之前，HDO 需要分析使用云解決方案所帶來的風險，并規劃針對云運營的風險應對和控制活動。為此，云消費者需要獲得整個云生態系統的視角，它將服務于其基于云的信息系統的運營13。在評估風險時，使用一個公認的風險管理框架很重要。來自 ISO 和 NIST 的公認框架是使用大

27、型、多樣化組織的輸入所開發的。在評估風險之后，HDO 應該應用控制措施來管理風險。在對云平臺進行風險評估時，有必要結合多種評估方法，如配置檢查和漏洞掃描。然而，云平臺有更多有價值的資源，并且與租戶有服務級別協議，因此一些評估方法需要根據云計算的特性進行調整。問卷調查：問卷提供了一套關于管理和操作控制的問題，供系統技術或管理風風險險編編號號識識別別日日期期風風險險描描述述影影響響可可能能性性風風險險級級別別處處置置緩緩解解控控制制風風險險所所有有人人 2024云安全聯盟大中華區版權所有16人員填寫。問卷應包括 HDO 的業務戰略、安全需求、管理系統、系統和數據的敏感性、系統規模和結構等。訪談：現

28、場訪談涉及評估人員前往現場訪談系統技術或管理人員，并收集有關系統的物理、環境和操作方面的信息。訪談的內容應包括：-是否有數據存儲完整性測試的設計-是否有清除數據副本的手段和措施-識別、警告和阻止持續大流量攻擊的能力，以及是否有專門設備來檢測網絡入侵-虛擬機（VM）之間以及虛擬機與宿主機之間的隔離方法-退出云計算服務或變更云服務提供商的初步計劃，以及相關客戶人員的運營和安全培訓計劃安全滲透測試：由于基礎設施的影響，在 SaaS 環境中進行滲透測試可能是不被允許的。在 PaaS 和 IaaS 中進行云滲透測試是被允許的，但需要一定的協調工作。值得注意的是，合同中的 SLA 將決定哪種類型的測試是被

29、允許的，以及測試應該多久進行一次。3.2 降降低低風風險險HDO 很可能無法評估 CSP 負責的控制措施。然而，云提供商應該能夠向 HDO 提供來自獨立評估者的報告，以驗證適當的控制措施已經部署并且按預期工作。HDO 可以從云服務提供商那里要求第三方證明材料，例如 SOC2 報告。HDO 基于責任共擔模型對其責任范圍內的領域開展風險評估。在大多數云服務模型中，HDO 仍然需要對用于訪問云的設備、網絡連接、賬戶和身份以及數據負責。14風險評估會評估 HDO 安全控制的有效性、效率和適當性。包括但不限于檢查數據在存儲和傳輸中是否滿足加密標準，日志記錄和監控是否正確配置，安全組和網絡訪 2024云安

30、全聯盟大中華區版權所有17問控制列表是否適當地限制了訪問，身份和訪問管理是否按預期工作，以及漏洞是否及時發現并進行了適當的管理。HDO 必須將他們的風險和控制框架映射到一個能夠以標準化方式解決云風險的框架上。如果 HDO 現有的風險評估模型不能解決云計算的特殊挑戰，他們可以從被廣泛采用和標準化的框架中受益，例如 ISO 27001、COBIT 和 NIST。為了更好地理解與云計算平臺相關的潛在威脅和風險，請參考 CSA 發布的云計算十一大頂級流行威脅報告15。這份報告提供了對云用戶和提供商面臨的最重大安全挑戰的深刻見解，包括數據泄露、配置錯誤、不安全的接口和 API 以及內部威脅。通過了解這些

31、威脅，組織可以采取積極的措施來降低風險，增強其云安全態勢。4.合合規規性性云合規性指的是旨在保護和規范存儲在云平臺上的信息的準則、法律和法規。對于醫療保健服務提供組織（HDO），這指的是涵蓋安全性和隱私性的法規和法律。這包括數據如何存儲、保護和使用。無論是個人身份信息（PII）、個人健康信息（PHI）還是支付卡行業（PCI）數據，都必須得到保護。云合規性是確保云服務的使用滿足合規要求的過程。當 HDO 使用云計算時，他們并沒有將合規責任外包給云服務提供商（CSP）。監管機構和客戶仍然可以追究他們的責任，因為 HDO 對遵守法律法規、監管和合同義務負有責任。16在美國，當面對聯邦法規時，你會遇到

32、特定行業或法律領域的規則。也就是說，每種形式的信息都有其自己的規則。在美國，PHI 有健康保險流通與責任法案（HIPAA）。對于 PCI，是支付卡行業數據安全標準（PCI DSS）。不少國家、地區有保護其數據主體 PII 的國家法律。這包括存儲在國內和國外的數據。在美國，雖然并非所有合規要求都有全面的聯邦法律，但每個州都有自己的要求。例如，關于保護個人信息的要求在加利福尼亞州最為突出，有加利福尼亞州消費者保護法。2024云安全聯盟大中華區版權所有18還有緬因州的緬因州保護在線消費者信息隱私法案，以及內華達州的內華達州參議院第 220 號在線隱私法法案。17除了美國的法規外，加拿大和墨西哥也有自

33、己的法規。加拿大有兩項主要的隱私立法：隱私法和個人信息保護與電子資料法。在墨西哥，保護私有主體持有的個人數據聯邦法后來得到了義務主體持有的個人信息保護一般法的加強。歐盟實施了通用數據保護條例（GDPR），該條例定義了 PII 并要求處理過程的透明度。該指令還禁止將 PII 傳輸到任何未能證明有足夠保護的國家。下圖顯示了 GDPR 的適用情況。圖 4:GDPR 適用范圍18這份法規列表讓讀者了解在確定合規性要求時必須考慮的主要法規。這只是合規要求的一小部分；醫療機構需要針對其特定數據存儲地點和涉及對象進一步研究相關要求。醫療保健組織通常依賴第三方供應商和服務提供商提供各種 IT 服務。評估第三方

34、供應商的安全態勢、對其安全實踐進行盡職調查，并建立明確安全責任和合規要求的合同協議至關重要。2024云安全聯盟大中華區版權所有19實施有效的云合規策略對于組織確保其云環境的安全性和符合法規至關重要。醫療保健服務提供組織（HDO）應建立與行業法規和其特定業務需求相一致的明確合規目標。通過進行全面的風險評估，HDO 可以識別潛在的安全風險和合規漏洞。制定明確且有文檔記錄的政策和程序至關重要。這些策略應涵蓋訪問控制、加密、數據處理、事件響應與管理、變更管理、漏洞管理以及數據泄露通知。對云環境的持續監控有助于及時識別和糾正不合規問題或安全事件。194.1 將將倫倫理理考考量量納納入入 GRC隨著技術滲

35、透到醫療保健的各個方面，倫理考量變得越來越重要。將倫理規范整合到 GRC 框架中是至關重要的，以解決數據隱私、患者知情同意以及人工智能應用中的算法偏見等問題。這種整合確保技術進步在不侵犯患者權利或自主性的情況下，為患者帶來利益。4.2 云云合合規規框框架架這些框架特別針對云合規要求。云服務提供商和客戶都應該深入了解這些框架，包括全球采納的框架以及所在國家、地區的監管框架。4.3 全全球球云云框框架架云控制矩陣（CCM）：云安全聯盟（CSA）發布了云控制矩陣（CCM），為評估云安全提供了框架。這個由 CSA 創建的安全控制矩陣為安全供應商提供了基本準則。此外，該框架幫助客戶評估潛在云供應商的風險

36、狀況。CSA 還開發了一個名為“安全、信任、保障和風險”（STAR）的認證程序。STAR 注冊表是一個公開的注冊平臺，展示了主流云服務提供商在安全和隱私方面的控制措施。2024云安全聯盟大中華區版權所有20聯邦風險與授權管理計劃(FedRAMP)：FedRAMP 是一項覆蓋整個政府的計劃，為云產品和服務的安全評估、授權以及持續監控提供了一種標準化方法。對于希望與任何聯邦機構開展業務的組織而言，遵守這一套針對云的特定數據安全法規是必要的。ISO/IEC 27017：國際標準化組織(ISO)發布了多項網絡安全標準，其中ISO/IEC 27017:2015 是提供云服務信息安全控制指南的標準。云合規

37、框架幫助您應對監管環境，避免因不合規而帶來的財務和聲譽成本。此外，這些框架提供了維持客戶所需安全級別的指南和規范。通過實施合規框架，HDO可以展示其對隱私和數據保護的承諾。這將幫助監管機構提升與患者和第三方合作伙伴的信譽和信任。204.4 地地方方監監管管框框架架有許多國家、地區特定的云框架。以下是一些示例：三部委的兩項指導方針（2G3M）：在日本，政府對醫療機構在與第三方服務提供商、云服務提供商以及相關方合作時，如何保護醫療信息進行監管。政府規定，云服務提供商有義務根據由兩個日本政府部門發布的兩項指導方針，審查云風險管理措施。這些指南定義了云服務提供商的義務。醫療信息系統安全管理指南 5.1

38、 版（2021 年 1 月）由日本厚生勞動省發布 處理醫療信息的信息系統和服務提供商安全管理指南（2020 年 8 月）由日本經濟產業省發布法國健康數據托管(HDS)：在法國，HDS 認證由法國政府機構引入。它要求托管個人健康信息（PHI）的服務提供商遵循其框架，以確保 PHI 的安全保護。維護托管物理基礎設施的物理場所的正常運行狀態 2024云安全聯盟大中華區版權所有21維護托管信息系統的應用平臺的正常運行狀態維護用于處理健康數據的信息系統的虛擬基礎設施的正常運行狀態對包含健康數據的信息系統進行管理和操作。健康數據的備份5.結結論論治理、風險和合規（GRC）是一套幫助醫療保健服務提供組織（H

39、DO）結構化其治理、風險管理和監管合規方法的流程、實踐、框架和技術。其目標是統一和協調組織的風險管理和監管合規工作。一個精心規劃的 GRC 策略可以幫助 HDO 實現多項優勢。在采用云計算時，HDO 必須認真識別其安全需求，評估服務提供商的安全和隱私控制，并理解共享責任和合規責任的傳遞。通過深入理解合規要求和進行全面的風險評估，HDO 可以為安全和合規的云適應奠定基礎。GRC 可以幫助將績效活動與業務目標對齊，管理企業風險，并滿足合規法規，確保醫療服務環境的安全和保障。參參考考文文獻獻1 Capgemini,2021.Cloud Governance Guide-Business Aligne

40、d Approach toCloudUtilization,Retrieved fromhttps:/ Object Management Group,2019.Practical Guide to Cloud Governance,Retrieved fromhttps:/www.omg.org/cloud/deliverables/practical-guide-to-cloud-governance.pdf3 Karkokov,S.&Feuerlicht G.,2016.Cloud ComputingGovernance Lifecycle,ActaInformatica Pragens

41、ia,5(1):56-71 DOl:10.18267/j.aip.854 Arend,C.,&Helkenberg,R.2021.Cloud Governance Success:A Practical Framework to GettingStarted with Cloud Data Governance,Retrieved fromhttps:/ Object Management Group,2019.Practical Guide to Cloud Governance,Retrieved fromhttps:/www.omg.org/cloud/deliverables/prac

42、tical-guide-to-cloud-governance.pdf6 Ancoris,2023.Cloud Governance Framework:How to Develop,Implement and FollowOne,Retrieved from https:/ Karkokov,S.&Feuerlicht G.,2016.Cloud Computing Governance Lifecycle,ActaInformaticaPragensia,5(1):56-71 DOl:10.18267/j.aip.858 Rasner,G.,2021.Cybersecurity&Third

43、-Party Risk:Third-Party Threat Hunting,JohnWiley&Sons,Inc.,Hoboken,NJ.9 Carnegie Mellon University,2016.CyberResilience Review Supplemental ResourceGuide:Risk Management,Department of Homeland Security10 Rasner,G.,2021.Cybersecurity&Third-PartyRisk:Third-Party Threat Hunting,JohnWiley&Sons,Inc.,Hobo

44、ken,NJ.11 Carnegie Mellon University,2016.Cyber Resilience Review SupplementalResource Guide:Risk Management,Department ofHomeland Security12 Rasner,G.,2021.Cybersecurity&Third-Party Risk:Third-Party Threat Hunting,JohnWiley&Sons,Inc.,Hoboken,NJ.13 lorga,M.,Karmel,A.,Managing Risk inaCloud Ecosystem

45、,doi.org/10.1109/MCC.2015.12214 Microsoft,2023.Risk Assessment Guide for Microsoft Cloud,Retrieved from https:/ Cloud Security Alliance,2023.Top Threats to Cloud Computing Pandemic Eleven,Retrievedfromhttps:/cloudsecurityalliance.org/artifacts/top-threats-to-cloud-computing-pandemic-eleven16 Shackle

46、tt,M.,2023.What is Cloud Compliance?A Comprehensive Guide,Retrieved fromhttps:/ Moschovitis,C.,2021.Privacy Regulations and Cybersecurity:The Essential BusinessGuide,JohnWiley&Sons,Inc.New Jersey18 Varankevich,S.,2017.Teritorial Scope of GDPR,Retrieved from 2024云安全聯盟大中華區版權所有23https:/ Sutradhar C.,20

47、23.CloudCompliance-Protecting Your Data and MaintainingTrust,Retrieved fromhttps:/ Knowles,M.2023.Cloud Compliance Frameworks:What You Need to Know,Retrieved fromhttps:/hyperproof.io/resource/cloud-compliance-frameworks/Health Security,2020.Healthcare Challenges in the Era of Cybersecurity,Retrieved

48、 fromhttps:/bioethics network.org/sites/default/files/webinar/documents/hs.2019.0123.pdfISACA,2014.Controls&Assurance in the Cloud:Using COBIT 5.New York:ISACA.ISACA,2012.Guiding Principles for Cloud Computing Adoption and Use,Retrieved fromhttps:/www.eurogeography.eu/SoC/sofia-workshop/SoC-implementation/ISACA-Guiding-Principles.pdf 2024云安全聯盟大中華區版權所有35