新闻详细
CSA发布 | 医疗行业变革下的治理、风险管理与合规性策略
  • 2024.10.24
  • 2353


随着医疗行业的迅猛发展,云计算、人工智能(AI)、区块链和物联网(IoT)等新兴技术正在推动行业发生深刻变革。这些技术在提升医疗服务质量与效率的同时,也伴随着数据安全、合规性和风险管理方面的新挑战。医疗保健机构(HDO)在充分利用这些技术时,必须确保数据的安全性与合规性,这使得建立和优化治理、风险管理与合规性(GRC)框架变得至关重要。


为帮助医疗保健行业深入理解并有效应对这些风险,云安全联盟大中华区发布了《医疗保健中的信息技术治理、风险与合规(第二版)》报告。该报告重点强调了在云计算环境下设计健全的GRC框架的必要性,并深入探讨了人工智能等新兴技术在GRC中的应用,揭示了这些技术带来的机遇与挑战。通过对全球和本地法规的详细解读,报告为医疗保健机构提供了符合合规要求的策略建议,确保组织在保障安全的同时,最大限度地利用技术创新带来的优势。


作为第八届云安全联盟大中华区大会的重要成果之一,《医疗保健中的信息技术治理、风险与合规(第二版)》将为与会者提供有关医疗保健领域在云计算环境下的治理、风险管理和合规性(GRC)框架的最新见解。我们诚挚邀请行业专家和业界同仁,于11月15日莅临北京,共襄盛举,共同探讨云安全的未来发展,携手推动全球云安全生态的持续进步与完善!

文末附报告获取方式


报告指出,医疗保健机构(HDO)使用云服务的情况正变得越来越普遍化,但向云端的迁移却带来了挑战。其中一个主要挑战是在云中建立治理、风险与合规(GRC),这需要重新定义业务和技术的流程,并依赖第三方提供商。为了确保医疗保健机构能够从云计算中获益,设计并实施一个稳健的云 GRC 计划非常重要,该计划能够解决这些挑战,并确保符合行业法规和标准。

 

新兴技术对医疗行业的影响
 

区块链、物联网(IoT)、人工智能和高级分析等新兴技术在医疗保健领域的迅速采用,为 GRC 框架带来了新的挑战和机遇。这些技术可以帮助简化流程、增强数据完整性并改善患者状况的结果,但它们也在合规性和安全管理方面带来了复杂性。在 GRC 框架内解决这些技术问题,可确保它们符合医疗保健标准和法规,同时增强网络安全措施

云计算使医疗机构能够高效管理和存储大量医疗数据,实现跨地域的无缝共享和协作,改善患者体验。然而,云计算也引发了新的数据隐私和安全管理挑战,尤其是在多租户环境和共享责任模型下,数据安全成为首要任务。

人工智能(AI)为医疗行业带来了新的活力,从疾病预测到精准医疗,AI系统能够处理和分析大量复杂的医疗数据,帮助医生做出更准确的决策。但AI系统的安全性、数据质量和算法伦理问题也引发了广泛关注,GRC体系的作用因此更加突出。

IoT技术通过连接各种医疗设备和传感器,提升了患者护理质量。然而,IoT设备的广泛连接也带来了新的安全漏洞,这些漏洞可能直接威胁患者安全。
 

治理
 

由于云计算与本地数据中心相反的独特特性,医疗保健机构需要重新思考如何实现IT治理。医疗保健机构必须实施并维护一个治理生命周期来计划定义、实施和监视治理。医疗保健机构必须考虑他们如何管理一个责任共担模型和多租户环境。此外,尽管一个医疗保健机构可能有云优先策略,但至少在最初,他们将处于混合云环境中。在医疗保健领域中,有效的IT治理确保技术投资与组织目标一致,资源高效分配,决策过程透明且负责。这包括为IT系统和人员建立策略、程序和标准


基于云的架构和业务运营比传统的本地数据中心架构更加多样化和复杂,因此依靠用于本地数据中心环境的相同策略和工具将不能确保在云上取得成功。云治理是基于风险和标准框架的医疗保健机构的策略和标准的集合。根据信息系统审计和控制协会(ISACA)的说法,云环境中的治理有助于实现使用云计算服务所带来的好处,同时最小化风险,优化投资,并确保对法律监管要求的合规


通过创建云治理模型医疗保健机构可以避免许多云优先战略的陷阱。将云计算引入医疗保健机构会影响角色、职责、流程和度量标准。没有治理来提供标准和指导方针以应对风险,并有效地采购和运营云服务,医疗保健机构可能会发现自己面临一些常见问题:

  • 与企业目标不一致
  • 频繁的策略例外评审
  • 项目停滞
  • 合规或监管的处罚或失败
  • 数据治理与管理
  • 预算超支
  • 不完全的风险评估
根据面向服务架构(SOA)框架,云治理生命周期由四个阶段组成:
  • 规划(Plan)
  • 定义(Define)
  • 实施(Implement)
  • 监控(Monitor)

面向服务架构(SOA)治理生命周期


风险
 

云风险管理是在云关系的整个生命周期中识别、评估和控制在现代混合云环境中的风险的过程。由于采用了不同类型的云(IaaS、PaaS、SaaS),并且缺乏对CSP提供的服务和环境的可见性,责任共担模型下的风险管理是复杂的,这也是第三方风险管理(TPRM)的一部分。风险评估也可能因云部署的形式不同而有所不同——私有云、公有云或混合云。

识别风险是风险管理的基础活动;如果医疗保健机构未能识别风险,它将难以成功管理其风险。医疗保健机构必须确保他们能够及时识别风险,然后将其传达给适当的利益相关者。

风险识别中的重要活动包括以下几点:

  • 为风险建立分类。考虑威胁情况的一种常见方式是识别风险/威胁的来源。这种方法有助于将具有常见特征、战术和趋势的风险分类。
  • 为依赖科技和信息资产的运营活动识别风险来源。评审医疗保健机构在负面运营事件方面的历史经历,可以是识别风险来源的良好第一步。医疗保健机构可以从这个列表开始,然后根据其风险管理活动的范围和独特的运营环境进行定制。
  • 在组织并记录已识别操作风险信息的风险登记册或其他跟踪机制中记录识别的风险。医疗保健机构的风险管理战略必须将运营活动和流程按优先级排序,来区分出那些已经被管理的和那些较不重要的,需要较低关注水平的活动和流程。
  • 建立一个与您的技术组织熟悉的工作方式相一致的报告机制。


合规
 

云合规性指的是旨在保护和规范存储在云平台上的信息的准则法律和法规。对于医疗保健机构,这指的是涵盖安全性和隐私性的法规和法律。这包括数据如何存储、保护和使用。无论是个人身份信息(PII)、个人健康信息(PHI)还是支付卡行业(PCI)数据,都必须得到保护。


云合规性是确保使用云服务满足合规要求的过程。当医疗保健机构使用云计算时,他们并没有将合规责任外包给云服务提供商(CSP)。监管机构和客户仍然可以追究他们的责任,因为医疗保健机构对遵守法律法规、监管和合同义务负有责任。


医疗保健机构通常依赖第三方供应商和服务提供商提供各种IT服务。评估第三方供应商的安全态势、对其安全实践进行尽职调查,并建立明确安全责任和合规要求的合同协议至关重要。


实施有效的云合规政策对于组织确保其云环境的安全性和符合法规至关重要。医疗保健机构应建立与行业法规和其特定业务需求相一致的明确合规目标。通过进行全面的风险评估,医疗保健机构可以识别潜在的安全风险和合规漏洞。制定明确且有文档记录的政策和程序至关重要。这些政策应涵盖访问控制、加密、数据处理、事件响应与管理、变更管理、漏洞管理以及数据泄露通知。对云环境的持续监控有助于及时识别和纠正不合规问题或安全事件。

 

构建云与AI时代的医疗GRC
 

在云计算与人工智能(AI)快速发展的今天,医疗保健组织面临着前所未有的技术挑战,必须重构其治理、风险管理与合规性(GRC)框架,以适应这一新兴技术环境的复杂需求。云计算带来了高度复杂的业务运营模式,要求医疗机构对现有的GRC框架进行全面的调整与优化。


数据分类与管理

在云环境中,数据管理更加复杂,因为数据存储和处理可能分布在多个地域和平台上。医疗机构必须对数据进行分类,明确数据敏感性级别,制定相应的访问控制和保护措施。确保数据分类准确性和一致性,有助于降低数据泄露风险,符合相关法规要求。


明确的角色与责任分配

医疗保健机构在云计算中应对治理与合规挑战的同时,AI技术的应用进一步加剧了责任划分的复杂性。随着AI大模型和生成式AI技术在医疗领域的广泛应用,医疗保健机构不仅需要承担数据保护和隐私合规的责任,还需对AI系统的安全性、数据质量和算法的准确性负责。医疗机构必须确保AI应用的每个环节,包括数据输入、处理、分析以及最终决策的输出,均符合安全和合规要求,避免算法偏差和数据隐私泄露带来的风险。

与此同时,云服务提供商承担的是基础设施安全和数据存储合规性等方面的责任,包括保障云平台的安全性、稳定性,以及在多租户环境下的合规性管理。两者之间的责任边界必须清晰划分,以确保云计算和AI系统的有效整合和协作。


制定和实施云治理政策和标准

医疗机构应在云计算与AI环境下建立全新的治理政策,涵盖云服务的采购、配置、访问管理以及变更控制等方面。借助云安全控制矩阵(CCM)等框架,医疗机构能够全面评估并管理云与AI融合下的安全风险,确保合规性和数据安全。


持续监控和审计

由于技术与法规要求不断变化,医疗机构需要定期审查并更新其GRC框架,以应对最新的风险与合规需求。通过实施云安全态势管理(CSPM)解决方案,医疗机构能够实时监控云与AI环境中的安全配置,及时修复潜在漏洞,从而提升GRC框架的整体有效性。


培训与意识提升

所有相关人员,包括IT团队、管理层和业务用户,都需要理解和遵循新的治理政策和安全标准。通过定期培训和意识提升,确保每个成员熟悉其在GRC框架中的角色与责任,并能在日常操作中有效执行相关策略。

构建适应云与AI融合时代的医疗GRC框架,要求医疗保健组织从数据管理、责任分配、政策制定、持续监控与人员培训等多个方面进行系统化管理。通过这种全方位的管理,医疗机构能够在享受云与AI技术带来效率和创新的同时,保障数据安全与合规性。

此外,随着医疗行业迈入“数字智能时代”,GRC框架也需要进一步涵盖AI在医疗数据处理与医疗服务中的应用。通过合理应用AI技术,医疗保健机构能够提升医疗服务的精准性和普及性,同时确保患者隐私得到有效保护,保障数据安全。


结语

治理、风险和合规(GRC)是一套帮助医疗保健机构结构化其治理、风险管理和监管合规方法的流程、实践、框架和技术。其目标是统一和协调组织的风险管理和监管合规工作。一个精心规划的GRC策略可以帮助医疗保健机构实现多个好处。在采用云计算时,医疗保健机构必须认真识别其安全需求,评估服务提供商的安全和隐私控制,并理解共享责任和合规责任的传递。通过深入理解合规要求和进行全面的风险评估,医疗保健机构可以为安全和合规的云适应奠定基础。GRC可以帮助将绩效活动与业务目标对齐,管理企业风险,并满足合规法规,确保医疗服务环境的安全和保障。


致    谢

《医疗保健中的信息技术治理、风险与合规(第二版)》由CSA工作组专家编写,CSA大中华区秘书处组织数据安全工作组专家进行翻译并审校。

感谢以下专家和单位的贡献:

翻译组组长

王安宇

翻译组成员

王彪、张明敏、易利杰、卜宋博

审校组成员

王安宇、罗智杰、高健凯

贡献单位:

天融信、安恒信息

 

(以上排名不分先后)

 

本文作者:

王安宇,CSA大中华区数据安全工作组组长

卜宋博,CSA大中华区研究协调员

 

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝