《医疗保健信息技术治理、风险与合规（第二版）》.docx

目 录

致谢 1

摘要 5

引言 6

新兴技术对GRC的影响 7

治理 7

计划 8

2.2定义 11

2.3实施 12

2.4监视 12

2.5讨论 13

2.6威胁 13

3.风险 14

评估风险 15

降低风险 16

合规性 17

GRC中伦理考量的整合 19

云合规框架 19

全球云框架 19

地方监管框架 20

5.结论 21

参考文献 21

?2024云安全联盟大中华区版权所有 4

序言

随着医疗保健行业进入数字化转型的深水区，信息技术的快速普及不仅为医疗服务的提升带来了巨大的机遇，同时也带来了前所未有的挑战。在这一过程中，信息技术治理、风险管理与合规（GRC）成为医疗保健机构不可忽视的关键领域。云计算、人工智能（AI）、物联网（IoT）以及区块链等技术的崛起，进一步加剧了这些挑战，要求医疗保健组织在采纳新技术的同时，确保患者数据安全、信息隐私保护、以及遵循复杂的行业法规。

《医疗保健信息技术治理、风险与合规（第二版）》从全球视角出发，全面剖析了云计算环境下的GRC框架如何帮助医疗保健机构应对当下的安全和合规挑战。报告深入探讨了GRC如何在确保合规的同时帮助机构最大化地降低技术风险，提升运营效率，简化流程，并且为组织的长期安全性和可持续性奠定基础。

报告指出，随着生成式人工智能等新兴技术的应用，医疗保健行业面临的安全威胁愈加复杂。AI技术的双刃剑效应，不仅可以提升医疗诊断的精准度和效率，也可能因数据隐私、算法偏见等问题带来法律和伦理上的挑战。针对这些问题，报告建议医疗保健机构将AI的治理纳入GRC框架中，以确保技术发展符合道德标准和法规要求。

展望未来，全球医疗保健行业在技术进步的驱动下，将持续面临复杂的供应链风险、严格的监管要求以及新型攻击手段的不断涌现。为此，报告呼吁医疗保健机构采用前瞻性思维，构建具备自动化能力的GRC框架，并在零信任架构、云原生安全工具等方面加大投入，以确保组织在瞬息万变的技术环境中保持强大的适应能力和弹性。

李雨航YaleLiCSA大中华区主席兼研究院长

?2024云安全联盟大中华区版权所有 5

摘要

医疗保健服务提供组织（HDO）使用云服务的情况正变得越来越普遍化，但向云端的迁移却带来了挑战。其中一个主要挑战是在云中建立治理、风险与合规（GRC），这需要重新定义业务和技术的流程，并依赖第三方提供商。为了确保HDO能够从云计算中获益，设计并实施一个稳健的云GRC计划非常重要，该计划能够解决这些挑战，并确保符合行业法规和标准。

引言

HDO意识到通过治理、风险与合规（GRC）计划能全面了解风险和合规的价值，该计划使HDO能够从业务角度解决技术风险，通过自顶向下的方法使业务和技术保持一致性。这种自顶向下的方法确保在符合行业法规和标准的同时也能识别和解决风险。

云GRC是组织收集重要风险数据、验证合规性并报告结果的有效手段。云管理是云GRC中的一个重要关注领域，它在很多组织中以孤岛的方式实施。（从而）未能将收集的结果整合到GRC计划中，可能导致重复性工作，并且不能充分利用GRC。正确实施的GRC计划可以消除重复性工作，提供数据存储库，并促进自动化。本文将讨论一个良好的云GRC计划的要素以及建立该计划所需的条件。

人工智能（AI）的重要性正在快速增加，特别是在医疗保健行业。因此，GRC也受到越来越多的关注。AIGRC专注于人工智能和机器学习（ML）系统的数据质量和准确性、道德和法律问题、安全性和隐私性，因为可能涉及患者和其他敏感数据。GRC的目标是建立必要的监督，以使AI行为符合道德标准和社会期望，并防范潜在的不利影响。

GRC提供了一种共享相关信息的方法，有助于弥合差距并消除组织中的孤岛。

?2024云安全联盟大中华区版权所有 6

新兴技术对GRC的影响

区块链、物联网（IoT）、人工智能和高级分析等新兴技术在医疗保健领域的迅速采用，为GRC框架带来了新的挑战和机遇。这些技术可以帮助简化流程、增强数据完整性并改善患者治疗效果，但它们也在合规性和安全管理方面带来了复杂性。在GRC框架内解决这些技术问题，可确保它们符合医疗保健标准和法规，同时增强网络安全措施。

治理

由于云计算相对于本地数据中心的独特性，，HDO需要重新考虑如何实现IT治理。HDO必须实施并维护一个治理生命周期，来规划、定义、实施和监控治理。HDO必须考虑如何管理责任共担模型和多租户环境。此外，虽然HDO可能有云优先策略，但至少在最初，他们将处于混合云环境中。在医疗保健领域中，有效的IT治理确保技术投资与组织目标一致，高效分配资源