Oracle Health and AI (OHAI) 安全计划

所示产品仅可用作特定情况下的示例。每种医疗器械/产品的设计都符合其使用地区的规定。但是，我们不能保证这些产品在其他特定地区的可用性或合规性。可能需要针对当地情况进行调整，以满足地区要求。

此 OHAI 安全计划围绕 OHAI 的托管平台而设计，涵盖 OHAI 代表客户在 OHAI 托管环境中部署应用和解决方案所依赖的硬件和操作系统。Oracle Health Millennium®、HealtheIntent® 和 CareAware® 都属于这类平台。我们对托管运营系统的网络安全和事件管理承担相应责任，以确保客户托管数据的机密性、完整性与可用性得到充分保障。客户需负责管理某些安全相关事项，包括控制最终用户访问权限、添加自定义扩展/集成以及合法的数据处理。

OHAI 在全球范围内提供托管服务，并始终如一地执行统一的安全合规计划和信息安全政策，无论客户数据托管于何处。除非双方另有约定，否则客户数据将存储和托管在客户所在的国家/地区。根据所使用的数据中心类型不同，在运营方面会存在一些差异，但我们的信息安全计划始终保持不变。

• OHAI 云托管 — 通过 OHAI 的云托管服务，我们的客户可使用支持云的解决方案，从而轻松及时地了解应用功能以及用于向最终用户交付应用的技术。Oracle 云计算环境 Oracle Cloud Infrastructure (OCI) 是一个可扩展、高度可用且经济高效的云平台。OCI 拥有商业和政府公有云区域，遍布全球各地。OHAI 还利用第三方公有云提供商提供一些托管服务。
• OHAI 数据中心设施 — 构建 OHAI 数据中心设施时，充分考虑到了其所在地理区域的任何自然灾害风险。数据中心采用战略分层方法实施物理与环境安全措施，以威慑、延缓和检测任何试图进行的入侵行为。这些措施旨在打造一个经过强化、安全且可靠的环境。
• 同地协作数据服务提供商 — OHAI 在某些区域利用相当于第 3 级的数据中心同地协作服务提供商。数据中心提供商提供的服务包括数据中心运营（即供电、冷却、防火）和覆盖至 OHAI 数据中心机柜的物理安全保障。计算机设备和网络设备（如服务器、防火墙或网络布线）由 OHAI 拥有和维护，不与其他数据中心租户共享。服务提供商无权访问 OHAI 数据中心机柜中托管的任何数据，并且他们不处理与 OHAI 客户相关的任何数据。同地协作服务提供商认证包括行业认可的安全、环境以及健康与安全认证，例如 ISO 27001 认证、ISO 14001 认证和 SOC 2 Type II 报告。

使用第三方数据中心同地协作服务提供商不会改变我们管理安全计划的方式，也不会向服务提供商提供对我们系统或网络的访问权限。

策略和程序

OHAI 维护一项成文的信息隐私、安全和风险管理计划，该计划明确规定了角色、职责、政策和程序，旨在保障 OHAI 平台上维护的信息的安全。OHAI 的计划至少应：

• 将数据安全职责和责任分配给具体个人；
• 规定 OHAI 平台的可接受使用方式；
• 为 OHAI 最终用户、管理员和操作系统提供访问权限控制和密码属性要求；
• 强制执行 OHAI 最终用户身份验证要求；
• 描述 OHAI 托管生产环境的审计日志记录和监控机制；
• 详述 OHAI 的事件响应计划；
• 说明适当的风险管理控制措施、安全认证及定期风险评估流程；以及
• 规定 OHAI 网络、办公场所和数据中心的物理及环境安全要求。

OHAI 对其安全政策和流程的书面或电子副本实行严格管控，不对外分发。OHAI 定期审查和修改其安全计划，以反映不断变化的技术、法规、法律、风险、行业和安全实践以及其他业务需求。

技术安全

身份与访问管理

OHAI 会根据用户的角色、所需培训的完成情况及其岗位职责所需的最小权限原则，授予对客户系统的访问权限。访问审批流程将严格执行，以确保访问权限的合理性，并满足合规性要求。

团队需每月监控访问情况并检查闲置状态，必要时应撤销相关访问权限。员工使用 VPN 连接时，需通过双因素身份验证方式来验证身份。访问云环境必须使用经批准的 VPN 进行身份验证，且云环境需与企业网络相互隔离。

当员工角色发生变化时，将对其资源和系统的访问权限进行审查，必要时应撤销相关访问权限。当员工离职（无论是自愿还是非自愿）时，其访问权限也会被撤销。

配置管理和网络保护

OHAI 在其安全计划中使用多种重叠的安全应用和对策来保护平台。以下是 OHAI 为保护平台而部署的部分安全技术示例：

• 防病毒软件 — 在整个托管环境中，会酌情使用防病毒 (AV) 软件、反恶意软件的软件和补偿控制措施。每日部署模式文件更新。实时扫描入站数据，每周扫描一次系统驱动器。除了及时更新病毒特征库外，还会更新防病毒软件和扫描引擎，以确保其持续有效并不断提升防护能力。
• 网络防火墙 — 外围网络和关键基础设施连接由行业标准网络防火墙技术保护。
• 入侵防御系统 (IPS) — 网络基础设施中战略性地部署了内嵌设备，用于识别恶意行为或异常活动。所有通过防火墙接口的连接以及通过核心网络的各个重要连接都会接受检查，以确保其有效性。
• 拒绝服务 — OHAI 与其互联网服务提供商密切合作，以检测和防范拒绝服务访问攻击。
• 代理服务器 — 在与目标服务器建立连接之前，会对通过公共网络进行的外部应用访问进行蠕虫和病毒扫描。出站 Web 和 FTP 请求会根据授权列表进行过滤，并扫描是否存在蠕虫和病毒。
• 系统强化 — 服务器模板会根据行业标准的安全配置实践进行更新。新映像将根据需要加载到所有新服务器和较旧服务器上。
• 补丁程序管理 — OHAI 会维护自动化系统清单和打补丁系统，以便了解系统更改。OHAI 通过其合作伙伴关系获得最新的补丁通知，并在将补丁应用于相关平台之前，通过多种流程对补丁进行测试。
• 环境隔离 — OHAI 对其开发、测试和客户生产环境进行适当的逻辑和物理隔离。

系统管理

系统级别日志

OHAI 在企业安全日志存储库中记录对网络设备、安全基础设施组件和服务器系统的访问以及其中发生的活动。日志会传输至安全信息与事件管理 (SIEM) 工具，用于系统事件的监控、分析、故障排查、合规性检查和审计。借助 SIEM 工具，安全人员可以设计常见事件的配置文件，以专注于异常活动、避免误报、识别异常情况并避免无关紧要的警报干扰。

加密方法和加密存储

OHAI 使用适当的加密机制来保护数据。OHAI 通过风险评估来评估数据的使用方式以及数据的整体敏感性。数据通过公共网络进行传输时会加密。OHAI 会管理客户网络的公钥和私钥基础设施。OHAI 会尽可能使用 FIPS 140-2 算法（如果加密模块支持）。OHAI 还支持高级加密标准 (AES) 和传输层安全 (TLS) 加密协议。

漏洞和威胁管理

渗透测试由具备相应行业认证和资质的 OHAI 安全专业人员执行。此外，OHAI 每年还会聘请第三方进行外部渗透测试。作为 OHAI 漏洞与威胁管理计划的一部分，OHAI 安全专业人员会对已识别的漏洞和威胁进行分析，并衡量其对 OHAI 及其客户可能带来的影响。

OHAI 会对自身平台进行持续的生产环境扫描。OHAI 根据漏洞对环境的预期影响和外部暴露程度对漏洞进行评分。完成漏洞评分后，就会启动缓解或补救流程。

会对已识别的漏洞进行风险评估，并根据其严重程度采取缓解或补救措施。该分析过程包括使用行业标准（如美国国家标准与技术研究院的通用漏洞评分系统，即 NIST CVSS），以及运用行业标准工具对环境进行内部渗透扫描。OHAI 致力于在以下规定时间内修复漏洞：

• 紧急 — 若存在经批准的临时解决方法，则在两周内修复；若没有相关临时解决方法，则在 48 小时内修复
• 严重 — 30 天
• 高 — 90 天
• 中 — 180 天
• 低 — 365 天

物理和环境安全

物理与环境安全措施采用战略分层方法实施，以威慑、延缓和检测任何试图入侵的行为。这些措施的设计既符合设施特有的需求，又确保为关键系统提供坚固、安全和可靠的环境。

至少，OHAI 确保在 Oracle Health 数据中心以及 OHAI 所使用的任何同地协作服务提供商处，维持以下物理和环境安全控制措施：

• 访问控制系统，以便仅允许 OHAI 人员和授权第三方进入。
• 设施配备行业标准的环境控制系统（如火灾探测与灭火系统、冷却系统、湿度控制系统、配电控制系统、不间断电源和备用发电机）。
• 设施配备行业标准的参数控制措施（如警卫站、物理屏障、视频监控和适当的防风雨设计）。

事件管理

即时响应中心 (IRC)

IRC 的主要职责是接听来自客户咨询台的二级和三级支持电话，并解决所报告的问题。报告的问题将记录并存储在中央存储库中。IRC 团队会使用系统监控工具来跟踪和响应警报与警告，并采取适当的行动。OHAI 的 IRC 全天候有人值守。

计算机安全事件响应中心 (CSIRC)

OHAI 的计算机安全事件响应中心 (CSIRC) 是安全事件管理的控制中心，负责对 OHAI 平台进行全天候持续威胁监视。CSIRC 团队会接收国际、联邦和科技行业威胁情报信息并协调对这些信息的响应，努力保护 OHAI 环境。此外，该团队还利用行业标准工具对日志进行系统性分析，以识别潜在的未授权活动，并重点关注潜在威胁。

安全事件

OHAI 维护一个安全事件管理流程，用于调查、缓解和传达平台内发生的系统安全事件。受影响客户会及时收到相关安全事件的通知，并获知建议采取的纠正措施。

安全事件管理

OHAI 不会就“已命名”的漏洞事件通知客户或公开谈论这类事件。当 OHAI 基于收集到的威胁情报，确定某漏洞需要立即关注时，可能会发布针对该漏洞的响应，但是否发布由 OHAI 自行决定。如果不发布，OHAI 不会通知客户，也不会应客户要求对环境进行漏洞审查。

变更管理

OHAI 的变更管理流程基于信息技术基础设施库 (ITIL) 的实践范例构建，这些流程围绕变更类型及相关风险等级进行设计。OHAI 的政策规定，如果 OHAI 对客户的系统进行了相关非例行变更，则必须与受影响客户沟通变更事宜。变更会经过验证、审查，并获得与变更风险程度相对应的审批。OHAI 会通过变更咨询委员会 (CAB) 审查具有已知停机时间或高风险的重大变更。变更会在 OHAI 的集中式变更请求系统中记录并保存。客户负责控制和记录其自身执行的任何系统修改。

应急计划

OHAI 的应急计划基于 ISO 22301 标准制定，旨在确保在发生任何事件（例如可能是或可能造成长时间中断、损失、紧急情况或危机情况）时，通过支持内部和外部客户职能，维持核心技术的持续运行。

灾难恢复和弹性

OHAI 提供冗余且高度可用的基础设施，以最大限度减少对生产环境造成中断。若发生造成中断的事件，OHAI 会遵循既定、经过演练且有文档记录的应急计划，采取商业上合理的措施，尽快有效地恢复服务。OHAI 应急计划中的事件管理部分每年都会进行测试、审查和更新。OHAI 根据适用平台提供不同级别的灾难恢复服务。

软件开发生命周期

OHAI 正在将其安全实践与 Oracle 保持一致。对于新产品的开发，OHAI 会利用 Oracle Software Security Assurance (OSSA)，该服务涵盖产品开发生命周期的每个阶段，是 Oracle 用于将安全性融入其产品的设计、构建、测试和维护的方法。Oracle 的安全开发实践旨在防范常见漏洞，包括 OWASP Top 10 中列出的那些漏洞。有关详细信息，请参阅 https://www.oracle.com/corporate/security-practices/assurance/development/

人员

安全意识

OHAI 的安全意识计划要求员工参与与其特定角色相关的强制性教育和培训活动。这些活动旨在维持 OHAI 安全态势的有效性，包括：

• 持续教育活动；
• 年度安全培训；
• 本地化安全培训；
• 网络钓鱼和其他诈骗识别；以及
• 有针对性的安全公告。

雇用要求准则

2003 年，OHAI 开始通过背景调查程序定期筛选其录用阶段的求职者。2012 年起，OHAI 开始要求求职者在入职前接受药物筛查。

背景调查

OHAI 的申请人背景调查流程因候选人的潜在角色和适用法律而异。例如，在适用法律允许的范围内，美国和加拿大的背景调查包括：

• 过往五年的工作经历；
• 角色要求的学历验证（最高学位）；
• 过往七年的犯罪记录查询；
• 社会保障号码追溯（仅限美国）；
• 医疗行业处罚记录核查（仅限美国）；
• 全球制裁和执法检查；
• 药物测试（仅限某些职位）；以及
• 专业证书（仅限某些职位）。

分包商

OHAI 要求分包商确保其为 OHAI 客户提供服务的员工的能力和资格。分包商人员必须完成与其所提供服务相关的背景调查；此类背景调查的要求必须至少与 OHAI 对其员工的背景调查要求一样严格。

第三方风险管理

OHAI 会根据其同地协作服务提供商和用于提供平台的供应商接触数据和其他机密信息的程度，酌情要求他们签订业务伙伴协议和保密协议。作为对供应商评估流程的一部分，OHAI 会要求其供应商完成数据安全调查问卷。此外，OHAI 会根据供应商的风险状况，对其进行年度供应商安全风险评估。

离岸资源

OHAI 是一家全球性公司，在世界各地设有办事处并拥有员工。OHAI 当前的运营和支持模式包括聘用全球员工。OHAI 可能会允许从相关平台所在国家/地区以外的地点临时访问平台。所有有权访问平台的员工都必须参加与其特定角色相关的强制性教育和培训活动，并且必须遵守 OHAI 的安全政策和流程。出于合规目的，将会跟踪和保存培训记录。

媒体的销毁

所有用于交付 OHAI 托管服务的存储介质，都会按照 OHAI 的电子介质处置政策进行清理和处置。该政策遵守 HIPAA 安全规则、ISO 27001 和 NIST 800-88。

OHAI 可能会向客户提供硬件，供其在自身场所使用。任何存储在由 OHAI 提供、但位于客户场所的硬件上的信息，均由客户负责。在这种情况下，客户将负责决定在硬件使用寿命结束时如何清理或销毁数据存储介质。

认证和审计

OHAI 定期进行内部评估并接受外部审计，以检查平台及 OHAI 运营中存在的控制措施，并验证 OHAI 是否依照其安全计划有效运营。

HIPAA — 1996 年健康保险流通与责任法案

OHAI 已建立并维持符合 HIPAA（经 HITECH 修订）要求的必要控制措施。每年会进行一次 HIPAA（内部或外部）评估，检查我们在美国相应地点的所有相关公司和客户环境。

SOC 1 和 SOC 2 Type II 认证

第三方认证通过衡量和测试 OHAI 在风险缓解方面的效果来评估其托管环境，具体涉及 AICPA 信托服务原则中与安全性、可用性和保密性相关的内容。SOC 报告会根据 AICPA SSAE 指南进行编制，专门针对 OHAI 管理的托管服务及控制措施，目前涵盖以下托管地点：美国、加拿大和瑞典。SOC 报告所涉及的地点可能会随着 OHAI 对其不断变化的业务需求的评估而调整。我们将与客户合作，协助他们从 OHAI 或同地协作服务提供商处获取相应的 SOC 报告（如适用）。

ISO 27001/27002:2022

OHAI 的信息安全管理框架 (ISMF) 符合 ISO 27001/27002:2022 标准的原则，ISMF 的政策适用于 OHAI 的大多数平台。

我们依赖位于加拿大、瑞典、英国、法国和澳大利亚的同地协作数据中心，以及公有云服务提供商，来保障物理和环境层面的安全控制。根据我们的独立审计机构的意见，只有 Oracle Health 拥有的数据中心和办公场所能够被认定并纳入 Oracle Health 的 ISO 认证范围。管理同地协作数据中心的流程由 ISO 认证中所认定的 Oracle Health 办公室负责。Oracle Health 可以确认，其管理同地协作数据中心服务提供商内部数据中心的流程已纳入 Oracle Health 的 ISO 认证范围。这与全球范围内使用的多家同地协作数据中心服务提供商的情况一致。Oracle Health 仅在美国拥有数据中心，这也是认证中指明这些数据中心的原因。对于特定同地协作数据中心服务提供商的运营，客户需要依靠提供商自己的 ISO 认证。

渗透测试总结报告

OHAI 每年都会聘请第三方对 OHAI 的平台进行外部渗透测试。OHAI 会收到一份渗透测试总结报告，其中描述所进行的渗透测试，确认在进行渗透测试时使用了行业标准方法、测试工具和国家漏洞数据库，并指出平台内已知的漏洞。OHAI 会根据风险对发现的漏洞进行补救，并通过一个受到主动监控的修复计划来解决这些漏洞。

PCI-DSS — 支付卡行业数据安全标准

作为一级 ( Level 1) 支付服务提供商，OHAI 会收到第三方合规证明 (AoC)，以证明其符合 PCI DSS 标准，可以处理某些 OHAI 解决方案的付款。有关此 AoC 支持哪些 OHAI 解决方案的更多信息，请与 OHAI 代表联系。

欧盟-美国隐私盾框架协议

OHAI 已自行认证符合《欧盟-美国隐私盾》和《瑞士-美国隐私盾》框架。

支持客户完成安全调查问卷

在客户要求完成安全调查问卷或评估时，OHAI 会提供安全合规计划中的上述相关第三方文档。如有其他可用文档，也可能一并提供，例如预先填写好的标准化安全调查问卷 (CAIQ) 或第三方应用的供应商风险管理概述。客户可利用这些报告评估 OHAI 的安全状况以及合同条款的合规性。对于这些标准交付件中未涉及的、合理且具体的安全评估问题，我们将与客户协作予以解答。

我们的众多安全控制措施之一是，确保不提供可能使 OHAI 或我们的客户面临额外风险的机密和敏感信息。我们非常重视您的数据的安全性，在第三方审计机构已验证我们的安全计划后，我们不会为了满足对特定敏感信息的要求而危及数据安全。