adeolasopade/Cloud-Security-Audit-HealthTech-

# 云安全审计 – Chevy Health Tech Solutions (HealthTech) *本项目反映了我实际工作中支持的各类任务。本文档结合了实战经验与持续的自学研究。所有材料均使用合成数据——未包含任何客户信息——模板均为自制或经正式授权，不隶属于任何组织的专有资产。* 协助对一家处理患者健康信息 (PHI) 的健康科技提供商进行了云安全[审计](https://drive.google.com/drive/folders/1F6qncYgKzWQNEucJqvQND_PzTDbfWHYb?usp=sharing)。此次评估依据 **Cloud Security Alliance Cloud Controls Matrix (CCM) v4.1.0** 和 **Nigeria Data Protection Act (NDP Act)** 的要求对安全控制措施进行了审查，以确定整体云安全态势和合规准备情况。 ## 方法 * 定义了与 CCM 和 NDP Act 保持一致的[安全要求](https://docs.google.com/document/d/1t8ejj8LWExG3SzfWUBmfsEs7NvtD_KBu/edit?usp=sharing&ouid=101134501969411208830&rtpof=true&sd=true)。 * 执行了一份结构化的审计[检查清单](https://docs.google.com/spreadsheets/d/1jglVGEDf6M_dVjexjHUZmlDCK2x_cotD/edit?usp=drive_link&ouid=101134501969411208830&rtpof=true&sd=true)，涵盖日志记录、数据安全、事件响应、漏洞管理和网络安全等关键领域。 * 通过 AWS 配置审查、CloudTrail 日志分析、安全组评估以及密钥管理和备份实践的验证，[执行](https://docs.google.com/document/d/18_ucb1WXBi-SAywe4euLWugzCRlbQVMw/edit?usp=sharing&ouid=101134501969411208830&rtpof=true&sd=true)了基于证据的测试。 ## 关键发现与建议 * **未经测试的事件响应（严重）：** 泄露响应流程不完整且从未经过测试。*建议*：实施并测试符合 NDPA 要求的事件响应计划，明确角色分工和通信协议。 * **第三方风险缺口（高）：** 缺乏对云提供商审计报告的正式审查，也未记录共同责任模型。*建议*：建立供应商风险管理计划，并每年对 CSP 保证报告进行审查。 * **数据泄露风险（高）：** 生产环境 PHI 存在于预发布环境中，且缺乏足够的控制措施。*建议*：执行严格的数据隔离策略，并对所有非生产环境实施数据脱敏。 * **漏洞覆盖不全（高）：** 安全扫描未包含 Serverless 资产，且未定义补丁 SLA。*建议*：将漏洞扫描扩展至所有工作负载类型，并实施基于风险的补丁时间表和明确的 SLA。 ## 成果与反思 识别出了稳健的基础安全控制，但在事件响应和供应商风险管理方面存在严重的治理缺口。最大的风险源于流程和监督漏洞，而非技术故障。向领导层提交了一份优先级明确的修复路线图，旨在实现针对性的风险降低并加强法规合规性。 ## 关联项目文档 [云安全审计 – Chevy Health Tech Solutions (HealthTech)](https://drive.google.com/drive/folders/1F6qncYgKzWQNEucJqvQND_PzTDbfWHYb?usp=sharing)

标签：AWS, CloudTrail, CSA CCM, DPI, GPT, PHI数据保护, 云安全审计, 健康信息隐私, 医疗科技, 合规性评估, 子域名变形, 安全基线, 安全态势管理, 安全路线图, 尼日利亚数据保护法, 教学环境, 漏洞利用检测, 漏洞管理, 第三方风险管理, 网络安全, 隐私保护