風險評估案例
項目背景
隨著我國網絡建設和信息化建設的加快,企業、政府等各行業的業務和信息化的結合越來越緊密,在給組織帶來巨大經濟和社會效益的同時,也給組織的信息安全和管理帶來了嚴峻的挑戰。
本項目的(de)用(yong)戶是一家具有較(jiao)強救治(zhi)能(neng)力、較(jiao)高科研水平(ping)和國際交(jiao)流能(neng)力的(de)全國三級(ji)甲(jia)等(deng)醫院(yuan)(yuan)。醫院(yuan)(yuan)為了(le)加強信(xin)息系統(tong)安全管(guan)理、運(yun)營管(guan)理工作(zuo),促進(jin)(jin)醫院(yuan)(yuan)業(ye)務(wu)持(chi)續、穩�������定、健(jian)康發展,確保應(ying)用(yong)系統(tong)數據(ju)安全、持(chi)續、穩定運(yun)行,降低因(yin)應(ying)用(yong)系統(tong)漏洞、配置(zhi)錯誤、黑客攻擊、病(bing)毒傳播、系統(tong)故障(zhang)等(deng)影響業(ye)務(wu)和業(ye)務(wu)數據(ju)的(de)風險。需要對HIS、PACS、LIS、EMRS、綜(zong)合應(ying)用(yong)信(xin)息系統(tong)所包含的(de)物理機房、網(wang)絡、數據(ju)、應(ying)用(yong)、安全管(guan)理制度等(deng)方面進(jin)(jin)行風險評估,業(ye)務(wu)數據(ju)方面為側(ce)�����重點進(jin)(jin)行風險評估。
解決思路
圣博潤針對醫院安全需求,依據風險評估標準GB/T 20984-2007《信息安全技術 信息安全風險評估規范》和GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》結合醫院的業務數據特點實施風險評估。
圣博潤對醫院HIS、PACS、LIS、EMRS、綜合應用信息系統,硬件資產、軟件資產、人員資產、服務資產、數據資產進行全面收集和梳理,(其中包括3個院區的物理機房、15臺網絡設備、10臺安全設備、50臺服務器、5個重要應用系統和相關安全管理制度),并根據CIA賦值確定信息系統資產的重要程度。然后對資產進行脆弱性的分析與識別,找出資產存在的安全隱患,并根據發現的安全隱患對資產可能造成的威脅程度進行分析與識別,從中根據資產的重要程度,所發現的信息安全風險,并分析與識別利用脆弱性所造成的威脅程度進行高、中、低的賦值。
圣(sheng)博潤(run)經(jing)過對醫(yi)院(yuan)HIS、PACS、LIS、EMRS、綜(zong)合應用(yong)信息(xi)系(xi)統進��������������行(xing)全面的風(feng)險(xian)(xian)評估后(hou)(hou),出(chu)(chu)具(ju)《醫(yi)院(yuan)信息(xi)系(xi)統風(feng)險(xian)(xian)評估報告》,根據報告中每一個安全風(feng)險(xian)(xian)的提出(chu)(chu)安全整改建議,并跟用(yong)戶確(que)認(ren)該(gai)風(feng)險(xian)(xian)是否接受、消除、規避(bi)、轉移等風(feng)險(xian)(xian)處(chu)置(zhi),確(que)認(ren)后(hou)(hou)出(chu)(chu)具(ju)《醫(yi)院(yuan)信息(xi)系(xi)統風(feng)險(xian)(xian)處(chu)置(zhi)計劃》。
用戶收益
通過本次風(feng)險(xian)(xian)評估(gu)項目幫助醫院客(ke)(ke)戶(hu)發(fa)現了172個高危(wei)風(feng)險(xian)(xian),273個中危(wei)風(feng)險(xian)(xian),453個低危(wei)風(feng)險(xian)(xian),全(quan)面的(de)(de)(de)發(fa)現系統中存在的(de)(de)(de)安(an)全(quan)風(feng)險(xian)(xian),并根據發(fa)現的(de)(de)(de)安(an)全(quan)風(feng)險(xian)(xian)出(chu)具安(an)全(quan)整改(gai)建議,幫助客(ke)(ke)戶(hu)很好的(de)(de)(de)解(jie)(jie)決(jue)(jue)風(feng)險(xian)(xian),在難(nan)以解(jie)(jie)決(jue)(jue)的(de)(de)(de)安(an)全(quan)風(feng)險(xian)(xian)中,圣博潤安(an)全(quan)咨詢顧問通������過多年的(de)(de)(de)安(an)全(quan)經(jing)驗(yan)幫助客(ke)(ke)戶(hu)把風(feng)險(xian)(xian)降低到可以接受的(de)(de)(de)水平。
