風險評估案例
項目背景
隨著我國網絡建設和信息化建設的加快,企業、政府等各行業的業務和信息化的結合越來越緊密,在給組織帶來巨大經濟和社會效益的同時,也給組織的信息安全和管理帶來了嚴峻的挑戰。
本(ben)項目的用戶是一家(jia)具有(you)較(jiao)強救治(zhi)能力(li)、較(jiao)高科研(yan)水平和國(guo)際交流能力(li)的全(quan)(quan)國(guo)三級甲等醫(yi)院(yuan)。醫(yi)院(yuan)為了加強信息系統(tong)安全(quan)(quan)管理、運(yun)營管理工作,促進醫(yi)院(yuan)業務持(chi)續、穩定(ding)(ding)、健康發展,確保應(ying)(ying)用系統(tong)數據安全(quan)(quan)、持(chi)續、穩定(ding)(ding)運(yun)行(xing)(xin�������g),降低因應(ying)(ying)用系統(tong)漏洞、配置錯誤、黑客攻擊、病毒(du)傳播、系統(tong)故(gu)障等影響業務和業務數據的風(feng)險(xian)。需要對HIS、PACS、LIS、EMRS、綜合應(ying)(ying)用信息系統(tong)所包(bao)含的物理機房、網絡、數據、應(ying)(ying)用、安全(quan)(quan)管理制(zhi)度等方(fang)面(mia������n)進行(xing)(xing)風(feng)險(xian)評(ping)估,業務數據方(fang)面(mian)為側重(zhong)點進行(xing)(xing)風(feng)險(xian)評(ping)估。
解決思路
圣博潤針對醫院安全需求,依據風險評估標準GB/T 20984-2007《信息安全技術 信息安全風險評估規范》和GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》結合醫院的業務數據特點實施風險評估。
圣博潤對醫院HIS、PACS、LIS、EMRS、綜合應用信息系統,硬件資產、軟件資產、人員資產、服務資產、數據資產進行全面收集和梳理,(其中包括3個院區的物理機房、15臺網絡設備、10臺安全設備、50臺服務器、5個重要應用系統和相關安全管理制度),并根據CIA賦值確定信息系統資產的重要程度。然后對資產進行脆弱性的分析與識別,找出資產存在的安全隱患,并根據發現的安全隱患對資產可能造成的威脅程度進行分析與識別,從中根據資產的重要程度,所發現的信息安全風險,并分析與識別利用脆弱性所造成的威脅程度進行高、中、低的賦值。
圣博潤經過對醫(yi)院HIS、PACS、LIS、EMRS、綜合應用信息系統進(jin)行全(quan)面的風(feng)(feng)險(xian)(xian)評估(gu)后,出具(ju)《醫(yi)院信息系統風(feng)(feng)險(xian)(xian)評估(gu)報告(gao)》,根據(ju)報告(gao)中每一個安(an)全(quan)風(feng)(feng)險(xian)(xian)的提(ti)出安(an)全(quan)整(zheng)改建議,并跟用戶確認(ren)該(gai)風(feng)(feng)險(xian)(xian)是否接受、消除、規避(bi)、轉(zhuan)移等(deng)風(feng)(feng)險(x�����ian)(xian)處置(zhi)(zhi),確認(ren)后出具(ju)《醫(yi)院信息系統風(feng)(feng)險(xian)(xian)處置(zhi)(zhi)計劃》。
用戶收益
通(tong)(tong)過(guo)本(ben)次風(feng)(feng)(feng)險(xian)(xian)(xian)評(ping)估項目幫助(zhu)醫院客戶(hu)發(fa)(fa)現了172個(ge)(ge)高(gao)危風(feng)(feng)(feng)險(xian)(xian)(xian),273個(ge)(ge)中危風(feng)(feng)(feng)險(xian)(xian)(xian),453個(ge)(ge)低(di)危風(feng)(feng)(feng)險(xian)(xian)(xian),全(quan)面的(de)發(fa)(fa)現系統中存(cun)在的(de)安(an)全(quan)風(feng)(feng)(feng)險(xian)(xian)(xian),并根據發(fa)(fa)現的(de)安(an)全(quan)風(feng)(feng)(feng)險(xian)(xian)(xian)出具安(an)全������(quan)整改建議,幫助(zhu)客戶(hu)很好的(de)解決風(feng)(feng)(feng)險(xian)(xian)(xian),在難以(yi)解決的(de)安(an)全(quan)風(feng)(feng)(feng)險(xian)(xian)(xian)中,圣博潤安(an)全(quan)咨詢(xun)顧(gu)問通(tong)(tong)過(guo)多年的(de)安(an)全(quan)經(jing)驗(yan)幫助(zhu)客戶(hu)把風(feng)(feng)(feng)險(xian)(xian)(xian)降(jiang)低(di)到可以(yi)接受的(de)水平。
