促進“惠民(mín)”、“惠醫(yī)”、“惠政”,某市以全民(mín)健康信息平台作(zuò)為(wèi)健康大腦的數字底座,打通了全市所有(yǒu)醫(yī)療衛生機構,實現全行業衛生信息的全面彙聚。
◼︎ 目前,全民(mín)健康信息平台已經涉及個人信息、醫(yī)療應用(yòng)數據、醫(yī)療支付數據、衛生資源數據以及公(gōng)共衛生數據等約10TB。
海量數據互聯互通和信息共享,為(wèi)醫(yī)療公(gōng)衛業務(wù)協同、便民(mín)服務(wù)開展和綜合業務(wù)管理(lǐ)提供了強大的數據支撐,但數據生态的日益複雜,也導緻新(xīn)風險的産(chǎn)生。
面對多(duō)種高價值數據資産(chǎn)信息,對衛健委而言,做好安(ān)全保障工(gōng)作(zuò)可(kě)謂是重中(zhōng)之重,如何采取合理(lǐ)的措施保護數據資産(chǎn),預防或減少數據資産(chǎn)面臨的風險,成為(wèi)了一項重要工(gōng)作(zuò)。
為(wèi)了貫徹落實《數據安(ān)全法》、《個人信息保護法》等法律法規要求,針對性摸清風險,整體(tǐ)提升數據安(ān)全防護水平,該市衛健委選擇美創科(kē)技(jì ),探索數據安(ān)全風險評估制度有(yǒu)效落實的方法路徑。
數據安(ān)全風險評估工(gōng)作(zuò)圍繞其數據資産(chǎn)和數據處理(lǐ)活動展開,在對其評估過程中(zhōng),需要充分(fēn)考慮數據資産(chǎn)價值、資産(chǎn)脆弱性、安(ān)全威脅及安(ān)全措施之間相關作(zuò)用(yòng)相互影響的關系。
本次風險評估以全民(mín)健康信息平台中(zhōng)的數據為(wèi)主,美創科(kē)技(jì )采用(yòng)數據安(ān)全綜合評估系統、暗數據發現與分(fēn)類分(fēn)級等自動化工(gōng)具(jù),結合人工(gōng)方式,以《省數據安(ān)全風險評估規範(試行)》作(zuò)為(wèi)主要參考文(wén)件,通過數據資産(chǎn)識别、脆弱性識别、威脅識别,及風險分(fēn)析計算,全面識别數據面臨的各種風險,生成數據資産(chǎn)的全面風險清單和風險預估,并基于評估結果給出風險處置建議的服務(wù)方案。
整體(tǐ)評估内容:數據資産(chǎn)識别與分(fēn)類分(fēn)級、數據安(ān)全威脅和脆弱性識别、數據安(ān)全措施識别等。
整理(lǐ)評估流程:
評估工(gōng)具(jù)準備
開展基礎調研
制定評估方案
開展現場調研
數據梳理(lǐ)與分(fēn)類分(fēn)級
威脅和脆弱性識别
數據安(ān)全措施識别等
評估材料整理(lǐ)
風險定性、定量計算
制定風險處置建議
◼︎ 數據資産(chǎn)識别與分(fēn)類分(fēn)級:在數據安(ān)全風險評估中(zhōng),數據資産(chǎn)識别是重要環節。本次評估中(zhōng),美創科(kē)技(jì )基于當地及行業标準規範,結合衛健委自身的業務(wù)情況和數據特征,通過人工(gōng)調查和暗數據發現和分(fēn)類分(fēn)級系統的雙重結合方法,對數據資産(chǎn)進行快速識别、分(fēn)類,對資産(chǎn)價值重要程度賦值定級,形成數據資産(chǎn)清單。
最終從業務(wù)應用(yòng)維度和數據對象維度,将數據分(fēn)為(wèi)個人屬性數據、醫(yī)療應用(yòng)數據、醫(yī)療支付數據、衛生資源數據、技(jì )術管理(lǐ)數據等類别;根據數據價值、影響對象、影響程度等要素,将數據按照重要程度分(fēn)為(wèi)一般數據、重要數據、核心數據。
◼︎ 數據安(ān)全威脅和脆弱性識别:根據風險評估标準規範,針對數據收集、存儲、傳輸、使用(yòng)和加工(gōng)、共享等活動,從安(ān)全管理(lǐ)制度、流程規範、過程記錄、安(ān)全合規、技(jì )術能(néng)力與功能(néng)等方面,共識别到36類安(ān)全威脅。
通過漏洞掃描、基線(xiàn)核查等脆弱性識别手段,結合現狀調研階段的非技(jì )術性調研分(fēn)析結果,在37項脆弱性評估指标項中(zhōng),識别存在的脆弱項有(yǒu)29個。
◼︎ 數據安(ān)全措施識别:通過對目前系統采取的安(ān)全技(jì )術措施進行評估,檢驗控制措施的有(yǒu)效性,如:訪問控制機制和實現方式、安(ān)全審計和數據溯源機制方法、數據加密和洩露防護措施等。對标80個數據安(ān)全防護措施安(ān)全要求項,其中(zhōng)落實15項、部分(fēn)落實21項、未落實33項、不涉及11項。
◼︎ 綜合風險分(fēn)析:通過上述風險評估維度,美創以資産(chǎn)和風險兩大視角出發,在數據分(fēn)類分(fēn)級的基礎上,借助數據安(ān)全綜合評估系統DCAS,依托強豐富的安(ān)全合規庫、安(ān)全風險庫和安(ān)全處理(lǐ)策略庫,自動完成風險威脅的賦值、分(fēn)析與計算。通過對不同級别的共17類數據資産(chǎn)風險值綜合計算分(fēn)析,共發現其中(zhōng)高風險數據資産(chǎn)2類,低風險數據資産(chǎn)5類,很(hěn)低風險資産(chǎn)10類。
◼︎ 最終,美創對風險評估過程和結果進行總結,形成《數據安(ān)全風險評估報告》,報告内容包含評估對象、數據安(ān)全風險評估方法、數據資産(chǎn)、數據安(ān)全威脅、脆弱性識别結果、風險分(fēn)析、風險統計和結論等内容,為(wèi)健康醫(yī)療數據安(ān)全有(yǒu)序的流動、釋放價值奠定堅實的一步!
浙公(gōng)網安(ān)備 33010502006954号 
