医疗行业数据安全风险评估实践指南（4.1）

4.2 评估识别阶段

数据安全风险评估识别阶段是针对评估对象根据前期调研的结果有序的开展的一项活动。基于数据安全风险评估流程和原则。在以业务为主线的评估活动中，评估组织首先应针对组织业务进行识别。识别的深度和广度根据4.1.2中由院方最高管理人员确定的愿景作为目标。在本手册中，我们确定的目标是以处理医患数据的业务系统为评估对象。因此，在明确该原则后，通过业务识别，梳理每业务产生的数据资产，并针对数据资产进行分类分级。依据《网络数据安全管理条例》及国家卫健委《卫生健康行业数据分类分级指南（试行）》对产生的重要数据进行编目和制定登记表实施重点评估。

基于业务的流动对数据流识别是开展数据安全风险评估工作的一项难点，数据是流动的而非静态，即使存储在备份或历史数据库中的数据也并非完全静止，数据的价值在于流动，一个静态数据对于组织或者社会可能本身已经失去了价值和作用，这时候我们更多是将这些数据进行删除，完成其整个数据生命周期的最后一个状态。

在传统的信息系统风险评估中，威胁识别与脆弱性识别是必不可少的，在数据安全风险评估中同样需要考虑威胁与脆弱性。众所周知的问题是，针对数据安全的威胁问题并没有形成一种共识，所以笔者根据信息安全三元组及数据自身的特性将影响这些属性的状态定义为威胁状态，包括：数据的机密性、完整性、可用性、真实性、抗抵赖性以及数据质量问题，我们将影响这些属性的行为定义为威胁行为，这些行为来源于人、系统和环境三个层面。

脆弱性识别是风险评估过程中重要的组成元素，脆弱性包括管理脆弱性、技术脆弱性以及人员脆弱性三大层面。

最后必须对组织已经具备的数据安全保护措施进行识别。当我们一味的信任自己的保障手段的时候，是否会想过，如果你的信任被各种恶意利用后，对于组织会不会是一种灾难。现实生活中，这种问题并不少见，诸如：产品的宣称与其实际能力产生的差异化、不良好的部署和不良好的应用、存在瑕疵的产品和供应商等都成为潜在的影响因素。当某个触发点产生，比如：攻击面、0 day、供应链的沦陷或者不良好的系统架构和软件调用等使得组织的潜在因素变成实际的损害。这些并不是故事，而是无数血淋淋的事实构成的结果。

4.2.1 业务识别

业务识别是数据安全风险识别的第一步，数据不是自生产的，数据是为业务具体实现的重要支撑和条件，没有数据就没有信息化。数据安全风险评估的业务识别主要包括：识别业务资产、识别业务交互条件、识别业务流、识别业务授权关系四个方面。业务资产识别主要通过圆桌会议、访谈、查看文件、端口扫描、穿行测试等手段。评估对象：系统开发商、信息科和相关业务部门。

4.2.1.1 识别业务资产

对于不同医院而言，业务系统的数量和名称都有所不同，但是有一个问题是相同，即谁在处理医患数据。医院业务系统并不仅局限于HIS、LIS、PACS，各个科室都可能具有自己的业务系统和业务前端，在复杂化医疗业务逻辑情况下，识别业务资产是建立整个风险识别的关键。这需要评估团队成员能够根据其对医疗行业的熟悉和了解，进行综合分析和客观判断。

原文始发于微信公众号（老烦的草根安全观）：医疗行业数据安全风险评估实践指南（4.1）