(一)上篇
1. 背景
风险评估(risk assessment)风险识别、风险分析和风险评价的整个过程。
—— GB/T 20984-2022《信息安全技术 信息安全风险评估方法》
风险评估是一个通意概念,风险不仅局限于某个行业或者领域,一切事物皆有风险,基于风险的系统工程理论是现代工程体系中的最佳实践。将风险纳入在整个组织的有机管理之下,能够为组织提供一种前置危机的良性活动,及早辨识组织所面临的风险,能够让组织用最低的成本应对在风险发生后所产生的直接或间接经济损失或无形资产损失。而风险管理活动的基础则是风险评估。风险评估根据GB/T 20984-2022《信息安全技术 信息安全风险评估方法》所描述,是针对风险在组织内由信息系统所触发的风险的识别、分析和评价风险的完整过程,该过程为组织开展信息系统风险管理工作提供基础。通过风险评估确定风险的大小和重要性,为风险管理决策提供依据。
数据安全风险评估工作的开展是从2021年我国《数据安全法》发布之后正式提出。从狭义数据安全风险评估的概念我们可以理解为传统网络安全风险评估的一个组件或活动;从广义数据安全风险评估角度而言,数据安全风险评估是一项专门针对数据处理活动产生的风险所进行的评价过程。根据《信息安全技术 数据安全风险评估方法(征求意见稿)》的定义,我们将数据安全风险评估描述为“数据安全风险评估(data security risk assessment)对数据和数据处理活动安全进行信息调研、风险识别、风险分析和风险评价的整个过程。”从笔者的角度理解数据安全风险评估与传统信息安全风险评估的区别在于:
1. 信息系统风险评估是针对组织整个网络资产建立评估活动,从传统的网络资产定义可参阅附录1GB/T 20984-2022《信息安全技术 信息安全风险评估方法》所示;数据安全风险评估应建立在数据处理活动过程 中所产生的数据安全风险;
2. 传统信息安全风险评估是针对网络资产所面临的威胁与脆弱性产生的风险评价过程;数据安全风险评估应针对数据自身在流经各个数据载体时所产生的数据处理风险的评价,在此过程基础上,数据自身的脆弱性成为一种独特的风险识别过程,如:数据标准、数据质量、数据异构活动等;
3. 由于传统的信息安全风险评估源自与CC(通用准则)体系,而CC从信息安全三元组出发,将机密性、完整性和可用性作为评价风险的主要因素,与业务松耦合,通常从系统入手开展评估工作;而数据安全风险评估与业务密切相关,数据的一举一动都可能造成业务的中断或异常,因此,数据安全风险评估工作更应该从业务入手
由于数据安全更偏向于业务,因此难以从通用数据安全角度讨论数据安全风险评估,笔者根据对某医院开展数据安全风险评估工作入手,讨论如何针对医疗行业开展数据安全评估,为医疗行业提供一种参考和实践。
1.1 国家要求及解读
1.1.1 数据安全法
《中华人民共和国数据安全法》自2021年9月1日起正式施行,是我国在数据安全领域的首部基础性法律。该法旨在规范数据处理活动,保障数据安全,促进数据的合理开发和利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。在本法中,针对数据安全风险评估工作提出了三方面的要求:
1. 从国家统一管理角度出发:
本法在第十八条中从国家统一管理的角度要求“国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。”数据安全风险评估关乎组织对数据安全工作的基础,数据安全风险评估工作的专业性、权威性、客观性关乎整个工作的成败;因此,建立国家级的数据安全风险评估成为必然。
目前国内数据安全风险评估授权认证主要包括:
中国信息安全测评中心针对个人的CISP-DSG认证和针对组织的《信息安全服务资质(数据安全类)》
中国网络安全审查认证和市场监管大数据中心的针对个人的CCRC-DSA认证和针对组织的数据安全管理认证;
针对行业认证要求中,工信部针对数据安全风险评估工作要求具备工信部认可的认证资质,主要为中国信通院《数据安全管理能力认证》以及数据安全风险评估服务认证
同时在本法中,国家对数据安全风险评估工作进一步提出要求“国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”在此基础上本法第第二十二条对未来数据安全风险评估工作做出进一步要求“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。……”
2. 从数据处理者义务出发
从数据处理者角度出发,针对组织重要数据应依据本法第三十条要求,“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。”有关重要数据的风险评估在《网络数据安全管理条例》中给出了更具体的规定。
《网络数据安全管理条例》中对重要数据给出定义为“重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。”医疗健康数据事关民生工程,诸如艾滋病患者信息、基因数据等医疗健康数据成为国家重要的数据资源,关乎国家安全及社会稳定问题。同时医疗领域还包含大量未成年人健康数据,且大多数三甲医院所包含的患者历史数据及增量数据超过百万条。因此,针对医疗行业数据安全风险评估工作成为数据安全保护的重中之重。
3. 从数据跨境管理要求出发
数据跨境传输工作受到全球关注,数据资产可能产生的情报价值和无限的商业价值使得各国对数据跨境传输都格外关注。不管是欧盟的GDPR(通用数据保护条例 ),还是美国的隐私盾 都对数据跨境传输做出严格的约定。根据《数据安全法》的要求,产生数据跨境传输活动的风险评估由网信部门统一组织及开展,故本文不讨论有关数据跨境传输可能产生的风险评估工作,但如组织数据需要跨境时,应根据要求向网信部门申报并经过评估后方可开展相关跨境传输活动。
1.1.2 个人信息保护法
《个人信息保护法》在《数据安全法》的基础上进一步将涉及个人信息的保护工作制定专门的立法规范,从本质上而言,个人信息依旧属于“数据”的范畴之内,本法针对个人信息给出明确的定义“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”本法通过立法明确了保护个人信息权益、规范个人信息处理活动以及促进个人信息的合理利用。从医疗领域而言,针对个人信息的保护主要针对医患双方的信息建立保护的基本原则。
国家针对个人信息的风险评估在第六十二条中指出,由国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作,第四款明确提出推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务。医疗健康数据的属主主要为个人,依据本法第五十五条规定“有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。”同时在第五十六条中指出针对个人信息保护影响评估应当包括“(一)个人信息的处理目的、处理方式等是否合法、正当、必要;(二)对个人权益的影响及安全风险;(三)所采取的保护措施是否合法、有效并与风险程度相适应。个人信息保护影响评估报告和处理情况记录应当至少保存三年。”因此,在医疗行业建立数据安全风险评估工作时应充分考虑《个人信息保护法》的相关要求。
1.1.3 数据安全管理条例
根据我国立法通例,《数据安全法》具体执行和落实要依据相关法规和管理办法,2024年9月30日,国务院依据《数据安全法》发布了《网络数据安全管理条例》,并于2025年1月1日正式执行。条例针对数据安全风险评估工作提出如下要求:
1. 在第三十条中规定,重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任,其中第二款中明确要求定期组织开展网络数据安全风险监测、风险评估、应急演练、 宣传教育培训等活动,及时处置网络数据安全风险和事件;同时在第三十三条中明确了评估应当每年度开展对其网络数据处理活动风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。
2. 针对重要数据的评估要求,在第三十一条中提出(1)评估实施主体为重要数据处理者,启动评估的条件是在提供、委托处理、共同处理重要数 据前,进行风险评估,但是属于履行法定职责或者法定义务的除外。(2)针对网络数据安全风险评估的重点评估包括但不限于(一)提供、委托处理、共同处理网络数据,以及网络数据接收方 处理网络数据的目的、方式、范围等是否合法、正当、必要;(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;(三)网络数据接收方的诚信、守法等情况;(四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;(五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险; (六)有关主管部门规定的其他评估内容。
3. 针对评估报告内容,在第三十三条中做出进一步说明(一)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等;(二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;(三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性; (四)发现的网络数据安全风险,发生的网络数据安全事件及处置 情况; (五)提供、委托处理、共同处理重要数据的风险评估情况;(六)网络数据出境情况;(七)有关主管部门规定的其他报告内容。处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络数据安全等情况。
4. 针对行政监管部门,条例在第四十八条中要求“各有关主管部门承担本行业、本领域网络数据安全监督管理职责,”国家卫健委及各省市卫健机构应依据本条例“明确本行业、本领域网络数据安全保护工作机构,统 筹制定并组织实施本行业、本领域网络数据安全事件应急预案,定期组 织开展本行业、本领域网络数据安全风险评估,对网络数据处理者履行 网络数据安全保护义务情况进行监督检查,指导督促网络数据处理者及 时对存在的风险隐患进行整改。”
1.2 行业要求及解读
1.2.1 医疗卫生机构网络安全管理办法
2022年8月8日,国家卫健委依据《网络安全法》《数据安全法》发布了《医疗卫生机构网络安全管理办法》在办法的第二十一条中针对医疗卫生机构数据安全工作提出要求,要求中指出“各医疗卫生机构应建立健全数据安全管理制度、操作规程及技术规范,涉及的管理制度每年至少修订一次,建议相关人员每年度签署保密协议。每年对本单位的数据进行数据安全风险评估,及时掌握数据安全状态。加强数据安全教育培训,组织安全意识教育和数据安全管理制度宣传培训。……”
本法明确提出(1)应开展数据安全风险评估;(2)每年一次;(3)通过风险评估及时掌握数据安全状态;本办法也将数据安全风险评估工作作为医疗卫生机构一项常态化工作进行推动和要求。
1.评估对象概述
描述评估对象是建立风险评估活动的第一步,风险评估团队必须了解被评估机构的基本情况,包括:组织名称、业务特征、覆盖区域、关联机构等相关信息。该类信息通常是在进入组织前通过互联网搜索、基础访谈获取信息。通过上述信息大致勾勒出被评估单位的物理边界范围以及可能产生的数据流通环境。
1.1评估对象规模
示例:我们通过一家名为GZFH官网获取某医院的开放详细介绍,针对该医院信息进行评估对象分析。
|
GZFH始建于1899年(光绪25年),是G省首批三级甲等医院。2013年经GZ市市机构编制委员会批准加挂“GZ市消化疾病中心”。1997年挂牌GZ市医科大学附属市一人民医院,2017年挂牌SW附属第二医院。在2022年国家三级公立医院绩效考核位于A等级,医院连续多年入选“中国医院竞争力•顶级医院排名100强榜单”,并在“中国医院竞争力•省会市属医院100强榜单”位列前三,荣获“2020年度医疗机构最佳雇主新锐医院”、“2021、2022年度医疗机构最佳雇主公立医院10强”、“2022年度医疗机构最佳雇主最受大学生欢迎奖10强”。2024年“G省肿瘤介入诊治联合重点实验室”、“GZ市介入医学中心”落户我院。 医院现由院本部、NS医院和HD分院三个院区组成,现有编制床位共2970张,2023年全院总诊疗人次262.6万人次,总出院人数10.6万人次。目前,职工人数4231人,其中卫生技术人员3607人,高级职称1031人;博士研究生导师57人,硕士研究生导师178人。…… 医院学科齐全,共有专业学科73个(其中临床专业学科56个,医技专业学科17个),其中消化内科、老年病科和泌尿外科为国家临床重点专科;消化病学为G省医学重点学科;普外科、骨科、麻醉科、血液内科、神经外科、泌尿外科、呼吸内科、神经内科、内分泌科、儿科、烧伤科、肾内科、医学影像、肿瘤科、临床护理、检验科、急诊科等21个专科为G省临床重点专科。临床分子医学及分子诊断实验室为G省医学重点实验室;拥有1个国家消毒供应培训基地,拥有24个国家住院医师规范化培训专业基地,2个国家试点专科医师规范化培训基地。医院专业设备总值超15亿元,拥有双源CT、3.0T MRI、PET-CT、达芬奇手术机器人、DSA等。 医院医学研究与创新转化中心科研平台已正式投入使用。位于GZ市国际生物岛,一期占地面积3100平方米,设立公共基础、细胞培养、光学影像、脑科学、免疫学、纳米科学、病理学和质谱影像等功能平台。共购置100多种、300多台仪器设备,仪器设备耗资逾亿元。其中单价百万元以上设备19台,包括超高分辨激光共聚焦显微镜、全自动高通量智能玻片扫描仪、双光子共聚焦活体成像显微镜、超高速分选型流式细胞仪、近红外脑功能成像系统等。生物岛科研平台按照统筹规划、开放共享、集约管理、有偿使用的工作理念,以科研项目为基础,以科研业绩为导向,实现所有设备开放共享,提高使用效率,减少资源浪费。…… 医院深化研究型医院建设。近五年,医院获各级课题立项797余项,资助经费超过1.7亿元。其中获得国家自然科学基金项目158项,发表SCI论文500余篇,且在Nature、Cell、Blood 等国际顶尖期刊发表多篇高影响。科研成果方面,获G省科学技术奖三等奖3项,GZ市市科学技术奖一等奖1项,GZ市市科学技术奖二等奖2项,GZ市市科普创新成果奖一等奖1项,G省医学会第三届广东医学科技奖一等奖1项和G省护理学会第四届科技奖三等奖1项。学科建设方面,消化病学、医学影像及实验室诊断学、老年医学科获GZ市市医学重点学科建设项目资助。医院与国外著名医疗机构和学术机构开展协作和进行广泛的学术交流,先后与美国、英国、德国、加拿大、瑞士、澳大利亚、日本、香港和澳门等多个国家和地区的多所医疗机构建立了友好合作关系,邀请著名专家学者来医院讲学及开展技术项目合作研究,主办、协办各类型国际学术研讨会;…… 近年来,……。2021年医院获评“G省脱贫攻坚先进集体”。 …… GZFHNS医院地处粤港澳大湾区几何中心的NS新区,由GZ市市和NS区政府按照公立医院三级甲等医院标准共同投资兴建,于2008年开业。……。 HD分院是GZFH的首家直属分院,是FC地区一所以五官科为主的专科医院。拥有先进的医疗设备,同时与总院共享CT、MR等大型医疗设备;全院实行电脑网络化管理,并利用光纤与总院联网,可实现各项诊疗数据共享和远程会诊。 (数据截至2024年9月) 该数据来源于该院官网 |
通过上述材料我们可以针对该院基本信息进行归类分析可知:
1.该院属于三甲医院,(1)涉及本部、NS医院和HD分院三个院区和医院医学研究与创新转化中心科研平台四家实体机构。(2)HD分院是GZFH的首家直属分院,……,同时与总院共享CT、MR等大型医疗设备;全院实行电脑网络化管理,并利用光纤与总院联网,可实现各项诊疗数据共享和远程会诊。从内部数据流动而言,如下图所示:
图1 基础业务物理边界探索图
通过上图我们可以构建该院针对数据的基本保护原则和愿景
(1)本院、GZFNS、HD分院属于传统医疗行业领域,关注医患信息保护;
(2)医院医学研究与创新转化中心承担数据流通与共享,数据应为已经被加工过的医院研究数据,重点强调知识产权与商业秘密保护;但如果涉及基因数据,则该机构数据有可能会被纳入重要数据保护范围;
(3)由于HD分院与本本院产生直接业务交互,在确认评估边界时,应分析数据共享风险和双方身份管理及授权访问问题;
(4)GZFHNS医院属于独立医院,应进一步了解该院与本院是否存在直接或间接的数据传输和数据共享问题,如果有,进一步了解实现数据传输和共享的方式以及身份管理主体机构;
2.“2023年全院总诊疗人次262.6万人次”,由于医疗健康数据属于敏感数据,根据《网络数据安全管理条例》规定网络数据处理者处理1000万人以上个人信息的,应当遵守《条例》第三十条、第三十二条对处理重要数据的网络数据处理者作出的规定。100万人以上敏感个人信息:在某些特定领域,如金融、医疗等,处理100万人以上敏感个人信息的,也需按照重要数据处理者的标准进行管理和保护。因此,该院患者信息符合重要数据风险评估要求;因此,该院应每年至少实施一次数据安全风险评估以及针对重要数据进行编目。风险评估报告需向当地网信部门上报。
3.该院涉及专业学科73个(其中临床专业学科56个,医技专业学科17个),从专业学科领域而言,除传统的五大业务系统(HIS、LIS、PACS、计费、CDR)之外,业务逻辑应不少于73套。应根据该院业务重点定义评估边界。针对17各医技专业领域,应考虑OT数据与IT数据的定义问题。
1.2评估对象业务概述
由于医院业务系统繁杂,建议针对医疗行业数据安全风险评估重点关注涉及医患信息的业务系统,比如:我们通常所说的HIS、LIS、PACS等,针对各子业务系统,比如:移动护理系统、医技预约、手术室麻醉临床信息系统等业务系统中所包含的数据进行风险识别和评估。
通过与医院信息科进行业务访谈或医院已有的综合业务管理平台,收集目前被评估机构的业务系统列表,并如表一所示进行记录。
表一 医院业务系统清单表
(涉及医患信息业务系统登记表)
|
序号 |
业务系统名称 |
所属科室 |
是否共享 |
|
01 |
麻醉临床信息系统 |
麻醉科、手术室 |
本院共享 |
|
…… |
…… |
…… |
…… |
注:由于本阶段作为项目前期调研访谈内容,本阶段暂不用对相关信息进行详细识别和分析。具体应由被评估组织确定业务优先级以及数据安全评估目的进行确认后,根据已确认的业务系统开展具体的识别和评估。
1.3评估对象数据流通概述
通常医院内数据流通主要包括:院内/院端流通、合作方流通以及行业主管单位流通三种情况。但不同医院受到业务影响,其数据流通可能存在多元化或异构化的可能。例如:部分对外开放的部队医院针对社会诊疗人员和部队诊疗人员采用两套HIS或者多套HIS开展诊疗活动时,其数据流通轨迹会产生不同;部分地区医院间在采用医联体、医共体时,数据在多家医院间会发生流通活动;区域医疗使用云HIS时,由于受到云服务商的影响,院端HIS仅作为容灾,而医疗健康数据均有部署在云端的云HIS实施数据处理,导致数据在云端产生不明确的流通活动。
1.3.1院内/院端流通
院内/院端数据流通主要包括:
1.医院内部业务系统之间数据交互活动;
2.本院与各个分院之间所形成的数据交互活动;
3.远程医疗产生的数据流通
4.跨诊疗机构产生的数据流通(如医院与疗养院产生的数据流通)
由于院内/院端数据流通可以通过可信通道建立数据传输,比如:VPN或者专线,因此,在本类数据流通中应重点关注各业务系统在建立数据流通活动中是否存在通过不可信连接,比如:公共互联网通道,进行通信的活动,如果存在,应针对业务系统的互联网传输建立报文分析,识别是否存在未知或异常的TCP会话连接。
表二 院内/院端数据流通清单
|
业务名称 |
关联业务 |
关联单位 |
|
|
院内 |
院外 |
||
|
儿童保健临床信息系统 |
门诊HIS |
儿科门诊 |
妇幼保健医院 |
|
…… |
…… |
…… |
…… |
2.3.2 合作方流通
合作方数据流通是目前医疗机构数据流通最为复杂的一类,合作方主要包括:
1.医共体、医联体各个医疗机构之间的数据流通;
2.部署在公有云平台业务产生的云服务商的数据流通;
3.公众号、小程序运行过程中与平台服务商产生的数据流通
4.与第三方应用程序产生的数据流通(如:第三方预约挂号平台)
5.与商业保险公司产生的数据流通
6.与大数据公司建立的数据分析合作
7.软件开发商和医技设备提供商产生的远程维护过程中的数据流动
8.与私营医院之间所产生的数据流通
9.其他医院商业活动中产生的数据流通
由于目前针对医疗行业合作方数据流通没有形成统一标准和要求,使得数据在与合作方建立流通过程中,会产生大量的医疗健康数据未经授权、超量、超出其用途等风险行为,一旦数据被恶意利用极易发生法律问题,甚至可能涉及刑事责任。
评估实施时,应针对具体业务的数据合作关系进行梳理和识别,并依据《网络数据安全管理条例》要求,针对数据合作方进行评估。并在以合同的形式明确约定对数据的获取途径、数量、模式、用途等进行书面约定。对可接触数据的相关人员应签署保密协议。
表三 数据合作方记录表
|
数据合作方单位 |
合作业务 |
是否具有合同 |
是否签署保密协议 |
|
XX保险公司 |
商业保险合同核验 |
有 |
无 |
|
…… |
…… |
…… |
…… |
2.3.3 政府行政单位流通
医疗机构受监管要求及业务属性要求,通过政务网、专网与政府行政单位存在大量的数据交互活动,由于该类数据流通具有很强的专用性,通常具备统一的接口规范和要求,同时对数据的获取包括主动上报、定西传输、上级抓取都多种方式,但每个单位建立数据流通的途径相对比较固定和单一。政府行政单位数据流通主要包括:
1.与卫健部门、医保局建立的行业主管数据上报
2.与疾控中心的数据单向上传
3.计费系统与医保局的交互通信
4.计费与税务系统的交互
5.与大数据/政数局的数据交互
本类流通通常都具有良好的数据接口与标准规范,且数据在建立流通中可以明确约定业务类型,甚至使用专有设备进行报送,故从数据风险而言更多的在院端能够确保数据质量和数据完整性;但该类数据由于使用全量明文方式进行传输,应针对终端缓存数据进行及时处置,避免终端被入侵后可能产生数据泄露或端点被恶意使用等问题。
表四 政府行政单位数据流通记录表
|
业务名称 |
对接业务名称 |
对接政府单位 |
|
实验室信息系统LIS |
传染病上报平台 |
市疾控中心 |
|
…… |
…… |
…… |
(三)下篇
1.数据安全评估途径与基本流程
我国信息安全风险评估通常使用风险评估标准《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》,该标准与已废止的ISO/IEC 13335-2,ISO/IEC 27005属于同一属性,已信息资产作为评价对象,通过威胁与脆弱性的分析,建立资产价值+威胁频率+脆弱性的可利用性共同计算风险值。实际上在具体计算风险的时候还需要综合考虑已有的安全控制措施等问题。而在GB/T 20984-2022版中提供了一个很好的思路,将评估对象从传统的系统向业务偏移,也就是说,真正意义上通过该标准建立风险评估时,首先应记录的是业务资产,然后基于业务建立支撑其运行的软件、硬件、固件、通信、人员等传统的信息系统资产,还应记录人、流程、供应链等相关资产。
目前,全球针对传统网络安全开展风险评估的标准及模型已经相当完善和丰富,但是对于数据安全风险评估而言,尚无成熟的标准和方法论。目前我国针对数据安全的风险评估标准《信息安全技术 数据安全风险评估方法》尚处于送审稿阶段;2024年5月10日,工信部下发《工业和信息化领域数据安全风险评估实施细则(试行)》,同年发布针对电信运营商行业的《YDT3956-2024_电信领域数据安全风险评估规范》;2023年美国NIST发布《SP 800-171 Ar3 fpd 保护非联邦系统和组织中受控的未分级信息》是目前可见最为完善的一套数据安全评估准则。
本文针对上述三类标准在以下章节做出简要介绍。本文第四章并未完全使用本章所介绍风险评估标准,而是将三套标准进行了融合后,从业务出发,根据医疗行业的特征独立编制的风险评估方法论。
1.1国家数据安全评估标准
《信息安全技术 数据安全风险评估方法》是在《TC260-PG-20231A 网络安全标准实践指南——网络数据安全风险评估实施指引》基础上进一步修订完善,标准在“概述”中对数据安全风险评估主要工作做出描述“数据安全风险评估,主要围绕数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力。首先通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理风险源清单,分析数据安全风险、视情评价风险,并给出整改建议。”
标准将风险评估定义为评估准备、信息调研、风险识别、综合分析、评估总结五个阶段,如图2:
图2 《信息安全技术 数据安全风险评估方法》评估流程
每阶段主要工作为:
a.评估准备:是数据安全风险评估的初始预备阶段,在评估实施前应完成评估准备工作。形成调研表、数据安全风险评估方案等。
b.信息调研:主要用于识别数据处理者的基本情况,厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动情况,采取的数据安全防护措施。形成数据处理者基本情况、业务清单、信息系统清单、数据资产清单、数据处理活动清单、安全措施情况等,具备条件的,可绘制数据流图。
c.风险识别:针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测报告等。
d.风险分析与评价:在风险识别基础上开展风险分析,并视情对风险进行评价,最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议等。
e.评估总结:编制数据安全风险评估报告,开展风险处置。
评估内容围绕数据安全管理、数据处理活动安全、数据安全技术、个人信息保护等方面开展评估。如图3
图3 数据安全风险评估内容框架图
标准定义了各个阶段主要的工作方法,在附录中列出了典型数据安全风险类别、数据安全风险量化分析与评价方法以及数据安全风险评估报告模板(见附录二)
1.2行业数据安全评估标准概述
近年来,随着数据安全工作的不断深化和推进,各个行业和团体也开始编制本行业本领域数据安全风险评估标准,常见的标准包括:
3.2.1 行业标准
YD/T 3956-2024《电信领域数据安全风险评估规范》
该标准于2024年7月5日发布,2024年10月1日实施,适用于电信领域重要数据和核心数据处理者在中华人民共和国境内开展数据处理活动的数据安全风险评估。
3.2.1.1 评估流程
电信领域数据安全风险评估的实施过程一般包括组建评估团队、确定评估范围、制定评估方案、实施风险评估、形成评估报告等内容。实施风险评估包括数据处理活动分析、合规性评估及安全风险分析三部分,具体流程见图1所示。
图4 YD/T 3956-2024《电信领域数据安全风险评估规范》评估流程
3.2.1.2 评估方法
l人员访谈
评估人员通过与被评估数据处理者相关人员进行交流、讨论、询问等活动,对数据的处理、保障措施设计和实施情况进行了解、分析和取证,以评估数据安全保障措施有效性。数据处理者需要安排熟悉数据流转过程,以及承载数据的应用、系统、网络情况的人员参加访谈。
l资料查验
评估人员查阅数据安全相关文件资料,如数据安全管理制度、安全策略和机制、合同协议、安全配置和设计文档、系统运行记录等相关文件,用以评估数据安全管理相关制度文件是否符合标准要求。数据处理者需要事先完整准备上述文档以供评估人员查阅。
l人工核验
数据处理者相关人员展示、演示,评估人员核查、验证承载数据的应用、系统、网络,包括数据采集界面、数据展示界面、数据存储界面、数据操作日志记录等,以评估数据安全保障措施有效性。如系统存在高度保密性、可用性的要求,评估可通过事后提供日志列表或测试环境等方式进行。
l工具测试
评估人员通过使用适当的数据安全评估评测工具或通过技术手段实际测试数据载体,查看、分析被测试响应输出结果,以评估数据安全保障措施有效性。数据处理者需要提前准备相关测试环境以保障工具的顺利接入与使用。工具检测前充分评估检测过程对数据载体等造成的影响,对于业务不可中断的系统、应用等,可考虑采用模拟系统验证、离线环境验证等方式。
《工业和信息化领域数据安全风险评估实施细则(试行)》
该细则于2024年6月1日起施行,适用于工业和信息化领域重要数据和核心数据处理者的数据处理活动。细则要求每年至少开展一次数据安全风险评估,评估结果有效期为一年。
3.2.2 团体标准
T/ISC 0059-2024《数据安全管理能力评估规范》
该标准由中国互联网协会发布,于2024年10月3日实施,旨在评估组织的数据安全管理能力,包括数据安全方针目标、组织架构、人员保障、技术运行等方面。
3.2.2.1 适用范围
本标准适用于涉及数据安全的组织、组织及第三方专业机构,用于开展数据安全管理能力评估工作,为提升组织数据安全管理能力、健全管理手段提供指引和依据。
3.2.2.2 评估内容
l组织环境及制度保障:包括内外部环境识别、相关方需求与期望、数据安全管理制度保障体系等。
l组织架构及人员保障:涉及组织建设、领导作用承诺、岗位权责和权限等。
l数据安全管理运行:包括数据分类分级与分级管控、教育培训与考核、举报投诉与处理、权限管理与操作规范、合作方管理、管理内审及整改、数据安全应急响应等。
l数据安全技术运行:涉及数据资产识别、数据防泄漏与溯源、敏感数据保护、接口安全管理、风险操作审计等。
l绩效评价与改进:包括管理审核与纠正改进。
3.2.2.3 评估方法
评估方式主要包括人员访谈、资料查阅、系统核验等,目的是明确组织内相关制度要求、工作流程、制度落实情况、数据安全相关技术能力建设等是否符合评估要求。
3.2.2.4 标准特点
l规范性:充分借鉴国内相关标准规范,结合我国实际情况,确保标准的可执行性和规范性。
l实用性:基于对企业数据安全技术能力的充分调研及相关国际规范的深度研究,具有技术先进性和实用性。
l可行性:结合国家数据安全法及企业数据安全技术能力现状需求制定。
1.3国际数据安全评估标准概述
NIST SP 800-171 r3是由美国国家标准与技术研究所(NIST)发布的一份重要网络安全标准,旨在保护非联邦系统和组织中的受控未分类信息(Controlled Unclassified Information, CUI)。该标准最初于2015年6月发布,在2020年12月发布了第2版。2023年11月发布第3版最终公开草案版。该标准作为美国CISA(Cybersecurity and Infrastructure Security Agency,美国网络安全和基础设施安全局)在美国保护关键信息基础设施中起着重要作用。
1.3.1简介
本标准的目的是向联邦机构提供建议的安全要求,以保护CUI的机密性,当此类信息存在于非联邦系统和组织中,并且授权法律、法规或CUI注册表中列出的CUI类别的政府范围政策。这些要求不适用于代表联邦机构收集或维护信息,或代表机构使用或操作系统的非联邦组织。
本出版物中的安全要求仅适用于处理、存储或传输 CUI 或为此类组件提供保护的非联邦系统组件。这些要求旨在供联邦机构在按合同规定的手段或这些机构与非联邦组织之间签订的其他协议中使用。
适当界定需求范围是确定与保护相关的投资决策和管理非联邦组织安全风险的一个重要因素。如果非联邦组织指定特定的系统组件用于CUI的处理、存储或传输,则这些组织可以通过在单独的 CUI 安全域中隔离指定的系统组件来限制安全要求的范围。隔离可以通过应用体系结构和设计概念来实现(例如,使用防火墙或其他边界保护设备实现子网络,并使用信息流控制机制)。安全域可以采用物理分离、逻辑分离或两者的组合。这种方法可以为 CUI提供足够的安全性,并避免将组织的安全态势提高到保护其任务、操作和资产所需的程度之外。
3.3.2 主要内容
NIST SP 800-171安全要求代表了保护CUI机密性所必需的控制措施的子集。如表所示,安全要求分为17个族。每个族都包含与该族的一般安全主题相关的要求。
表五 安全要求系列
|
访问控制 |
维护 |
安全评估和监控 |
|
意识和培训 |
介质保护 |
系统和通信保护 |
|
审计和问责 |
人员安全 |
系统和信息完整性 |
|
配置管理 |
物理保护 |
规划 |
|
身份验证 |
风险评估 |
系统和服务采购 |
|
事件响应 |
供应链风险管理 |
本出版物中的安全要求仅适用于处理、存储或传输 CUI 或为此类组件提供保护的非联邦系统组件。这些要求旨在供联邦机构在按合同规定的手段或这些机构与非联邦组织之间签订的其他协议中使用。
适当界定需求范围是确定与保护相关的投资决策和管理非联邦组织安全风险的一个重要因素。如果非联邦组织指定特定的系统组件用于CUI的处理、存储或传输,则这些组织可以通过在单独的 CUI 安全域中隔离指定的系统组件来限制安全要求的范围。隔离可以通过应用体系结构和设计概念来实现(例如,使用防火墙或其他边界保护设备实现子网络,并使用信息流控制机制)。安全域可以采用物理分离、逻辑分离或两者的组合。这种方法可以为 CUI提供足够的安全性,并避免将组织的安全态势提高到保护其任务、操作和资产所需的程度之外。
示例如下:
|
3.1 访问控制 3.1.1.账户管理 要求:03.01.01 a.定义允许和禁止的系统帐户类型。 b.根据组织策略、过程、先决条件和标准创建、启用、修改、禁用和删除系统帐户。 c.指定系统的授权用户、组和角色成员资格以及访问权限(即特权)。 d.根据有效的访问授权和预期的系统使用授权访问系统。 e.监控系统帐户的使用情况。 f.在以下情况下禁用系统帐户: 1.账户已到期; 2.账户在[分配:组织定义的时间段]内一直处于非活动状态; 3.账户不再与用户或个人相关联; 4.账目违反组织政策;或 5.发现与个人相关的重大风险。 g.在以下情况下通知组织人员或角色: 1.不再需要账户; 2.用户被终止或转移;和 3.系统使用情况或需要了解个人的变化。 讨论 此要求侧重于系统和应用程序的帐户管理。除了由帐户类型确定的访问权限(例如,特权访问、非特权访问)之外,访问权限的定义和实施在要求03.01.02中进行了说明。系统帐户类型包括个人帐户、组帐户、临时帐户、系统帐户、来宾帐户、匿名帐户、紧急帐户、开发人员帐户和服务帐户。需要系统帐户管理权限的用户将受到负责批准此类帐户和特权访问的组织人员的额外审查。由于风险增加,组织可能会禁止的账户类型包括团体账户、紧急账户、访客账户、匿名账户和临时账户。 组织可以选择按帐户、帐户类型或两者的组合定义访问权限或其他属性。授权访问所需的其他属性包括对一天中的时间、星期几和来源点的限制。在定义其他账户属性时,各组织会考虑系统需求(如系统升级、定期维护)以及任务和业务需求(如时区差异、方便旅行需求的远程访问)。 构成重大安全风险的用户包括可靠证据表明有意使用授权访问系统造成伤害或对手将通过他们造成伤害的个人。在禁用高风险个人的系统帐户时,人力资源经理、任务/企业所有者、系统管理员和法律人员之间的密切协调至关重要。通知组织人员或角色的时间段可能有所不同。 参考文献 源控制:AC-02、AC-02(03)、AC-02 支持出版物:SP 800-46[14]、SP 800-57-1[15]、SP 800-57%-2[16]、SP 800-57-3[17]、SP 800-77[18]、SP 800-113[19]、SP 800-114[20]、SP 800-121[21]、SP 800-162[22]、SP 800-178[23]、SP 800-192[24]、IR 7874[25]、IR 7966[26] |
3.4 医疗数据安全风险评估途径及方法
笔者根据长年的网络安全风险评估经验,整合企业评估(EA)、传统的网络安全风险评估《GB/T 20984-2022 信息安全技术 数据安全风险评估方法》《信息安全技术 数据安全风险评估方法》以及工信部YD/T 3956-2024《电信领域数据安全风险评估规范》,美国《NIST SP 800-171 r3 保护非联邦系统和组织中受控的未分类信息》等标准,制定评估方法。
3.4.1 评估实施手段
评估手段主要包括:圆桌会议、人员访谈、资料查验、人工核验、工具测试、威胁建模
l圆桌会议
评估人员与开发商针对软件架构、部署、功能模块、数据结构、数据调用、账号权限功能设定等问题进行沟通和了解。开发商需要安排前端开发与后端开发工程师参加会议。会议中可能涉及到系统在运行过程中产生的第三方数据传递、数据API、数据共享以及数据合规性等相关问题。通过圆桌会议绘制业务流图、系统架构图以及基础数据流图,并现称确认图例结果;
l人员访谈
评估人员通过与被评估数据处理者相关人员进行交流、讨论、询问等活动,对数据的处理、保障措施设计和实施情况进行了解、分析和取证,以评估数据安全保障措施有效性。数据处理者需要安排熟悉数据流转过程,以及承载数据的应用、系统、网络情况的人员参加访谈。本项需要接受访谈的人员包括医院信息科、第三方运维人员以及各部门具体操作数据的医务人员与门诊缴费人员。具体根据评估对象确定相关人员。通过人员访谈完善数据流图与业务流图;
l资料查验
评估人员查阅数据安全相关文件资料,如数据安全管理制度、安全策略和机制、合同协议、安全配置和设计文档、系统运行记录等相关文件,用以评估数据安全管理相关制度文件是否符合标准要求。数据处理者需要事先完整准备上述文档以供评估人员查阅。资料查验还需包括评估范围内各系统的开发文件、网络拓扑图、数据字典、标准化文档等;对于已有的管理文件还应提供相关的记录表单、日志以证明其文件处于执行状态;
l人工核验
数据处理者相关人员展示、演示,评估人员核查、验证承载数据的应用、系统、网络,包括数据采集界面、数据展示界面、数据存储界面、数据操作日志记录等,以评估数据安全保障措施有效性。如系统存在高度保密性、可用性的要求,评估可通过事后提供日志列表或测试环境等方式进行。
l工具测试
评估人员通过使用适当的数据安全评估评测工具或通过技术手段实际测试数据载体,查看、分析被测试响应输出结果,以评估数据安全保障措施有效性。数据处理者需要提前准备相关测试环境以保障工具的顺利接入与使用。工具检测前充分评估检测过程对数据载体等造成的影响,对于业务不可中断的系统、应用等,可考虑采用模拟系统验证、离线环境验证等方式。
l威胁建模
威胁建模是一种系统化的方法,用于识别、评估和管理潜在的安全威胁,旨在开发和部署符合企业组织安全和风险目标的软件和IT系统。威胁建模建立在系统工程理论基础之上,以风险为驱动通过结构化的方式识别、评估和管理安全威胁。从而为有效实现“安全左移”的目标提供基础和支撑。威胁建模是基于圆桌会议与人员访谈所产生的数据流图的进一步分析。由评估人员会同医院信息科接口工程师共同建立威胁建模清单,并基于威胁建模清单补充定性风险评估的主观性问题。
1.4.2评估实施流程
笔者将医疗行业数据安全风险评估分为四个阶段,评估准备、风险识别、风险判定及风险处置建议;各阶段主要工作详见第4章描述。风险评估实施如图5所示
图5 数据安全风险评估流程图
原文始发于微信公众号(数据安全矩阵):医疗行业数据安全风险评估实践指南上中下
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论