服务概述
风险评估服务具体内容包括用户信息系统安全现状,对信息资产面临的威胁、存在的脆弱性、现有防护措施及综合作用而带来风险的发生可能性评估,最终提供全面的风险评估报告。
风险评估的目的是通过对用户组织进行全面了解和风险掌控评估,分析信息系统及其所依托的网络架构、网络设备、安全设备、中间件、数据库的安全现状,识别组织面临的网络与信息安全威胁和风险,明确采取何种有效措施,降低安全事件发生的可能性或者其所造成的影响,减少业务系统的脆弱性,从而将风险降低到可接受的水平。同时,全面掌握用户组织的安全防护水平,检验网络与信息安全规划建设的成效,为管理层加强网络与信息安全保护管理工作提供科学的决策依据。
服务流程
为了贯彻落实《数据安全法》、《个人信息保护法》等法律法规要求,针对性摸清风险,整体提升数据安全防护水平,数据安全风险评估工作围绕其数据资产和数据处理活动展开,在对其评估过程中,需要充分考虑数据资产价值、资产脆弱性、安全威胁及安全措施之间相关作用相互影响的关系
数据资产评估阶段
经过专业工具和手段进行评估,发现资产或者被评估系统存在脆弱性(也就是系统存在可利用的高中危险漏洞)
那么系统存在脆弱性直接导致系统存在安全风险
潜在影响着我们的数据资产
有风险就有安全措施,我们使用一定的技术手段和安全工具可以抵御存在的威胁,降低脆弱性,减少被利用的风险,进一步保护我们的数据资产
1.评估准备
评估工具准备
开展基础调研
制定评估方案
2.评估实施
开展现场调研
数据梳理与分类分级
威胁和脆弱性识别
数据安全措施识别等
3.风险分析
评估材料整理
风险定性、定量计算
制定风险处置建议
4.报告输出
编制输出
风险评估报告
◼︎ 数据资产识别与分类分级:在数据安全风险评估中,数据资产识别是重要环节。本次评估中,美创科技基于当地及行业标准规范,结合卫健委自身的业务情况和数据特征,通过人工调查和暗数据发现和分类分级系统的双重结合方法,对数据资产进行快速识别、分类,对资产价值重要程度赋值定级,形成数据资产清单。
最终从业务应用维度和数据对象维度,将数据分为个人属性数据、医疗应用数据、医疗支付数据、卫生资源数据、技术管理数据等类别;根据数据价值、影响对象、影响程度等要素,将数据按照重要程度分为一般数据、重要数据、核心数据。
◼︎ 数据安全威胁和脆弱性识别:根据风险评估标准规范,针对数据收集、存储、传输、使用和加工、共享等活动,从安全管理制度、流程规范、过程记录、安全合规、技术能力与功能等方面,共识别安全威胁。
通过漏洞扫描、基线核查等脆弱性识别手段,结合现状调研阶段的非技术性调研分析结果,
◼︎ 数据安全措施识别:通过对目前系统采取的安全技术措施进行评估,检验控制措施的有效性,如:访问控制机制和实现方式、安全审计和数据溯源机制方法、数据加密和泄露防护措施等
◼︎ 综合风险分析:通过上述风险评估维度,xx以资产和风险两大视角出发,在数据分类分级的基础上,借助数据安全综合评估系统DCAS,依托强丰富的安全合规库、安全风险库和安全处理策略库,自动完成风险威胁的赋值、分析与计算。
◼︎ 最终,xx对风险评估过程和结果进行总结,形成《数据安全风险评估报告》,报告内容包含评估对象、数据安全风险评估方法、数据资产、数据安全威胁、脆弱性识别结果、风险分析、风险统计和结论等内容,为健康医疗数据安全有序的流动、释放价值奠定坚实的一步!