为贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,推动建立我市网络数据安全风险评估机制,提升全市数据安全防护能力和水平,2023年8月至12月,市委网信办会同中国电子技术标准化研究院、上海市信息安全测评认证中心成立试点工作组,组织开展了网络数据安全风险评估试点工作,遴选出一批试点优秀单位和试点优秀案例。
今天分享松江区疾病预防控制中心、松江区委网信办、松江区卫生健康委员会试点优秀案例——《松江区慢病一体化健康档案数据安全风险评估技术方案》。
本案例围绕数据安全风险评估实施方案、信息调研、风险识别、风险分析与评价、数据资产管理、数据安全管理制度、数据安全技术措施等,从信息调研、数据安全风险识别、风险分析和评价等方面,阐述了上海市松江区疾病预防控制中心(以下简称“松江疾控”)开展数据安全风险评估的具体工作过程,以及采取风险识别的方法、风险分析和评价方法及参考标准,对实施评估工作、制定技术方案具有参考意义。
松江区慢病一体化健康档案数据安全风险评估技术方案
(节选)
1)评估工作组织情况
本次风险评估工作组织图如下所示:
图1 施工组织设计图
本次网络数据安全风险评估实施组织由组长、副组长、观察员、项目经理、质量控制、评估组员、评估实施成员组成。
PMO(项目管理办公室),由评估组长以及副组长、观察员组成,评估组长由松江疾控信息科科长担任,副组长分别由松江疾控信息科副科长以及第三方机构代表人担任,主要职责是为项目经理提供管理支持、行政支持、培训、咨询顾问、技术服务、知识管理等支持服务。
质量控制,由质量控制专员组成,主要职责为质量控制、质量计划、质量监控等质量管理工作。
项目经理,由第三方机构项目经理担任,项目具体负责人,负责项目进度管理、里程碑管理、人员管理、沟通管理、风险管理、质量管理等。
评估组员,由松江疾控相关职员以及第三方机构人员组成,包含系统管理员、安全管理员、业务人员以及第三方机构人员,主要职责为项目提供支持,配合评估实施人员完成调研、访谈、测试、检查等评估工作。
评估实施成员,由第三方机构实施工程师组成,包含渗透测试工程师、安全咨询工程师、技术服务工程师等,负责网络数据安全风险评估具体实施任务的实施。
2)评估使用的方法
人员访谈:对相关人员进行访谈,核查制度规章、防护措施、安全责任落实情况。评估人员通过与数据安全管理的有关人员进行交流、讨论,确定某项安全保护措施是否有效。
文档查验:查验安全管理制度、风险评估报告、等保测评报告等有关材料及制度落实情况的证明材料。评估人员通过对受评组织提供的管理制度文档及其执行情况和记录等进行查验、分析,获取证据以证明某项安全保护措施是否有效实施。
安全核查:核查网络环境、数据库和大数据平台等相关系统和设备安全策略、配置、防护措施情况。评估人员对支持信息系统的重要网络设备、安全设备、主机系统(主要是各个重要的服务器操作系统、数据库)的安全配置项进行核查,主要检测由信息系统本身配置不当带来的脆弱性。
技术测试:应用技术工具、渗透测试等手段查看数据资产情况、检测防护措施有效性。评估人员采用自动化工具对系统网络、主机操作系统、数据库、应用系统等进行扫描检测,检测并统计所暴露的安全漏洞和脆弱点;评估人员依据漏洞可能被利用的程度,设计案例并实施模拟攻击测试,以验证评估对象抗攻击能力,确定系统的综合安全状况。
1)数据处理者基本情况
调查收集数据处理者的基本情况,包括单位名称、组织机构代码、单位地址、单位性质、人员规模、数据安全负责人及职务、主要业务范围和业务规模等。
2)业务和信息系统情况
对受评估业务系统概况、网络拓扑情况、业务流程、数据流向、服务器数据库、管理终端、网络安全设备、管理制度及文档等情况的调查汇总。
3)数据资产情况
a)数据资产列表-结构化数据
对受评估系统的结构化数据进行梳理,形成数据资产列表,包含数据名称、数据描述、数据级别、数据规模、存储位置。
b)个人信息情况
对受评估系统的个人信息类型、敏感程度、数据来源、字段信息、规模进行收集汇总。
c)数据分类分级情况
松江疾控数据分类参照《WS/T 787-2021 国家卫生信息资源分类与编码管理规范》分为3大类22小类,参照《国家卫生健康委规划司关于落实卫生健康行业数据分类分级指南(试行)的通知》,单位数据分为核心数据、重要数据、一般数据三个级别。
d)数据处理活动情况、安全措施情况
调查数据收集情况、数据存储情况、数据传输情况、使用加工情况、数据提供情况、数据删除情况以及已有安全措施情况汇总。
从数据安全管理、数据处理活动、数据安全技术、个人信息处理四个方面,对被评估系统进行风险识别。
1)数据安全风险分析与评价
a)风险归类
参照《信息安全技术 数据安全风险评估方法(征求意见稿)》附录A中给出的典型数据安全风险类别,判定相应风险类型,形成如下风险归类表:
表1 风险归类表
b)危害程度分析
数据安全风险危害程度分析,主要分析数据的价值、重要性、规模、种类,以及数据处理目的、方式、范围等要素,综合评估数据安全风险一旦发生,对国家安全、经济运行、社会秩序、公共利益或者个人、组织合法权益造成的危害程度。风险危害程度从低到高可分为很低、低、中、高、很高5个级别。风险危害程度分析遵循就高从严、整体分析原则,如果该风险涉及多个数据资产,应进行累加判断,将涉及数据的风险按照最高危害等级判断。
c)风险发生可能性分析
风险发生可能性分析,主要考虑风险源发生频率、安全措施有效性和完备性、风险源关联性等因素。分析方法如下:
i. 风险源发生频率,可从被评估对象发生相关数据安全事件的次数及频率、同行业或业务模式相似的单位发生相关数据安全事件的次数及频率、相似数据安全事件发生次数及频率、轻微安全问题累计发生次数等方面,综合分析同类风险源发生可能性。一般风险源或安全事件发生频率越高,风险发生可能性越高。
ii. 安全措施有效性、完备性,主要通过识别数据安全措施应对风险源的有效性、全面性等。核心数据、重要数据及相关数据处理活动,需采取更严格的安全防护措施才能降低风险发生可能性。
iii. 风险源关联性,主要通过风险源清单关联分析,发现多个风险源组合后可能引发数据安全风险,则将其与其他风险源合并分析,综合判断风险发生可能性。
风险发生的可能性和具体评估项密切相关,故评估工作针对所存在的不符合项进行逐条赋值。
d)风险评价
从影响数据保密性、完整性、可用性和数据处理合理性角度分析各项风险源可能引发的数据安全风险的风险危害程度和发生的可能性,对数据安全风险等级作出评价。
根据国家标准《信息安全技术 数据安全风险评估方法(征求意见稿)》9.3节给出的数据安全风险评价矩阵,完成对各项风险的等级评价,形成数据安全风险清单。
表2 数据安全风险清单
2)整改建议
经过对风险的分析与评价,从安全组织机构、分类分级管理、人员安全管理、合作外包管理、开发运维管理、数据收集、处理、提供、数据加工、网络安全防护、身份鉴别与访问控制、个人信息保护方面提出有针对性、专业的整改建议。
“网信上海”是上海市互联网信息办公室官方微信公号,权威发布上海市互联网治理信息,及时回应上海市热点网络舆情事件。