风险评估案例     

项目背景

随着我国网络建设和信息化建设的加快，企业、政府等各行业的业务和信息化的结合越来越紧密，在给组织带来巨大经济和社会效益的同时，也给组织的信息安全和管理带来了严峻的挑战。
      本项目的用户是一家具有较强救治能力、较高科研水平和国际交流能力的全国三级甲等医院。医院为了加强信息系统安全管理、运营管理工作，促进医院业务持续、稳定、健康发展，确保应用系统数据安全、持续、稳定运行，降低因应用系统漏洞、配置错误、黑客攻击、病毒传播、系统故障等影响业务和业务数据的风险。需要对HIS、PACS、LIS、EMRS、综合应用信息系统所包含的物理机房、网络、数据、应用、安全管理制度等方面进行风险评估，业务数据方面为侧重点进行风险评估。

解决思路

圣博润针对医院安全需求，依据风险评估标准GB/T 20984-2007《信息安全技术 信息安全风险评估规范》和GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》结合医院的业务数据特点实施风险评估。
      圣博润对医院HIS、PACS、LIS、EMRS、综合应用信息系统，硬件资产、软件资产、人员资产、服务资产、数据资产进行全面收集和梳理，（其中包括3个院区的物理机房、15台网络设备、10台安全设备、50台服务器、5个重要应用系统和相关安全管理制度），并根据CIA赋值确定信息系统资产的重要程度。然后对资产进行脆弱性的分析与识别，找出资产存在的安全隐患，并根据发现的安全隐患对资产可能造成的威胁程度进行分析与识别，从中根据资产的重要程度，所发现的信息安全风险，并分析与识别利用脆弱性所造成的威胁程度进行高、中、低的赋值。
      圣博润经过对医院HIS、PACS、LIS、EMRS、综合应用信息系统进行全面的风险评估后，出具《医院信息系统风险评估报告》，根据报告中每一个安全风险的提出安全整改建议，并跟用户确认该风险是否接受、消除、规避、转移等风险处置，确认后出具《医院信息系统风险处置计划》。

用户收益

通过本次风险评估项目帮助医院客户发现了172个高危风险，273个中危风险，453个低危风险，全面的发现系统中存在的安全风险，并根据发现的安全风险出具安全整改建议，帮助客户很好的解决风险，在难以解决的安全风险中，圣博润安全咨询顾问通过多年的安全经验帮助客户把风险降低到可以接受的水平。