背景与需求

       随着互联网+智慧医院的建设，医院业务架构愈加复杂，对应用开发商依赖度逐渐增加，运维管理难度加大，且业务对接众多外部数据使用单位，存在有众多对外数据服务接口，由于医院数据中包含了大量高价值、高敏感的个人隐私信息，一旦出现数据泄露、数据违规使用等安全事件后，将面临着事件溯源困难、责任界定不清且整改不彻底等显著问题。

       在信息化建设进程中，由于医院数据安全治理工作任务重、难度大，自身数据安全管理能力的缺失，其可能面临着多个方面的数据安全风险，经过总结分析存在的数据安全风险主要包括了以下几类：

   （1）数据资产风险

       存在数据资产底账不清、个人信息数据与重要数据分布不明的风险，以及因备份、系统升级等原因产生的暗资产、僵尸资产。

   （2）数据暴露面风险

       数据在对外共享的过程中，无法明确到底对外开放了多少接口，这些接口谁在用，是否存在传送敏感数据、是否已经完成脱敏，是否进行加密传输、是否越权访问、是否对访问者进行身份认证等。

   （3）数据库脆弱性风险

       数据库是医院日常经营、分析、决策等系统的核心部分，，它们存在哪些漏洞，该如何修补，是否存在弱口令，是否存在不正确的安全配置和安全隐患，这些问题都可能成为黑客利用的攻击点。

       解决方法

       中信网安依据国家、行业等有关数据安全技术与管理标准，以数据资产梳理为基础，从风险管理的角度，对数据资产的重要程度进行分析，确定重点评估对象，识别评估对象价值，评估数据资产在各应用场景面临的威胁及威胁利用脆弱性导致安全事件的可能性，持续的数据安全监测，全面掌控数据资产风险，并结合实际情况，给出合理数据资产风险应急处置预案，持续为数据保驾护航。

       用户价值

       中信网安数据安全风险评估方案，以数据资产为核心，在帮助医院发现数据安全风险问题的基础上，构建起完善且有效的医院数据安全监管机制，覆盖医院各个重要数据活动场景，加强医院数据的防护能力，减少数据安全事件的发生。