写点什么

极盾故事|“五步”构建某三甲医院数据安全管理集成平台

作者:极盾科技
  • 2023-11-24
    浙江
  • 本文字数:2264 字

    阅读完需:约 7 分钟

极盾故事|“五步”构建某三甲医院数据安全管理集成平台

极盾科技助力某三甲医院,构建统一的数据安全管理集成平台,最终实现:


1、数据安全管理的自动化,覆盖全院医教研管 15 个应用场景、14 项管理活动、300+项数据,完成 40+个重要信息系统的自动监控、风险预警,一键巡检、单项数据使用行为的全过程自动跟踪与管理辅助决策。


2、数据安全管理知识库以及辅助决策引擎:按照 DSMM 最高等级实现数据安全管理,知识库覆盖了 15 项法律及政策、24 项国家及行业标准,支持 DSMM 体系 30 个过程域中 19 个过程域的安全管理,实现了 1-2 人管理全院重要信息系统数据安全,大大降低了人力投入。


01 医院数据安全“四难”


医院的信息泄露问题是个顽疾,主要是由于医院的信息具有巨大商业价值。

医院数据安全建设迫在眉睫,但也困难重重。


1、任务繁重:医教研管数据使用需求多,全生命周期数据安全管理活动多,管理事项多,时间跨度长并且不规则,管理人才短缺。


2、政策和标准落实困难:法律、政策、标准和规范要求多,管理经验尚需积累和探索,缺乏能够“通晓”全部要求,积累“案例”经验,提供“主动”辅助决策的工具,管理的精细化和规范化程度有待快速提升。


3、软件工具整合程度低:数据安全管理软件厂商大多从网络安全转行延伸而来,更加关注具体技术问题,对于数据安全管理活动与流程缺少支撑,并且单个软件往往针对单一问题开发,缺乏“全生命周期覆盖”和“全部管理活动串联”、“全部管理部门协作”、“全部管理要求托底”等集成。


4、协作困难:为落实“最小且必要”等原则,数据安全管理需要深入到医教研管场景,需要对业务活动数据使用的合理性有深入理解的管理人员参与。同时,管理证据的收集、监控和分析强烈依赖于技术手段。因此,数据安全管理需要医院内多部门,以及内外技术团队的通力协作,目前缺少协作支撑的专业平台。


基于以上现状,极盾科技助力某三甲医院,研发智能化医院数据安全集成管理平台,支撑安全技术服务商、安全主管部门、医院安全技术人员、安全管理者和医院安全负责人等多角色进行安全规划、评估、设计、实施、培训、监测、技术保障等职能,支持安全管理与信息系统同步规划、同步实施,实现信息系统“数据使用安全”的全面管理。


02 安全建设“五步走”


由于院内信息系统众多,且不同系统账号权限情况复杂而又不统一,要实现数据安全防护,必然要先解决各个应用系统的账号权限梳理、安全风险场景评估的工作。


整体采用先调研,再评估,后对接,优化改进,循序渐进、逐步完善的建设方法。


Step1、业务调研:参照国家卫健委对于重要数据的定义初步评估系统重要性,同时从系统业务概况、账号权限体系、主要数据安全风险、业务诉求等方面进行详细梳理,并明确初步调研结论,形成详细调研报告。      

  

Step2、风险评估:基于调研情况,从应用、账号、接口、权限、敏感数据暴露面等多个纬度进行详细的数据安全风险评估及梳理,出具相关风险评估报告。


Step3、落地对接:

·账号权限对接:通过钉钉对接完整组织架构,通过读数据库中间表等方式对接不同应用系统的账号权限信息。

·应用接入:B/S 类应用通过网关方式主动接入,无需应用做任何改造;C/S 类应用通过日志对接,常见为 syslog,同时支持其他方式如接口等;

·敏感数据识别:通过自定义逻辑识别各类常见的敏感信息,并针对敏感信息的敏感操作进行定向监测与审计,覆盖各类常见的数据安全风险。

·策略配置:基于数据使用场景配置各类场景化监控策略,防护数据安全风险。


Step4、优化改进:项目初期基于调研情况进行初始化监控策略配置,随着项目深入,结合实际数据使用情况进行策略优化和改进,从而进一步完善监控运营体系。


Step5、循序渐进,逐步完善:整体建设分为多个阶段展开,从试点应用扩展到多个应用,从部分数据扩展到更多数据范围,从而实现项目的有序逐步落地。


03 实际应用覆盖广


根据以上建设方法,该三甲医院数据安全管理集成平台,支持 14 项管理活动,共覆盖 40+个重要信息系统、15 个应用场景、300+项数据,在不需要系统改造的前提下,实现了业务系统全过程安全能力,即统一敏感数据识别、访问控制、脱敏水印防护、UEBA 行为管控、实时风险检测、实时风险响应等能力

数据安全集成管理平台,不仅是安全防控平台,还是统一的管理平台,提供敏感数据监管大屏、数据资产自动扫描识别、合规检查统计、风险自动监控告警、智能在线以及工单管理等应用功能,完成数据安全管理的自动化。

另外,根据政策、标准、规范和日常经验,构建了数据安全管理知识库进行数据安全决策,知识库覆盖了 15 项法律及政策、24 项国家及行业标准,提供安全风险发现、安全规划决策支持、安全日常任务执行辅助等功能,针对医院数据安全不同场景提供动态辅助。


04 全面规划收益多


1、构建数据使用安全防护体系,提升管理能力和效率


集成平台围绕数据使用场景,以管理活动和流程为主线,实现了数据生命周期的全程留痕及有效管控,替代了原有的大量人力工作,实现了管理流程信息化,大幅提升了管理能力和效率。


2、知识库和辅助决策赋能,提升管理规范化程度


针对管理要求众多,可操作性不强,管理规范化程度需要提升的现状,建设了数据安全管理的知识库以及辅助决策引擎,通过循证引用、搜索匹配等方法实现了管理活动的主动辅助,既能够积累管理经验,也能够降低管理人员的要求,提升了管理的规范化程度。


3、注重院内外及内部多部门协作,实现精细化管理


数据安全管理中,贯彻数据使用“最小且必要”原则,需要医院多部门协作,也需要外部技术团队支持,集成平台通过云桌面远程协作,以及针对不同场景的流程优化和办公自动化协作,实现了管理的大协作,“专业人做专业事”,能够实现管理的精细化。


发布于: 刚刚阅读数: 4
用户头像

极盾科技

关注

智能安全决策专家 2022-07-21 加入

极盾科技是一家以“人”为中心,围绕业务场景构建检测和响应能力的新兴网络安全公司。

评论

发布
暂无评论
极盾故事|“五步”构建某三甲医院数据安全管理集成平台_数据安全_极盾科技_InfoQ写作社区