基于ISO27001體系的生物樣本庫信息風險評價

郎濤，周崇治，徐曉寅

?

基于ISO27001體系的生物樣本庫信息風險評價

郎濤，周崇治，徐曉寅

201620 上海市第一人民醫院實驗中心

ISO27001 標準前身為英國的 BS7799 標準，該標準由英國標準協會（BSI）于 1995 年 2 月提出，并于 1995 年 5 月修訂而成。2005 年國際標準化組織（簡稱：ISO）將 BS7799 轉化為 ISO27001：2005 發布，后由國際標準化組織及國際電工委員會（IEC）修訂認可。我國 2008 年將 ISO27001:2005轉化為國家標準 GB/T 22080:2008。該標準指出“像其他重要業務資產一樣，信息也是一種資產。它對一個組織具有價值，因此需要加以合適地保護”[1]。信息安全防止信息受到各種威脅，以確保業務連續性，使業務受到損害的風險降至最低，使投資回報和業務機會最大。該標準包括對于信息安全管理的建議、信息安全管理系統領域中的風險及相關管控。本文將基于 ISO27001 標準中的信息安全風險評價方法，通過研究醫院生物樣本庫的共性，開展信息風險評價工作。

1 風險評價

從 ISO27001 標準來看，風險評價包括整個風險分析及風險評價程序。風險分析包括識別信息來源和估計信息風險。風險評價是基于對一個已知的風險來判斷風險嚴重程度。信息安全風險評價是根據信息安全技術和管理標準，對相關信息系統及通過系統處理的信息的安全屬性進行評價的過程[2]。通過評價重要信息所面對的相關威脅，減少信息安全事故的可能性，并降低影響[3]。信息安全風險評價可為信息系統安全保障提供有效的管理依據。

ISO27001 標準建立了風險評價的方法，并給出開展風險評價的相關步驟，流程分為：定義風險評價方法、判別風險、分析并評價風險[4]。

雖然標準未給出開展風險評估的實際案例，但我們可以按照 ISO27001 有關指引，建立具有可行性的操作流程。

2 生物樣本庫的功能框架

生物樣本庫是一個分布式的大型信息庫，即以分布式實體樣本庫為支撐，基于信息化技術的開放式資源庫[5]。它是通過信息化來為臨床科研提供保障。信息化生物樣本資源、虛擬化檢索以及遠程化監控是生物樣本庫三大主要組成部分。生物樣本庫的最終目的就是將臨床實體生物樣本信息化，通過網絡檢索調取，實現樣本信息的共享[6]。從功能框架來看，生物樣本庫構架分為 3 層。第一層是生物樣本庫的基礎設施和基礎平臺；第二層是對象庫和數據庫；第三層是樣本收集、樣本管理和樣本服務。其中，樣本收集包含生物樣本信息處理、數據標識、生物樣本信息整合；樣本管理涵蓋生物樣本管理、生物樣本存儲、生物樣本檢索；樣本服務涵蓋生物樣本服務、用戶管理和使用權管理。生物樣本庫作為一個服務性的大型綜合管理信息系統，它的后臺樣本信息數據非常龐雜。各組成部分的信息是否具有可信度，意味著生物樣本庫能否可持續性發展，對生物樣本庫進行信息安全風險評價是防止信息受到各種威脅，以確保業務受到損害的風險降至最低[7]。

3 生物樣本庫開展信息風險評價前的準備工作

3.1 確定目標和范圍

通過風險評價可保障臨床研究者隨時檢索對他們有幫助的信息，滿足生物樣本庫實時實現功能。而風險評價的范圍應關注生物樣本庫中的生物樣本收集、生物樣本管理和生物樣本服務中產生的信息。為確保評價的順利開展，在實施評價前須獲得相關部門的批準和支持。

3.2 選擇團隊和方法

開展風險評價需要挑選熟知業務流程的成員組建評價組。評價組應根據已收集信息的危險性程度給信息重要性、發生威脅可能性、脆弱區域賦權。然后通過定性法來區分危險性程度；用模擬風險權值估算風險程度。風險危險性程度 = 信息價值 × 發生威脅可能性 × 脆弱區域范圍[8]。其中信息價值評價要根據重要性、可靠性、實用性給予賦權，發生威脅可能性和脆弱區域大小也要根據相應的領域給予賦權。

4 生物樣本庫信息的風險分析

4.1 信息判別

信息評價的起始點就是進行信息判別。開展風險評價的第一步，評價組成員要判別各崗位的重要信息。判別信息包括有形和無形，風險評價中信息價值要從重要性、可靠性和實用性這三個方面來衡量。

4.1.1 信息分類 針對生物樣本庫的信息化生物樣本資源、虛擬化檢索以及遠程化監控等幾個功能，在分類時可以把信息分為：樣本數據、數據應用、設備設施、支持保障。

表 1 生物樣本庫的信息構成

具體內容見表 l。

當創建特定信息的列表時，可以相關業務流程為基礎，判別業務流程的重要信息，也就是從生物樣本收集、生物樣本管理和生物樣本服務等方面出發，來確定特定信息對業務可持續發展的重要性。

4.1.2 信息賦權 信息判別后，可以按照業務流程的特點賦權給信息。賦權標準可根據信息性質設定。舉例來說生物樣本信息的主要功能是供臨床研究者檢索查詢，其保密性可以認為處于低保密狀態，但應確認生物樣本信息的可用性和完整性[9]。給生物樣本信息此類重要信息賦權可參考下列賦權標準，詳見表 2 ~ 4。

由于判斷生物樣本信息的價值需要詳細的具體信息。表 5 以生物樣本庫的信息為例，每個方面選取一個信息賦予一個價值。

在“信息價值”層面我們根據安全性選取其最高的數值，以判斷生物樣本庫中影響業務的關鍵信息，用于判別威脅和脆弱區域時給其賦權。

4.2 威脅判別

某些信息在面臨各類信息安全威脅時總有不同的特殊性[10]。生物樣本庫是一個具有特殊性的依賴網絡的信息化平臺系統，它通過對生物樣本信息進行整合為研究者提供樣本信息服務；生物樣本庫的數據、實體安全等方面在威脅判別時都要給予重視。表 6 列出了信息安全的威脅分類。

4.3 脆弱區域判別

脆弱區域判別包括軟硬件、自然界等各個方面，脆弱區域和威脅呈現多對多的關系，脆弱區域如被威脅利用可能會發生風險，影響生物樣本庫的業務持續性。

在生物樣本庫中，脆弱區域可包括如樣本庫數據系統存在漏洞、數據轉換格式標準不一、研究者弱口令等問題。表 7 給出了脆弱區域和威脅聯系表。

表 2 信息化樣本保密性賦權標準

表 3 信息化樣本完整性賦權標準

表 4 信息化樣本可用性賦權標準

4.4 確認已有安全措施

在審查現已采取的安全措施后，應先保留有效措施，取消或更換無效的安全措施。然后再由風險評估小組開展估算風險工作，生物樣本庫在網絡安全方面已有一定的安全措施，如在研究者訪問方面有口令檢查程序；獲取生物樣本信息會進行身份認證等[11]。

4.5 風險估算

4.5.1 風險估算 我們可通過上文的公式：信息風險危險性程度 = 信息價值 × 發生威脅可能性 × 脆弱區域范圍來推斷信息風險的危險性。另采用定性分級法來衡量信息價值、威脅、脆弱區域，一般分為 3 級。即信息價值定性 3 個層級，第一級賦權系數 1、第二級賦權系數 2、第三級賦權系數 3；威脅發生的可能性定性 3 個層級，威脅不太可能出現的情況作為第一級賦權系數 1、威脅有可能多次出現的情況作為第二級賦權系數 2、可能隨時出現的威脅情況作為第三級賦權系數 3；脆弱區域定性 3 個層級，沒有明顯弱點的區域作為第一級賦權系數 1、發生非授權訪問的區域作為第二級賦權系數 2、信息出現失控的區域作為第三級賦權系數 3。

表 5 信息價值賦權

表 6 信息安全的威脅分類

4.5.2 風險估算結果 信息價值、威脅與脆弱區域的具體值需由實際的生物樣本庫情況確定。通過給定賦權，上文在表 5 中給出了信息價值，再通過表8 中威脅及脆弱區域的賦權，通過公式進行風險值計算。

表 7 脆弱區域威脅聯系表

表 8 信息威脅-脆弱區域風險分析

5 生物樣本庫信息風險評價

根據風險估算公式和相關確定的等級，可得出信息共有 3 × 3 × 3 = 27 個風險值。根據風險函數特性列成矩陣見表 9。

表 9 風險價值矩陣

按照風險價值，可以把風險定為 1 ~ 4 級，相對應風險值為第一級（1、2、3、4）；第二級（6、8、9）；第三級（12、18）；第四級（27）。

結合風險估算結果，參照風險價值劃分，可以將生物樣本庫信息分級歸類。“第一級”風險為可控；“第二級”風險需進行實時監控；“第三級”風險需采取行動降低風險；“第四級”風險需立即解決。通過表 8中 11 個項目的數值，可看出表中“第一級”風險 2 項，處于可接受狀態；“第二級”風險 5 項，保證實時監控；“第三級”風險 4 項，通過相關行動可解決；“第四級”0 項，無需相關行動。

綜上所述，對某一生物樣本庫信息面臨的風險程度進行評價和分析，下一步風險評價小組可根據相關結論采取相應行動，確保信息風險不對生物樣本庫運行產生負面作用。

6 結語

本文旨在讓讀者了解如何在生物樣本庫領域有效運用 ISO27001 標準的理念及實施步驟，通過對生物樣本庫信息資產的風險評價來實施有效的風險管理。生物樣本庫信息安全管理是一個多層面、多因素動態過程，作者認為采納 ISO27001 標準并進行信息安全評價是建立可靠的生物樣本庫重要的基礎工作之一。

[1] International Organization for Standardization. ISO/IEC Guide 73:2002 Risk management -- Vocabulary -- Guidelines for use in standards. Genevan: International Organization for Standardization, 2002:8-9.

[2] Zhang ZH, Zhao DM.Information security management and risk assessment. Beijing: Publishing House of Electronics Industry, 2010: 123-129. (in Chinese)

張澤虹, 趙冬梅. 信息安全管理與風險評估. 北京: 電子工業出版社, 2010:123-129.

[3] Standardization Administration of the People's Republic of China. GB/T 20984-2007 Information security technology—Risk assessment specification for information security. Beijing: China Standard Press, 2007. (in Chinese)

中國國家標準化管理委員會. GB/T 20984-2007 信息安全技術信息安全風險評估規范. 北京: 中國標準出版社, 2007.

[4] Fan H. Information security risk assessment understanding and implementation of national standards specification. Beijing: China Standard Press, 2008:30-36. (in Chinese)

范紅. 信息安全風險評估規范國家標準理解與實施. 北京: 中國標準出版社, 2008:30-36.

[5] China Medicinal Biotech Association biobank standards (Trial). Chin Med Biotechnol, 2011, 6(1):71-79. (in Chinese)

中國醫藥生物技術協會生物樣本庫標準(試行). 中國醫藥生物技術, 2011, 6(1):71-79.

[6] Li HB, Mao J, Liu MJ, et al. Build, optimization and application of genetic disease Biobank. Chin J Med Sci Res Manage, 2011, 24(6): 419-421. (in Chinese)

李海波, 毛君, 劉敏娟, 等. 遺傳病生物樣本庫的建立、優化及應用. 中華醫學科研管理雜志, 2011, 24(6):419-421.

[7] Guerin JS, Murray DW, McGrath MM, et al. Molecular medicine Ireland guidelines for standardized biobanking. Biopreserv Biobank, 2010, 8(1):3-63.

[8] Mao XX, Xu RS, Ding TC. A network vulnerability assessment system based on CVSS. Electron Technol, 2009, 46(1):59-61. (in Chinese)

毛欣欣, 許榕生, 丁天昌. 一種基于CVSS的網絡脆弱性評估系統. 電子技術, 2009, 46(1):59-61.

[9] Yuille M, Illig T, Hveem K, et al. Laboratory management of samples in biobanks: European consensus expert group report. Biopreserv Biobank, 2010, 8(1):65-69.

[10] Huang SQ, Zhu XH. Risk assessment of digital library information assets based on ISO27001. Lib Inf Serv, 2006, 50(11):79-82, 120. (in Chinese)

黃水清, 朱曉歡. 基于ISO27001的數字圖書館信息資產風險評估. 圖書情報工作, 2006, 50(11):79-82, 120.

[11] Office of Biorepositories and Biospecimen Research, National Cancer Institute, National Institutes of Health, et al. NCI best practices for biospecimen resources. 2011. http://biospecimens.cancer.gov/bestpract ices/2011-NCIBestPractices.pdf.

上海交通大學醫學院“985工程”三期樣本庫項目（YBKL005）

郎濤，Email：davilangt@msn.com

2014-02-26

10.3969/cmba.j.issn.1673-713X.2014.03.014