郎涛，周崇治，徐晓寅



基于ISO27001体系的生物样本库信息风险评价

郎涛，周崇治，徐晓寅

201620 上海市第一人民医院实验中心

ISO27001 标准前身为英国的 BS7799 标准，该标准由英国标准协会（BSI）于 1995 年 2 月提出，并于 1995 年 5 月修订而成。2005 年国际标准化组织（简称：ISO）将 BS7799 转化为 ISO27001：2005 发布，后由国际标准化组织及国际电工委员会（IEC）修订认可。我国 2008 年将 ISO27001:2005转化为国家标准 GB/T 22080:2008。该标准指出“像其他重要业务资产一样，信息也是一种资产。它对一个组织具有价值，因此需要加以合适地保护”[1]。信息安全防止信息受到各种威胁，以确保业务连续性，使业务受到损害的风险降至最低，使投资回报和业务机会最大。该标准包括对于信息安全管理的建议、信息安全管理系统领域中的风险及相关管控。本文将基于 ISO27001 标准中的信息安全风险评价方法，通过研究医院生物样本库的共性，开展信息风险评价工作。

1 风险评价

从 ISO27001 标准来看，风险评价包括整个风险分析及风险评价程序。风险分析包括识别信息来源和估计信息风险。风险评价是基于对一个已知的风险来判断风险严重程度。信息安全风险评价是根据信息安全技术和管理标准，对相关信息系统及通过系统处理的信息的安全属性进行评价的过程[2]。通过评价重要信息所面对的相关威胁，减少信息安全事故的可能性，并降低影响[3]。信息安全风险评价可为信息系统安全保障提供有效的管理依据。

ISO27001 标准建立了风险评价的方法，并给出开展风险评价的相关步骤，流程分为：定义风险评价方法、判别风险、分析并评价风险[4]。

虽然标准未给出开展风险评估的实际案例，但我们可以按照 ISO27001 有关指引，建立具有可行性的操作流程。

2 生物样本库的功能框架

生物样本库是一个分布式的大型信息库，即以分布式实体样本库为支撑，基于信息化技术的开放式资源库[5]。它是通过信息化来为临床科研提供保障。信息化生物样本资源、虚拟化检索以及远程化监控是生物样本库三大主要组成部分。生物样本库的最终目的就是将临床实体生物样本信息化，通过网络检索调取，实现样本信息的共享[6]。从功能框架来看，生物样本库构架分为 3 层。第一层是生物样本库的基础设施和基础平台；第二层是对象库和数据库；第三层是样本收集、样本管理和样本服务。其中，样本收集包含生物样本信息处理、数据标识、生物样本信息整合；样本管理涵盖生物样本管理、生物样本存储、生物样本检索；样本服务涵盖生物样本服务、用户管理和使用权管理。生物样本库作为一个服务性的大型综合管理信息系统，它的后台样本信息数据非常庞杂。各组成部分的信息是否具有可信度，意味着生物样本库能否可持续性发展，对生物样本库进行信息安全风险评价是防止信息受到各种威胁，以确保业务受到损害的风险降至最低[7]。

3 生物样本库开展信息风险评价前的准备工作

3.1 确定目标和范围

通过风险评价可保障临床研究者随时检索对他们有帮助的信息，满足生物样本库实时实现功能。而风险评价的范围应关注生物样本库中的生物样本收集、生物样本管理和生物样本服务中产生的信息。为确保评价的顺利开展，在实施评价前须获得相关部门的批准和支持。

3.2 选择团队和方法

开展风险评价需要挑选熟知业务流程的成员组建评价组。评价组应根据已收集信息的危险性程度给信息重要性、发生威胁可能性、脆弱区域赋权。然后通过定性法来区分危险性程度；用模拟风险权值估算风险程度。风险危险性程度 = 信息价值 × 发生威胁可能性 × 脆弱区域范围[8]。其中信息价值评价要根据重要性、可靠性、实用性给予赋权，发生威胁可能性和脆弱区域大小也要根据相应的领域给予赋权。

4 生物样本库信息的风险分析

4.1 信息判别

信息评价的起始点就是进行信息判别。开展风险评价的第一步，评价组成员要判别各岗位的重要信息。判别信息包括有形和无形，风险评价中信息价值要从重要性、可靠性和实用性这三个方面来衡量。

4.1.1 信息分类 针对生物样本库的信息化生物样本资源、虚拟化检索以及远程化监控等几个功能，在分类时可以把信息分为：样本数据、数据应用、设备设施、支持保障。

表 1 生物样本库的信息构成

具体内容见表 l。

当创建特定信息的列表时，可以相关业务流程为基础，判别业务流程的重要信息，也就是从生物样本收集、生物样本管理和生物样本服务等方面出发，来确定特定信息对业务可持续发展的重要性。

4.1.2 信息赋权 信息判别后，可以按照业务流程的特点赋权给信息。赋权标准可根据信息性质设定。举例来说生物样本信息的主要功能是供临床研究者检索查询，其保密性可以认为处于低保密状态，但应确认生物样本信息的可用性和完整性[9]。给生物样本信息此类重要信息赋权可参考下列赋权标准，详见表 2 ~ 4。

由于判断生物样本信息的价值需要详细的具体信息。表 5 以生物样本库的信息为例，每个方面选取一个信息赋予一个价值。

在“信息价值”层面我们根据安全性选取其最高的数值，以判断生物样本库中影响业务的关键信息，用于判别威胁和脆弱区域时给其赋权。

4.2 威胁判别

某些信息在面临各类信息安全威胁时总有不同的特殊性[10]。生物样本库是一个具有特殊性的依赖网络的信息化平台系统，它通过对生物样本信息进行整合为研究者提供样本信息服务；生物样本库的数据、实体安全等方面在威胁判别时都要给予重视。表 6 列出了信息安全的威胁分类。

4.3 脆弱区域判别

脆弱区域判别包括软硬件、自然界等各个方面，脆弱区域和威胁呈现多对多的关系，脆弱区域如被威胁利用可能会发生风险，影响生物样本库的业务持续性。

在生物样本库中，脆弱区域可包括如样本库数据系统存在漏洞、数据转换格式标准不一、研究者弱口令等问题。表 7 给出了脆弱区域和威胁联系表。

表 2 信息化样本保密性赋权标准

表 3 信息化样本完整性赋权标准

表 4 信息化样本可用性赋权标准

4.4 确认已有安全措施

在审查现已采取的安全措施后，应先保留有效措施，取消或更换无效的安全措施。然后再由风险评估小组开展估算风险工作，生物样本库在网络安全方面已有一定的安全措施，如在研究者访问方面有口令检查程序；获取生物样本信息会进行身份认证等[11]。

4.5 风险估算

4.5.1 风险估算 我们可通过上文的公式：信息风险危险性程度 = 信息价值 × 发生威胁可能性 × 脆弱区域范围来推断信息风险的危险性。另采用定性分级法来衡量信息价值、威胁、脆弱区域，一般分为 3 级。即信息价值定性 3 个层级，第一级赋权系数 1、第二级赋权系数 2、第三级赋权系数 3；威胁发生的可能性定性 3 个层级，威胁不太可能出现的情况作为第一级赋权系数 1、威胁有可能多次出现的情况作为第二级赋权系数 2、可能随时出现的威胁情况作为第三级赋权系数 3；脆弱区域定性 3 个层级，没有明显弱点的区域作为第一级赋权系数 1、发生非授权访问的区域作为第二级赋权系数 2、信息出现失控的区域作为第三级赋权系数 3。

表 5 信息价值赋权

表 6 信息安全的威胁分类

4.5.2 风险估算结果 信息价值、威胁与脆弱区域的具体值需由实际的生物样本库情况确定。通过给定赋权，上文在表 5 中给出了信息价值，再通过表8 中威胁及脆弱区域的赋权，通过公式进行风险值计算。

表 7 脆弱区域威胁联系表

表 8 信息威胁-脆弱区域风险分析

5 生物样本库信息风险评价

根据风险估算公式和相关确定的等级，可得出信息共有 3 × 3 × 3 = 27 个风险值。根据风险函数特性列成矩阵见表 9。

表 9 风险价值矩阵

按照风险价值，可以把风险定为 1 ~ 4 级，相对应风险值为第一级（1、2、3、4）；第二级（6、8、9）；第三级（12、18）；第四级（27）。

结合风险估算结果，参照风险价值划分，可以将生物样本库信息分级归类。“第一级”风险为可控；“第二级”风险需进行实时监控；“第三级”风险需采取行动降低风险；“第四级”风险需立即解决。通过表 8中 11 个项目的数值，可看出表中“第一级”风险 2 项，处于可接受状态；“第二级”风险 5 项，保证实时监控；“第三级”风险 4 项，通过相关行动可解决；“第四级”0 项，无需相关行动。

综上所述，对某一生物样本库信息面临的风险程度进行评价和分析，下一步风险评价小组可根据相关结论采取相应行动，确保信息风险不对生物样本库运行产生负面作用。

6 结语

本文旨在让读者了解如何在生物样本库领域有效运用 ISO27001 标准的理念及实施步骤，通过对生物样本库信息资产的风险评价来实施有效的风险管理。生物样本库信息安全管理是一个多层面、多因素动态过程，作者认为采纳 ISO27001 标准并进行信息安全评价是建立可靠的生物样本库重要的基础工作之一。

[1] International Organization for Standardization. ISO/IEC Guide 73:2002 Risk management -- Vocabulary -- Guidelines for use in standards. Genevan: International Organization for Standardization, 2002:8-9.

[2] Zhang ZH, Zhao DM.Information security management and risk assessment. Beijing: Publishing House of Electronics Industry, 2010: 123-129. (in Chinese)

张泽虹, 赵冬梅. 信息安全管理与风险评估. 北京: 电子工业出版社, 2010:123-129.

[3] Standardization Administration of the People's Republic of China. GB/T 20984-2007 Information security technology—Risk assessment specification for information security. Beijing: China Standard Press, 2007. (in Chinese)

中国国家标准化管理委员会. GB/T 20984-2007 信息安全技术信息安全风险评估规范. 北京: 中国标准出版社, 2007.

[4] Fan H. Information security risk assessment understanding and implementation of national standards specification. Beijing: China Standard Press, 2008:30-36. (in Chinese)

范红. 信息安全风险评估规范国家标准理解与实施. 北京: 中国标准出版社, 2008:30-36.

[5] China Medicinal Biotech Association biobank standards (Trial). Chin Med Biotechnol, 2011, 6(1):71-79. (in Chinese)

中国医药生物技术协会生物样本库标准(试行). 中国医药生物技术, 2011, 6(1):71-79.

[6] Li HB, Mao J, Liu MJ, et al. Build, optimization and application of genetic disease Biobank. Chin J Med Sci Res Manage, 2011, 24(6): 419-421. (in Chinese)

李海波, 毛君, 刘敏娟, 等. 遗传病生物样本库的建立、优化及应用. 中华医学科研管理杂志, 2011, 24(6):419-421.

[7] Guerin JS, Murray DW, McGrath MM, et al. Molecular medicine Ireland guidelines for standardized biobanking. Biopreserv Biobank, 2010, 8(1):3-63.

[8] Mao XX, Xu RS, Ding TC. A network vulnerability assessment system based on CVSS. Electron Technol, 2009, 46(1):59-61. (in Chinese)

毛欣欣, 许榕生, 丁天昌. 一种基于CVSS的网络脆弱性评估系统. 电子技术, 2009, 46(1):59-61.

[9] Yuille M, Illig T, Hveem K, et al. Laboratory management of samples in biobanks: European consensus expert group report. Biopreserv Biobank, 2010, 8(1):65-69.

[10] Huang SQ, Zhu XH. Risk assessment of digital library information assets based on ISO27001. Lib Inf Serv, 2006, 50(11):79-82, 120. (in Chinese)

黄水清, 朱晓欢. 基于ISO27001的数字图书馆信息资产风险评估. 图书情报工作, 2006, 50(11):79-82, 120.

[11] Office of Biorepositories and Biospecimen Research, National Cancer Institute, National Institutes of Health, et al. NCI best practices for biospecimen resources. 2011. http://biospecimens.cancer.gov/bestpract ices/2011-NCIBestPractices.pdf.

上海交通大学医学院“985工程”三期样本库项目（YBKL005）

郎涛，Email：davilangt@msn.com

2014-02-26

10.3969/cmba.j.issn.1673-713X.2014.03.014