医院信息系统安全性评估

检测项目

1.网络安全测试：防火墙配置、入侵检测系统、访问控制列表、网络分段策略、虚拟专用网安全、无线网络加密、网络设备 hardening、流量监控、协议分析、端口扫描等。

2.数据安全测试：数据加密传输、备份与恢复机制、隐私数据脱敏、数据完整性校验、存储介质安全、数据生命周期管理、数据库访问控制、数据泄露防护、数据分类策略、数据销毁流程等。

3.系统漏洞测试：操作系统补丁状态、应用程序漏洞扫描、配置错误检测、权限提升风险、默认账户安全、服务端口暴露、缓冲区溢出测试、输入验证缺陷、代码注入漏洞、跨站脚本攻击等。

4.应用安全测试：Web应用漏洞检测、API接口安全、会话管理机制、身份认证强度、输入输出过滤、错误信息处理、安全头设置、第三方组件风险、移动应用安全、业务逻辑漏洞等。

5.物理安全测试：机房访问控制、监控系统覆盖、环境防护措施、设备防盗机制、电源冗余配置、温度湿度监控、物理入侵检测、灾难恢复设施、介质存储安全、人员进出记录等。

6.人员安全意识测试：社会工程学攻击模拟、钓鱼邮件检测、密码策略合规、权限滥用监控、培训效果测试、内部威胁分析、行为审计跟踪、职责分离检测、应急演练参与、安全政策认知等。

7.应急响应测试：事件检测机制、响应流程验证、通信协议测试、数据恢复效率、业务中断时间、团队协作能力、文档完整性、演练场景覆盖、事后分析机制、改进措施落实等。

8.合规性检测：等级保护要求符合性、行业规范 adherence、法律法规 alignment、政策执行审计、标准实施验证、风险测试报告、安全控制有效性、记录保存合规、审计追踪完整性、整改措施跟踪等。

9.隐私保护测试：患者信息匿名化、 consent 管理机制、数据最小化原则、访问日志审计、第三方共享控制、跨境数据传输、隐私影响测试、数据主体权利、泄露通知流程、合规文档审查等。

10.业务连续性测试：系统冗余设计、故障切换机制、数据同步性能、备份恢复时间、服务级别协议验证、灾难恢复计划测试、资源可用性监控、负载均衡效果、容错机制验证、恢复点目标达成等。

11.身份和访问管理测试：多因素认证强度、单点登录安全、角色权限分配、账户生命周期管理、会话超时设置、登录尝试限制、密码复杂度规则、访问日志分析、特权账户监控、权限变更审计等。

12.安全日志和监控测试：日志收集完整性、实时告警机制、事件关联分析、存储容量测试、检索性能测试、合规报告生成、监控覆盖范围、异常行为检测、响应时间测量、系统集成效果等。

13.恶意软件防护测试：防病毒软件更新、恶意代码检测率、入侵防御效果、文件完整性监控、内存保护机制、网络层过滤、端点检测响应、隔离措施验证、更新策略执行、检测规则优化等。

14.数据备份与恢复测试：备份策略有效性、恢复数据完整性、备份介质安全、加密密钥管理、恢复流程效率、测试频率合规、异地存储验证、版本控制机制、数据一致性检测、恢复点测试等。

15.第三方服务安全测试：供应商安全审查、合同条款符合性、服务中断风险、数据共享协议、访问权限控制、监控集成能力、漏洞管理协作、应急响应协调、合规责任划分、风险测试共享等。

检测范围

医院信息管理系统、电子病历系统、医学影像存储与传输系统、实验室信息系统、药房管理系统、财务与人力资源系统、患者门户网站、远程医疗平台、移动医疗应用、医疗设备集成系统、临床决策支持系统、预约挂号系统、医疗保险结算系统、公共卫生报告系统、科研数据平台、云服务部署系统、物联网医疗设备、数据中心基础设施、网络交换设备、安全防护设备、存储备份系统、应用服务器等。

检测方法/标准

国际标准：

ISO/IEC 27001、ISO/IEC 27799、IEC 62443-3-3、NIST SP 800-53、ISO/IEC 15408、ISO/IEC 27002、ISO/IEC 27005、IEC 62304、ISO 14971、IEC 80001-1

国家标准：

GB/T 22239、GB/T 25070、GB/T 28448、GB/T 20984、GB/T 20271、GB/T 20272、GB/T 20273、GB/T 28447、GB/T 28449、GB/T 32919、GB/T 35273、GB/T 35274、GB/T 35275、GB/T 35276、GB/T 35277、GB/T 35278

检测设备

1.网络漏洞扫描器：自动化检测网络设备和服务漏洞；支持多种协议和平台，生成详细报告。

2.渗透测试平台：模拟多种攻击向量；测试网络和应用层安全，提供详细分析。

3.安全信息和事件管理系统：集中收集和分析安全日志；实时监控和告警，支持事件响应。

4.数据加密测试仪：验证数据传输和存储加密强度；测量加密算法性能，检测密钥管理漏洞。

5.身份认证强度测试工具：测试多因素认证机制；测试登录流程安全，模拟身份盗用。

6.物理安全监控设备：检测机房访问控制和环境参数；集成传感器和摄像头，记录入侵事件。

7.数据备份恢复测试系统：模拟备份和恢复流程；验证数据完整性和时间目标，测试介质可靠性。

8.恶意软件分析平台：检测和隔离恶意代码；分析行为特征，提供清除建议。

9.业务连续性模拟器：测试系统冗余和故障切换；模拟灾难场景，测试恢复能力。

10.合规性审计工具：自动化检测政策和标准符合性；生成审计报告，跟踪整改措施。

北京中科光析科学技术研究所【简称：中析研究所】

报告：可出具第三方检测报告(电子版/纸质版)。

检测周期：7~15工作日，可加急。

资质：旗下实验室可出具CMA/CNAS资质报告。

标准测试：严格按国标/行标/企标/国际标准检测。

非标测试：支持定制化试验方案。

售后：报告终身可查，工程师1v1服务。

注意:因业务调整,暂不接受个人委托测试,望谅解(高校、研究所等性质的个人除外).

CMA/CNAS等证书详情，因时间等不可抗拒因素会发生变更，请咨询在线工程师.