郎涛，周崇治，徐晓寅

    基于ISO27001体系的生物样本库信息风险评价

    郎涛，周崇治，徐晓寅

    201620 上海市第一人民医院实验中心

    ISO27001 标准前身为英国的 BS7799 标准，该标准由英国标准协会(BSI)于 1995 年 2 月提出，并于 1995 年 5 月修订而成。2005 年国际标准化组织(简称：ISO)将 BS7799 转化为 ISO27001：2005 发布，后由国际标准化组织及国际电工委员会(IEC)修订认可。我国 2008 年将 ISO27001:2005转化为国家标准 GB/T 22080:2008。该标准指出“像其他重要业务资产一样，信息也是一种资产。它对一个组织具有价值，因此需要加以合适地保护”[1]。信息安全防止信息受到各种威胁，以确保业务连续性，使业务受到损害的风险降至最低，使投资回报和业务机会最大。该标准包括对于信息安全管理的建议、信息安全管理系统领域中的风险及相关管控。本文将基于 ISO27001 标准中的信息安全风险评价方法，通过研究医院生物样本库的共性，开展信息风险评价工作。

    1 风险评价

    从 ISO27001 标准来看，风险评价包括整个风险分析及风险评价程序。风险分析包括识别信息来源和估计信息风险。风险评价是基于对一个已知的风险来判断风险严重程度。信息安全风险评价是根据信息安全技术和管理标准，对相关信息系统及通过系统处理的信息的安全属性进行评价的过程[2]。通过评价重要信息所面对的相关威胁，减少信息安全事故的可能性，并降低影响[3]。信息安全风险评价可为信息系统安全保障提供有效的管理依据。

    ISO27001 标准建立了风险评价的方法，并给出开展风险评价的相关步骤，流程分为：定义风险评价方法、判别风险、分析并评价风险[4]。

    虽然标准未给出开展风险评估的实际案例，但我们可以按照 ISO27001 有关指引，建立具有可行性的操作流程。

    2 生物样本库的功能框架

    生物样本库是一个分布式的大型信息库，即以分布式实体样本库为支撑，基于信息化技术的开放式资源库[5]。它是通过信息化来为临床科研提供保障。信息化生物样本资源、虚拟化检索以及远程化监控是生物样本库三大主要组成部分。生物样本库的最终目的就是将临床实体生物样本信息化，通过网络检索调取，实现样本信息的共享[6]。从功能框架来看，生物样本库构架分为 3 层。第一层是生物样本库的基础设施和基础平台；第二层是对象库和数据库；第三层是样本收集、样本管理和样本服务 ......