首页 > 传媒 > 关键词 > 太美医疗科技最新资讯 > 正文

太美医疗科技:医药企业如何建立信息安全体系,防止信息泄露

2020-05-22 16:32 · 稿源:站长之家用户投稿

为什么要关注医药企业的信息安全?

近年来,在“互联网+”浪潮的席卷下,医药行业的信息化建设也开始驶入快车道。事实上,医药行业是一个最需要进行信息化建设和改造的行业,以药物临床试验为例,需要大样本量、高精细度的数据提供支持。传统方法是手动记录数据、纸质文件存档数据,而在信息化技术和互联网技术的加持下,如今已有不少医药企业开始采用信息化的方式进行数据采集、处理、分析及存储,这极大地提高了医药企业的研发和运营效率。技术的进步,带来了效率的提升,却也埋下了数据安全的隐患。尤其是其他行业不时爆出的信息泄露事件,向医药行业敲响了信息安全的警钟。医药作为关乎民生与健康的重要行业,在巨大商业利益的驱使下,医药企业的数据库面临来自内部威胁和外部威胁的双重包夹。一旦发生数据泄露,不仅影响医药企业的公众形象,给医药企业造成重大经济损失,甚至还会损害患者的个人利益。

2018 年 4 月,习总书记在全国网络安全和信息化工作会议上指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。随着国家关于网络安全相关法律法规的不断出台,数据安全的责任主体愈加明确,越来越多的医药企业开始关注并重视网络及信息安全。

本文,我们将对医药企业信息安全建设思路进行探讨,并给出药企信息化建设过程中信息安全建设的设计与落地建议的思考,帮助医药行业信息系统稳定运行。

01.药企信息建设的安全框架

“以人为本、技术驱动”,设计安全框架时不能仅考虑技术实现或仅考虑管理策略,我们认为两者是相辅相成缺一不可的,所以本文会通过“安全管理”、“安全技术”“安全合规”、“安全运营”四个维度来阐述整体安全建设思路。下图是我们梳理的医药企业信息安全体系建设图,供大家参考。

医药企业信息安全体系建设图

安全管理:架构明确,全员参与

02.安全管理是一个从上至下、全员参与、持续建设、不断完善的过程。医药企业要明确安全建设的决心,在公司管理层推动下,设立合理的安全组织架构:

  • 设立“安全管理委员会”,由公司管理层担任委员长,指导和决策公司整体安全建设方针;

  • 设立“安全执行组”,由安全和运维部门人员担任组长,下发和解释安全方针;

  • 设立“安全推动组”,由各部门安全接口人组成,落地安全方针至本部门。

这种从上而下的推动过程,可以有效的将安全方针贯彻执行,避免了“只喊口号不落地”的困境。我们都知道任何系统都是由人来维护的,所以针对“人”的管理是安全建设的重中之重。医药企业应该有完善的制度建设、SOP落地推动、遵循权限最小化原则申请和开通权限、各维度的例行化安全审计等等,通过安全管理的落地来引导和推动安全技术的落地。

03.安全技术:五大维度,全面保障参考等级保护要求,我们将从“数据安全”、“网络安全”、“主机安全”、“应用安全”、“物理安全”五个维度来描述安全技术在各维度中的融入。安全技术或安全产品方案在医药企业中的实施,其深度和广度并不是一成不变的,它需要结合企业的实际情况,磨合出一套适合企业现状的技术方法论。

关于数据安全在数据为王的时代,数据已经成为医药企业的核心资产之一,如何有效的进行数据保护,就变成了医药企业最关心的问题。我们建议医药企业在做数据资产的保护时,先要对数据进行分级分类,如级别可设置为“绝密”、“机密”、“秘密”、“内部公开”、“外部公开”五个等级,根据重要性原则将不同的类别数据匹配至不同的等级,最后针对分级分类后的数据开展不同力度的安全保护措施。我们这里想借信息安全三要素(保密性Confidentiality、完整性Integrity、可用性Availability,简称CIA)这三个维度,重点对数据安全进行阐述。

保密性

数据保密性指数据仅在授权范围内使用,确保不会造成非授权的访问或泄露,假设当发生数据被泄露,非授权用户也无法读懂被泄露的数据。从数据加密存储角度考虑,对于密码类不需要明文使用的敏感数据,我们建议使用SHA-2 + SALT的方式进行加密存储,对于用户身份信息等敏感数据,建议选择对称加密算法进行加密,而对称加密算法最重要的一点是考虑如何有效管理密钥,我们分享一张我们团队关于密钥分发管理的架构设计图,通过二层密钥管理实现密钥安全使用和分发:

密钥分发管理架构设计图

从数据授权访问角度考虑,我们建议使用堡垒机+跳板机的模式对数据进行访问管理,做到最小化授权、所有操作行为可审计;从桌面数据防泄密角度考虑,我们建议医药企业梳理出可泄露途径,针对可泄露途径选择性实施桌面DLP、网络DLP或者对指定文档加密。

完整性

数据完整性我们指确保数据在使用和传输过程中,原始数据不被未授权访问、篡改或破坏,保障数据的唯一性。从数据传输角度考虑,我们建议应使用有加密传输功能的协议或保障唯一性的方法,如https、vpn、token等,确保传输数据加密或防止恶意重放;从数据审计角度考虑,我们建议日志至少满足存储 6 个月以上,审计应该变成一个常态化的过程,通过出具周报、月报等审计报告的模式,逐步完善审计策略、逐步对发现的问题进行事件响应。

可用性

数据可用性我们指确保授权用户可以及时有效获取相应数据,当发生灾难事故时,有能力及时恢复数据,确保能及时提供服务。从数据灾备角度考虑,我们建议医药企业应该明确建立数据备份机制以及数据定期恢复演练。我们可以根据药企的实际情况,考虑建设同城灾备、异地灾备、两地三中心等建设方案。两地三中心是在有一定条件基础上比较推荐的容灾方案,即同城双活的基础上,再建设异地灾备中心,确保数据的完整可用。

网络安全

基于权限最小化原则,医药企业应合理管理网络边界,所有的对外出口均仅因业务需要,且发布过程需要经安全部门审批验证其安全性和合理性,当发生业务需要但是违背安全原则的情况时,安全部门应协同业务部门沟通“安全例外”方案,共同出具其他辅助性措施以加强例外情况的相对安全性。针对网络层的安全事件,药企可考虑部署态势感知类产品,全面知晓网络间安全动态,将风险和隐患控制在最小范围。

主机安全

安全部门应提供合理的安全基线版本如操作系统基线配置、中间件基线配置、数据库基线配置、安全开发基线标准等,运维和开发将系统发布上线前需满足的安全基线要求,同时需建立基线巡检机制,当发现未满足基线要求或新出高危补丁时,需及时提出整改意见。

应用安全

微软曾提出建立SDL(Security Development Lifecycle)的管理模式,即安全开发生命周期的管理,要求项目在立项初期即融入安全因素,在立项、测试、发布、响应的各环节均有安全参与,并且经安全评估项目符合安全要求后,才可发布上线,这是因为事前的修复成本要远远低于事后修复;同时安全团队需要定期对应用进行漏洞扫描和手工渗透测试。我们建议针对线上应用上线WAF(Web Application Firewall),可有效抵御绝大部分针对WEB应用的攻击。每个企业情况不同,所以需要磨合出一套符合自身企业的SDL管理措施。

物理安全

出于自建机房的成本和云环境的便利性考虑,我们不在本文中扩展物理安全的具体要求,如有机房建设需求,可参考《电子信息系统机房设计规范》(GB 50174-2008)。

安全合规:应满足所在国或地区的相关法规要求

根据企业业务地区覆盖不同,企业应满足相关国家、地区法律法规要求,如《中华人民共和国网络安全法》、《GDPR》、《HIPPA》、《CFR part 11》等;同时为了提升安全合规性,可考虑参照ISO27000 系列、等级保护、可信云等认证要求进行建设并且获取相应资质;相关的系统设备验证可以参考GAMP5 指南等等。

安全运营:谨记木桶原理

安全建设的评估遵循木桶理论,即安全水平的高低取决于安全最薄弱的环节,所以安全需要一个持续运营的过程,通过“风险识别”、 “风险处置”、“风险监控”、“措施优化”形成一个闭环,持续提升企业整体信息安全水平。

关于太美医疗科技信息安全团队

太美医疗科技信息安全团队以“保障用户数据安全”为核心目标,在数据收集、数据传输、数据存储、数据使用、数据销毁的生命周期中,执行严格的数据安全治理整体方案。我们坚持“事前预警”、“事中处置”、“事后响应”的原则进行安全管理。基于SDL和GAMP5 方法论对软件产品进行验证;在相关产品系统(如EDC, ETMF等)的设计和实施中,基于权限最小化原则分配和管理;基于网络隔离、堡垒机、VPN、DDOS防护、漏洞扫描、WAF、数据库审计等安全产品和方案提升防护能力;基于“两地三中心”的架构保障系统稳定运行;基于自动化的设计、开发、运维、监控、响应能力建立完善的安全监控响应体系。

目前太美医疗科技获得ISO9001、ISO27001、ISO20000- 1 认证、公安部等级保护三级认证和可信云企业级 SaaS 认证。在完善的信息安全管理体系、成熟的运营机制、优质的产品和服务的支撑下,坚守“让好药触手可及”的使命,助力加快新药研发和上市步伐,促进药品可及性、保障患者用药安全!

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 维星医疗科技与钛米机器人达成合作,发力海外市场

    6月15日,上海钛米机器人股份有限公司与新加坡NOVENA GLOBAL LIFECARE(维星医疗科技)在上海签订合作协议,双方将围绕产品产销、AI医疗等业务开展深度合作。图:钛米机器人CEO潘晶(左)维星医疗科技联席CEO庄威(右)双方表示,此次合作将推进现有业务发展,加速钛米机器人品牌在新加坡及亚太地区的布局,并将持续聚焦在智慧医疗服务领域,为患者、消费者提供更便利、高效、安全的服务,在未来双方还将继续扩展合作的深度和广度,共同打造更智能

  • 大统医疗科技与湖南大学举行科研战略合作启动仪式,并在多领域展开深度合作!

    6 月 5 日下午,【大统医疗科技】与【湖南大学】举行了科研战略合作启动仪式!双方围绕口罩新材料研发、防疫物资的市场运用以及数据智能化创新等展开了讨论,双方将全面打造智慧化防疫中心,形成华中防疫物资产业的集聚示范!本次启动仪式由大统医疗科技总经理谢孟洁女士主持,同时邀请到了湖南大学黄靓教授、岳麓书院贺院长、湖南省政协委员、加州大学吴迪博士、北大李梓维博士、中国第一批保荐人唐劲松先生等人参加会议,双方就人?

  • 从全民医疗到全民健康,健康科技企业价值凸显

    今年全国两会期间,“医疗健康”无疑是一个高频词,圈内的院士、院长、科学家,圈外的马化腾、李彦宏、杨元庆等企业家,都纷纷对当前中国医疗健康领域亟待解决的问题发表建言。除了建议加强公共卫生医疗应急体系建设,许多人大代表也提出促进大健康产业发展的新方案,可见加快从全民医疗向全民健康转变,奋力推进健康中国战略已成为全社会的战略共识。 聚焦两会之余,卫生健康相关法律法规的贯彻实施也值得广泛关注。据悉,去年年

  • 企业视频彩铃:广告黑科技为企业新营销赋能

    2016年,Papi酱三分钟“内容创业”收获的上亿估值和千万级广告费用,不仅展示出Papi酱当时的顶流地位,更让短视频一夜崛起火遍全网。之后,伴随着一南一北快手抖音15秒“扎根”网民日常生活,短视频发展的碎片化秩序越发明显,市场呈现出多极化竞争局面。企业视频彩铃业务,正是短视频技术和市场嫁接下的产物。背靠手握十亿级用户的运营商,企业视频彩铃的起点有着其它短视频应用无法比拟的高度。在用户即流量、流量即商机的营销时代,企业?

  • 这个科技美妆企业在特殊时期实现逆势增长

    前段时间,伽蓝集团股份有限公司董事长兼总裁——郑春颖先生接受了人民日报《问道》节目的采访,分享了伽蓝集团在危局中扶持伙伴迎难而上,在把握机遇、迎来转机的故事,让大家对这个致力于科技美妆的企业有了更深入的认识。伽蓝集团董事长兼总裁郑春颖科技美妆伽蓝集团:疫情期间彰显企业社会责任担当采访中提到了科技美妆企业伽蓝集团在疫情第一时间向社会贡献出自己的一份力量,除了捐赠医疗物资,还充分发挥自身在皮肤护理上的

  • 价值医疗时代,仁树医疗如何构建让患者和医生都安心的国际化医疗平台?

    价值医疗一词最早兴起于美国,由美国哈佛大学Michael Porter教授提出,是指以患者为中心,在一定成本下,创造最优的医疗价值。而在今天的中国,价值医疗是导向高效率、高质量医疗体系的必然趋势。价值医疗追求的是最高性价比的医疗,医疗价值不仅指向医疗效果,还包括患者体验、医务工作者的体验、治疗的便捷性。目前,价值医疗在国内的探索正处于火热阶段,如何真正落地价值医疗,真正让患者获益?来自杭州的眼耳鼻喉专科医院-仁树医疗,落地?

  • 维修网站iFixit分享呼吸机等设备维修教程:遭医疗企业举报侵权

    经常关注拆解新闻的朋友,对iFixit定然不陌生。实际上,iFixit涉足的领域非常广,不仅仅限于手机、平板、笔记本等。在今年新冠肺炎疫情期间,iFixit更是广泛发布和上传了有关呼吸机、医疗设备

  • 专注移动医疗应用,就是销邦M8Y医疗PDA

    医疗与民生紧密相连,医护人员忙碌沉重的工作压力,急需科技创新分担解忧。物联网时代下借助信息化移动设备,提升医疗行业管理水平,帮助医院高效运转,医护者更周全为病人服务,同时带来优质就医体验。 深入行业,洞察所需 推动智慧医疗建设销邦一直在努力!这一次,基于医疗行业特有属性,销邦沿袭PDA的传统优势创造性的做出更贴心设计,销邦M8Y,理想匹配医疗行业应用场景,专属定制超轻大屏PDA,纯净登场! 白衣天使的“白”+纯

  • 工信部公示《科技抗疫表现突出的人工智能企业》,普渡科技抗疫表现突出

    6 月 19 日,中国工业和信息化部科技司公布《在科技支撑抗击新冠肺炎疫情中表现突出的人工智能企业》名单(排名不分先后),以示对科技抗疫的人工智能企业的肯定和鼓励。普渡科技因用智能技术在防疫抗疫中发挥了积极作用,有效践行了企业社会责任,取得了良好社会效果,有效践行了企业社会责任,荣登本次名单前列。2020 年 2 月 4 日,工业和信息化部科技司向社会发布了《充分发挥人工智能赋能效用 协力抗击新冠疫情的倡议书》。普渡

  • 助力中小型企业 联想企业科技集团推出ThinkServer TS80X服务器

    6 月 10 日,联想企业科技集团宣布推出新款塔式服务器Lenovo ThinkServer TS80X,持续以客户为中心赋能中小企业数字化转型。作为联想ThinkServer家族的最新成员,TS80X将完整强悍的服务能力精炼至18.5L的小巧身材中,旨在以最高性价比成为中小企业客户入门级服务器的不二之选。联想ThinkServer TS80X塔式服务器中小企业成中国经济脊梁 数字化转型助力度过难关在中国,中小企业的地位正变得越来越重要,数据显示,目前我国的中小企?

  • 医疗AI临床验证大势所趋,深透医疗引领影像AI全球全产业链落地

    新冠疫情的席卷下,不少国家将公共卫生安全上升到国家战略的高度,全球的AI医疗产业也在全面加速。就在最近,深透医疗的PET医学影像临床研究被 2020 年全球核医学与分子影像学会(SNMMI)年会选为全员会议(Plenary Lecture)的亮点研究(feature study)。此次研究与上海第九人民医院合作进行,将由哈佛影像中心的主任Georges El Fakhri在会上作宣讲。今年的SNMMI年会将于 7 月举办,SNMMI年会是世界核医学和分子成像领域首屈一指的科研

  • BAT、云从科技等79家参加抗击疫情的企业受到工信部表扬

    2020 年即将过半,在连续 56 天无本地新增确诊病例后,北京市却迎来了第二波疫情风险。在全国乃至全球共同抗击疫情中,人工智能技术人工智能作为引领新一轮科技革命和产业变革的重要技术,发挥了科技防疫的支撑作用。为此, 6 月 19 日,工业和信息化部科技司公布了在科技支撑抗击新冠肺炎疫情中表现突出的人工智能企业名单,其中包含云从科技、BAT、京东、平安科技、科大讯飞、商汤科技等一批知名互联网及AI科技企业,以示肯定和?

  • 互融云 聚焦广州“监管沙盒”试点企业金融科技发展

    为贯彻落实《中国人民银行 中国银行保险监督管理委员会 中国证券监督管理委员会 国家外汇管理局关于金融支持粤港澳大湾区建设的意见》(银发〔2020〕 95 号),推进广州市地方金融“监管沙盒”试点工作有序开展,广州市地方金融监管局于 6 月 5 日印发《广州市地方金融“监管沙盒”试点工作实施意见》(穗金融〔2020〕 17 号)。据了解,“监管沙盒”是运用金融科技手段及相关制度设计,为暂未实施应用的创新型金融产品、服务、业?

  • 来电科技携手B FAMILY等爱心企业,致敬抗疫一线守护者

    5 月 29 日,三个特殊的快闪爱心守护站在广州花城汇购物中心拔地而起,站内摆满美食饮品、伴手礼和写满祝福语的留言板,吸引无数人停下脚步伫立许久。这场主题为“滚蛋吧!COVID-19(全称: 2019 年新型冠状病毒) 谢谢您我们的守护者”公益活动由来电科技携手B FAMILY主导,邀请各大爱心企业共同举办,用爱的礼物回馈坚守在疫情防控一线的平凡英雄,为他们温暖充电!致敬英雄,平凡人带来最多感动2020 年,一场突如其来的疫情让全

  • 京东健康与西门子医疗达成合作 共建非公医疗健康生态

    【TechWeb】7月1日消息,日前京东健康与医疗科技公司西门子医疗通过线上签约仪式签署合作协议。据悉,双方将聚焦医疗器械及大型医疗设备领域,基于各自的能力和资源,助力非公医疗机构服务能力的提升,共同建设更加完善的、覆盖诊前诊中诊后全流程的非公医疗健康生态。根据官方的介绍,京东健康与西门子医疗此次合作的目标,是打通患者端与非公医疗机构端。基于京东的医药电商、互联网医疗和金融、物流等能力,加上西门子医疗产品

  • 六成医疗工作者有意离职 丁香人才首发医疗人才行业报告

    6 月 15 日,丁香人才对 2019 年医疗人才的职业发展、薪资报酬等方面进行调研,发布《 2020 医疗行业人才发展报告合集》。报告覆盖全国各级城市和乡镇、各级医院不同职称的医护人员和医院管理层,超过 1400 家医疗机构与 4000 名从业者参与调研。报告显示,57.9%的医疗人才表露出寻求新机会的意愿,但实际离职率并不高;薪资不满意、晋升道路受阻、工作强度大成为导致医疗人才离职的三大原因; 2019 年医疗人才跳槽期望的平均涨薪幅?

  • 玖富新思维“六化”系列之科技化:AI科技为中小微企业发展护航

    6 月 1 日,中国人民银行、银保监会、财政部、发展改革委、工业和信息化部联合印发《关于进一步对中小微企业贷款实施阶段性延期还本付息的通知》和《关于加大小微企业信用贷款支持力度的通知》,进一步对中小微企业贷款延期还本付息,加大小微企业信用贷款支持力度,强化稳企业保就业金融支持。目前,新冠肺炎疫情仍在全球蔓延,我国已率先进入全面复工复产时期。今年政府工作报告没有提出全年经济增速具体目标,但明确要引导各方?

  • 联手河南中医药大学,宛西制药召开大品种培育论证会

    天智颗粒大品种培育专家论证会于2020年6月13日在仲景宛西郑州总部召开,河南中医药大学副校长、河南省教育厅学术技术带头人徐江雁教授、河南中医药大学中医药科学院院长张振强教授、仲景宛西制药研发总经理高松等参会。徐江雁校长做指导发言,他表示学院深入企业了解发展需求,有利于从科研、临床、学术推广角,促进研究成果快速转化为市场力,还可促进学校在人才培养、科学研究、教学等方面更接地气,更好为社会经济发展助力。张?

  • “科技欣说”百家号有什么作用?企业品牌必须知道的推广渠道

    备注:本文数据来自站长之家移动传媒平台,文章涉及的数据依托平台大数据计算所得,非百度官方数据,仅供参考。科技欣说是当前百家号中的普通号,目前账号百家号权重为2,综合排名位列573642名,科技分类排名位列26045名,领先了48.6%的百家号。 科技欣说百家号概况 科技欣说的简介为科技爱上生活,让生活美好!,是一家主旨明确、领域专注的自媒体作者,截止目前为止他们已经在百家号上发布了超过7篇的游戏内容,最近该作者创作的

  • 艾德一站通:康基医疗、海吉亚招股仅剩1天,抓紧港股医疗上市潮!

    摘要:康基医疗、海吉亚火热招股中,速来艾德一站通参与 10 倍融资打新! 电商概念股这两天表现异常强劲,如美股的拼多多(PDD.US)、京东(JD.US)纷纷创出了历史新高。这为在港股上市的京东(09618.HK)提供了一个较好的市场氛围。 据京东发布公告显示,此次IPO净筹资297. 71 亿港元,全球发行1. 33 亿股,香港上市面向散户发行部分获得177. 9 倍超额认购,或将是今年以来港交所最大规模的新股发行。 值得注意的是,美股京东于 6 月 16

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天