首页 > 传媒 > 关键词 > 太美医疗科技最新资讯 > 正文

太美医疗科技:医药企业如何建立信息安全体系,防止信息泄露

2020-05-22 16:32 · 稿源:站长之家用户投稿

为什么要关注医药企业的信息安全?

近年来,在“互联网+”浪潮的席卷下,医药行业的信息化建设也开始驶入快车道。事实上,医药行业是一个最需要进行信息化建设和改造的行业,以药物临床试验为例,需要大样本量、高精细度的数据提供支持。传统方法是手动记录数据、纸质文件存档数据,而在信息化技术和互联网技术的加持下,如今已有不少医药企业开始采用信息化的方式进行数据采集、处理、分析及存储,这极大地提高了医药企业的研发和运营效率。技术的进步,带来了效率的提升,却也埋下了数据安全的隐患。尤其是其他行业不时爆出的信息泄露事件,向医药行业敲响了信息安全的警钟。医药作为关乎民生与健康的重要行业,在巨大商业利益的驱使下,医药企业的数据库面临来自内部威胁和外部威胁的双重包夹。一旦发生数据泄露,不仅影响医药企业的公众形象,给医药企业造成重大经济损失,甚至还会损害患者的个人利益。

2018 年 4 月,习总书记在全国网络安全和信息化工作会议上指出,“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障”。随着国家关于网络安全相关法律法规的不断出台,数据安全的责任主体愈加明确,越来越多的医药企业开始关注并重视网络及信息安全。

本文,我们将对医药企业信息安全建设思路进行探讨,并给出药企信息化建设过程中信息安全建设的设计与落地建议的思考,帮助医药行业信息系统稳定运行。

01.药企信息建设的安全框架

“以人为本、技术驱动”,设计安全框架时不能仅考虑技术实现或仅考虑管理策略,我们认为两者是相辅相成缺一不可的,所以本文会通过“安全管理”、“安全技术”“安全合规”、“安全运营”四个维度来阐述整体安全建设思路。下图是我们梳理的医药企业信息安全体系建设图,供大家参考。

医药企业信息安全体系建设图

安全管理:架构明确,全员参与

02.安全管理是一个从上至下、全员参与、持续建设、不断完善的过程。医药企业要明确安全建设的决心,在公司管理层推动下,设立合理的安全组织架构:

  • 设立“安全管理委员会”,由公司管理层担任委员长,指导和决策公司整体安全建设方针;

  • 设立“安全执行组”,由安全和运维部门人员担任组长,下发和解释安全方针;

  • 设立“安全推动组”,由各部门安全接口人组成,落地安全方针至本部门。

这种从上而下的推动过程,可以有效的将安全方针贯彻执行,避免了“只喊口号不落地”的困境。我们都知道任何系统都是由人来维护的,所以针对“人”的管理是安全建设的重中之重。医药企业应该有完善的制度建设、SOP落地推动、遵循权限最小化原则申请和开通权限、各维度的例行化安全审计等等,通过安全管理的落地来引导和推动安全技术的落地。

03.安全技术:五大维度,全面保障参考等级保护要求,我们将从“数据安全”、“网络安全”、“主机安全”、“应用安全”、“物理安全”五个维度来描述安全技术在各维度中的融入。安全技术或安全产品方案在医药企业中的实施,其深度和广度并不是一成不变的,它需要结合企业的实际情况,磨合出一套适合企业现状的技术方法论。

关于数据安全在数据为王的时代,数据已经成为医药企业的核心资产之一,如何有效的进行数据保护,就变成了医药企业最关心的问题。我们建议医药企业在做数据资产的保护时,先要对数据进行分级分类,如级别可设置为“绝密”、“机密”、“秘密”、“内部公开”、“外部公开”五个等级,根据重要性原则将不同的类别数据匹配至不同的等级,最后针对分级分类后的数据开展不同力度的安全保护措施。我们这里想借信息安全三要素(保密性Confidentiality、完整性Integrity、可用性Availability,简称CIA)这三个维度,重点对数据安全进行阐述。

保密性

数据保密性指数据仅在授权范围内使用,确保不会造成非授权的访问或泄露,假设当发生数据被泄露,非授权用户也无法读懂被泄露的数据。从数据加密存储角度考虑,对于密码类不需要明文使用的敏感数据,我们建议使用SHA-2 + SALT的方式进行加密存储,对于用户身份信息等敏感数据,建议选择对称加密算法进行加密,而对称加密算法最重要的一点是考虑如何有效管理密钥,我们分享一张我们团队关于密钥分发管理的架构设计图,通过二层密钥管理实现密钥安全使用和分发:

密钥分发管理架构设计图

从数据授权访问角度考虑,我们建议使用堡垒机+跳板机的模式对数据进行访问管理,做到最小化授权、所有操作行为可审计;从桌面数据防泄密角度考虑,我们建议医药企业梳理出可泄露途径,针对可泄露途径选择性实施桌面DLP、网络DLP或者对指定文档加密。

完整性

数据完整性我们指确保数据在使用和传输过程中,原始数据不被未授权访问、篡改或破坏,保障数据的唯一性。从数据传输角度考虑,我们建议应使用有加密传输功能的协议或保障唯一性的方法,如https、vpn、token等,确保传输数据加密或防止恶意重放;从数据审计角度考虑,我们建议日志至少满足存储 6 个月以上,审计应该变成一个常态化的过程,通过出具周报、月报等审计报告的模式,逐步完善审计策略、逐步对发现的问题进行事件响应。

可用性

数据可用性我们指确保授权用户可以及时有效获取相应数据,当发生灾难事故时,有能力及时恢复数据,确保能及时提供服务。从数据灾备角度考虑,我们建议医药企业应该明确建立数据备份机制以及数据定期恢复演练。我们可以根据药企的实际情况,考虑建设同城灾备、异地灾备、两地三中心等建设方案。两地三中心是在有一定条件基础上比较推荐的容灾方案,即同城双活的基础上,再建设异地灾备中心,确保数据的完整可用。

网络安全

基于权限最小化原则,医药企业应合理管理网络边界,所有的对外出口均仅因业务需要,且发布过程需要经安全部门审批验证其安全性和合理性,当发生业务需要但是违背安全原则的情况时,安全部门应协同业务部门沟通“安全例外”方案,共同出具其他辅助性措施以加强例外情况的相对安全性。针对网络层的安全事件,药企可考虑部署态势感知类产品,全面知晓网络间安全动态,将风险和隐患控制在最小范围。

主机安全

安全部门应提供合理的安全基线版本如操作系统基线配置、中间件基线配置、数据库基线配置、安全开发基线标准等,运维和开发将系统发布上线前需满足的安全基线要求,同时需建立基线巡检机制,当发现未满足基线要求或新出高危补丁时,需及时提出整改意见。

应用安全

微软曾提出建立SDL(Security Development Lifecycle)的管理模式,即安全开发生命周期的管理,要求项目在立项初期即融入安全因素,在立项、测试、发布、响应的各环节均有安全参与,并且经安全评估项目符合安全要求后,才可发布上线,这是因为事前的修复成本要远远低于事后修复;同时安全团队需要定期对应用进行漏洞扫描和手工渗透测试。我们建议针对线上应用上线WAF(Web Application Firewall),可有效抵御绝大部分针对WEB应用的攻击。每个企业情况不同,所以需要磨合出一套符合自身企业的SDL管理措施。

物理安全

出于自建机房的成本和云环境的便利性考虑,我们不在本文中扩展物理安全的具体要求,如有机房建设需求,可参考《电子信息系统机房设计规范》(GB 50174-2008)。

安全合规:应满足所在国或地区的相关法规要求

根据企业业务地区覆盖不同,企业应满足相关国家、地区法律法规要求,如《中华人民共和国网络安全法》、《GDPR》、《HIPPA》、《CFR part 11》等;同时为了提升安全合规性,可考虑参照ISO27000 系列、等级保护、可信云等认证要求进行建设并且获取相应资质;相关的系统设备验证可以参考GAMP5 指南等等。

安全运营:谨记木桶原理

安全建设的评估遵循木桶理论,即安全水平的高低取决于安全最薄弱的环节,所以安全需要一个持续运营的过程,通过“风险识别”、 “风险处置”、“风险监控”、“措施优化”形成一个闭环,持续提升企业整体信息安全水平。

关于太美医疗科技信息安全团队

太美医疗科技信息安全团队以“保障用户数据安全”为核心目标,在数据收集、数据传输、数据存储、数据使用、数据销毁的生命周期中,执行严格的数据安全治理整体方案。我们坚持“事前预警”、“事中处置”、“事后响应”的原则进行安全管理。基于SDL和GAMP5 方法论对软件产品进行验证;在相关产品系统(如EDC, ETMF等)的设计和实施中,基于权限最小化原则分配和管理;基于网络隔离、堡垒机、VPN、DDOS防护、漏洞扫描、WAF、数据库审计等安全产品和方案提升防护能力;基于“两地三中心”的架构保障系统稳定运行;基于自动化的设计、开发、运维、监控、响应能力建立完善的安全监控响应体系。

目前太美医疗科技获得ISO9001、ISO27001、ISO20000- 1 认证、公安部等级保护三级认证和可信云企业级 SaaS 认证。在完善的信息安全管理体系、成熟的运营机制、优质的产品和服务的支撑下,坚守“让好药触手可及”的使命,助力加快新药研发和上市步伐,促进药品可及性、保障患者用药安全!

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 真拼!为做好医药补助工程,这家药企拿出所有热销产品

    恩威药业放大招了,竟然拿出公司全部热销产品补贴贫困群体,为什么这么拼呢?原来今年 5 月,恩威医药入选了“健康中国? 医药补助工程”,它是与京东健康达成合作的首批 11 家健康扶贫药企之一。“健康中国? 医药补助工程”是京东健康联合中国社会扶贫网、京东公益发起的健康扶贫项目,旨在为解决农村贫困人口门诊用药、常备用药医保内无法报销,部分贫困地区人口用药难、用药贵等实际问题。(恩威药业入选“健康中国医药补助工程”?

  • 药师帮迎来"互联网+医药"新风口,众药企争相进场

    近年来,随着医药电商相关政策不断松绑,医药电商发展得如火如荼。作为医药流通行业的移动互联网代表平台,药师帮深谙互联网"数字化"、"在线化"的发展特征,从创立起便一直深耕药品B2B交易平台,不仅为终端药店、诊所、卫生站提供丰富的药品信息、专业的用药知识、便捷的采购服务,还将互联网"数字化"的特征创新融入了医药流通领域。2020 年以来,药师帮更主动为上游供应商以及下游终端药店、诊所提供完善的在线化、数据化支持,创

  • 医疗科技潜力股众安在线“上位” 发行6亿美元境外高级债券

    7 月 6 日,众安在线发布盈喜公告,称 2020 年上半年净利润增长不低于 100%; 7 月 10 日,众安在线再传好消息,公告称公司于 7 月 9 日成功发行了高达 6 亿美元境外高级无抵押票据,账簿峰值认购超 6 倍;众安在线公告连发,释放什么信号?众安在线,一个医疗科技新秀正在崛起作为中国第一家互联网保险企业,众安在线一直以来致力实践“保险+科技”的长期战略,并积极挖掘保险科技巨大的应用前景及市场潜力。其实,众安在线不仅仅

  • 艾德证券| 港股打新:泰格医药即将招股,或成今年亚洲规模最大医疗IPO

    摘要:继康龙化成和药明康德后,现又有CRO龙头企业选择“A+H”模式上市。 据港交所「披露易」网站的资料,临床药物研发外包服务(CRO)领域龙头——杭州泰格医药科技股份有限公司(简称“泰格医药”,A股代码“300347.SZ”)已刊登了聆讯后资料集,意味其已通过上市聆讯。 据市场消息称,泰格医药本次计划集资 10 亿至 15 亿美元( 78 亿至 115 亿港元),或将成为今年年内亚洲规模最大的医疗IPO,美银证券、海通国际、中信证券、

  • 丁香园发布企业业务战略,打造医药数字化生态

    7 月 30 日,DXY Healthcare Convention(以下简称DHC)在上海召开,这是专业互联网医疗平台丁香园针对医药行业的年度盛会,汇聚来自医药领域的意见领袖、企业高管、行业专家等,通过主题演讲、圆桌论坛等方式,共同探讨在“新常态”下的医药数字化营销新模式及行业挑战应对之道。丁香园创始人及董事长李天天、波士顿咨询董事合伙人陈白平发表演讲,讲述疫情期间及后疫情时代的医药行业数字化趋势及启示;丁香园副总裁初洋正式发布全?

  • 恒瑞医药大力研发投入换来硕果累累

    《电鳗财经》文 / 米莱恒瑞医药(600276.SH)新研药品将迎来爆发期,该公司仅在 7 月份至少有 8 款药品收到了国家药监局核发的《药物临床试验批准通知书》。尽管今年一季度该公司的业绩增长并不惊人,但持续大力度的研发投入会让该公司的业绩增长走的更远。8 款药品临床获批 一季度增长波澜不惊7 月 23 日晚间,恒瑞医药发布公告,公司及子公司苏州盛迪亚生物医药有限公司、上海恒瑞医药有限公司近日收到国家药品监督管理局核准签发?

  • 艾德证券|港股投资:两家创新生物药企要上市!云顶新耀、艾迪康拟赴港IPO

    在医疗健康作为逆周期板块于资本市场中脱颖而出之际,又有来自中国浙江的两家生物科技企业,预计赴港上市了。 据外媒报道,来自浙江嘉兴的中国生物制药企业——云顶新耀(EverestMedicines)、来自浙江杭州的第三方医学检验行业龙头——艾迪康医学(Adicon)均正与财务顾问商讨潜在上市计划,并预计在香港上市。 特别提醒:为了助力投资者参与港股打新,艾德证券期货特别推出了艾德新用户重磅活动,开户、入金、打新均有丰厚福利?

  • 和鲸科技通过科技部火炬中心高新技术企业认证

    前不久,上海和今信息科技有限公司(简称“和鲸科技”)顺利通过了科技部火炬中心高新技术企业认证 高新技术企业是指在国家颁布的《国家重点支持的高新技术领域》范围内,持续进行研究开发与技术成果转化,形成企业核心自主知识产权,并以此为基础开展经营活动的企业,是知识密集、技术密集的经济实体。企业研究开发组织管理水平、科技成果转化能力、自主知识产权数量、销售与总资产成长性等指标需要符合《高新技术企业认定管理工

  • 京东大药房携合作药企发力品类共建 精细化运营满足消费者健康需求

    近年来,医药电商蓬勃发展,为传统制药企业提供了更为广阔的增长空间。特别是疫情期间,以京东大药房为代表的医药电商平台发挥了重要的作用,“足不出户、送药上门”改变了传统的购药模式。医药电商基于互联网能力和资源所打造的完整医药服务生态,更让制药企业看到了转型升级的更大可能。随着越来越多药企的“触网”,如何精细化运营以提高营销效率、增加用户粘性等,已成为整个传统医药行业的必答题。7 月 27 日,恩威医药股份有

  • 李西廷:加快科技创新步伐,才是企业生存之道

    现如今医疗器械行业蓬勃发展,涌现出了很多相关的企业,在激烈的竞争中,迈瑞医疗脱颖而出、拔得头筹,凭借着强大的品牌力和产品力,深受广大消费者的欢迎,占据了相当大的市场份额。迈瑞医疗是中国最大、全球领先的医疗器械以及解决方案供应商,成立于 1991 年,至今已经走过近 30 个年头,企业主要产品覆盖三大领域:生命信息与支持、体外诊断以及医学影像,拥有国内同行业中最全的产品线,远销全球 190 多个国家和地区。虽然已?

  • 受疫情影响的传统药企路在何方?18年历史的香丹清聚焦零售创新化转型

    “医药行业我做了十年,看多了这个行业的起起落落,也见证了不少重要转变。疫情期间,‘香丹清’线下零售渠道受到了远超预期的影响,而线上销售却因京东各方面的优势赋能取得小幅增长。企业数字化要做的不仅仅是商品上网,更重要的是和什么样的伙伴在一起。”在采访中,香丹清零售创新负责人陈璐坚定地确认了未来3- 5 年传统医药行业的发展方向——零售创新化的转型。首个战场,香丹清瞄准了即将于 8 月 3 日- 5 日举办的“首届京?

  • 近40年从业经验,仁树医疗沈伟医生用信念诠释何为回归医疗本质?

    医疗的本质是什么?一个医生的一生既有无力挽救的悲伤,也有绝处逢生救人于危难的喜悦,医疗的本质不仅仅在于救死扶伤,更在于其背后的人文关怀。中国医疗发展到现在市场迸发出新的需求,新时代下如何回归医疗本质为更多患者带来优质的服务体验,成为了迫切需要解答的课题。为此我们采访了仁树医疗集团耳鼻喉科专家沈伟,一起与他探讨“新时代下的医疗本质”这一话题。沈伟,前巴黎医院集团外籍住院医生、法国南特大学附属医院耳鼻咽喉-头?

  • 小药药入选“中国独角兽企业”榜单 彰显科技创新实力

    7 月 28 日,小药药公司入选“ 2019 年中国国独角兽企业”名单,此次独角兽名单在“ 2020 中国(天津)高成长企业发布会”上公布,是对小药药在大健康医疗领域引领新赛道、推动行业变革升级的认可。发布会上,北京市长城企业战略研究所发布的《 2019 年中国独角兽企业研究报告》显示, 2019 年中国独角兽企业 218 家,总估值 7964 亿美元,分布于智慧物流、医疗健康、人工智能等 26 个领域。小药药科技创新模式 重构医药流通供应链

  • 邦盛科技中标中原银行企业级实时智能反欺诈平台

    近年来,数字化转型升级已成为传统银行战略的重中之重,包括风控在内的几乎所有部门都在迎接数字化改造,银行数字化转型离不开金融科技的加持。近日,邦盛科技中标中原银行企业级反欺诈平台项目。邦盛科技将为中原银行构建基于“流立方”、AI机器学习、关联图谱等核心技术,且能覆盖全渠道的自动化、智能化、高效率的企业级实时智能反欺诈体系平台。中原银行成立于 2014 年,是河南省首家省级法人银行, 2017 年在香港联交所主板上

  • 多家科技企业获得北京自动驾驶路测牌 包括百度、奥迪、丰田等

    近日,北京市公布了 2020 年自动驾驶车辆道路测试资格名单。获得测试资格的有百度、小马智行、戴姆勒、奥迪、美团旗下三快在线,以及首次进入名单的丰田汽车研发中心(中国)。

  • 被扇耳光女子与快递员和解 女子:快递员已付医药费

    昨日,“女子投诉退货被快递员扇耳光”一事有了新的进展,中通快递网点相关负责人称双方已和解。女子说,对方付了医药费等,去了快递员工作环境觉得他们很辛苦,还是要相互体谅一下。

  • 富途证券:泰格医药赴港IPO 如何选港股打新平台?还要看暗盘!

    下半年才刚开头,港股新股市场就高潮不断,6月至今就有近30只新股挂牌。伴随着新股扎堆上市,参与港股打新的投资者更是络绎不绝。为什么港股打新这么火呢?我们直接用最近的数据来说话。6月以来,港股多家企业上市首日表现堪称惊艳全场,$欧康维视生物-B(01477.HK)$、$思摩尔国际(06969.HK)$ 一马当先,在首日就以超150%的收盘涨幅成为当之无愧的当周表现最佳肉签,中签一手卖出最高均可赚超1W多。而其他几只新股同样走势如虹,上?

  • 为什么迈瑞医疗可能是目前A股最低估的股票之一

    今年,半导体行业是A股涨幅最猛的行业,各个股票估值都是市梦率。软件行业也不遑多让,看看用友网络(SH:600588),广联达(SZ:002410)等,涨幅也是惊人。其实看看美国和欧洲,SAP,autodesk的今年业绩都是很好。看看SAP的公司新闻,国内牛逼公司一个个都争着上SAP,为毛人家不用国产的ERP?SAP的产品虽然贵,东西确实还是好啊。别的不用说了,我就引用今年A股最牛股票之一中微半导体(SH:688012)的例子。“半导体行业属于高精尖行业,

  • 榕树贷款:以科技为翼 助力普惠金融服务小微企业

    近日,亚洲普惠金融生态建设与数字化发展圆桌会在线上举行。与会专家指出,金融科技对普惠金融传统模式的颠覆式改变是大势所趋。未来,普惠金融将继续深化互联网和大数据技术应用,推动平台场景和生态建设,进一步体现银行业的科技属性和社会属性。 普惠金融服务难题有帮手 对普惠金融重要性的肯定,正得到越来越一致的认同。普惠金融代表着我国金融行业未来的发展方向,具有促进金融业可持续均衡发展、助推经济发展方式转型升级?

  • 信用飞:推动数字科技发展进入新阶段 引领全球企业服务的未来

    当前,中国经济正处在由高速转向高质量增长的时间点,中国在移动互联网和AI方面拥有领先的技术,再加上实体企业思考方式的转变,可谓天时、地利、人和俱备。可以说,中国的信用飞等数字科技公司在这种条件下,完全有机会引领全球企业服务的未来。 随着我国消费市场不断完善,以及5G等技术的成熟,信用飞等数字科技企业对消费业务的赋能也会向着更广、更深的维度发展、形成融合生态,进而推动数字科技发展进入新阶段。 在实践中,?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签