未雨绸缪:医药行业信息安全新趋势与应对之道

时间:2023-12-15 16:50:08 浏览:165

本文由CIAPH根据原西安杨森信息技术总监蒙伟在“CIAPH第三届生物药企数字创新峰会暨走进晶泰科技”活动上的分享整理。

随着数字化时代的推进,数据信息为各行各业注入了强大的动力,为各领域提供了有力的支持。然而,随之而来的是日益增加的数据安全风险。医药行业与其他领域的信息基础设施不尽相同,因为它直接关系到人们的生命安全。该领域的数据具有特殊性质,使其成为攻击者关注的焦点。

在“CIAPH第三届生物药企数字创新峰会暨走进晶泰科技”活动上,原西安杨森信息技术总监蒙伟从其亲身经验出发,分享了如何应对医药行业信息安全新趋势,同时还带来了实际的案例,下文为详细内容。

随着互联网、云计算以及人工智能的不断发展,数字化转型为企业带来了全新的安全挑战。在医药行业中,信息安全问题的重要性愈发凸显。因此,今天我将以信息安全为主题,分享我近年来在这方面的实践和经验,与大家共同探讨。

过去我们在谈论信息安全时主要关注如何有效管理网络、确保数据传输安全以及加强加密措施。然而,随着技术的不断发展,信息安全已经演变成更广泛的概念,包括合规管理、与业务的融合,甚至涉及人工智能的治理和规范,以及企业内部行为的规范化。当前,企业频繁受到勒索者病毒的威胁,因此如何预防这类威胁需要从意识形态、技术、流程等多个方面共同着手,以杜绝安全隐患事件的发生。

通常在企业制定安全策略和抵御风险方面,了解企业自身的优劣势和行业的经验至关重要,建议定期可以和业内的同行进行交流,并与合作伙伴保持沟通。以便于正确评估合理的信息安全解决方案。尤其在《网络安全法》和《个人信息保护法》发布后,需要第一时间对企业所有数据进行全面梳理,了解数据的存放位置和作用,这对于后续的跟进措施至关重要。只有对数据有足够了解,才能够迅速处理隐私和敏感数据,同时改进和整理的工作也会更加顺利。除此之外企业应该通过技术手段对数据进行分级保护和加密。在员工使用数据时,确保企业有明确的流程和规章制度,以防止不当访问造成泄漏。因此,需要采用有效的方法来防止数据流失和泄漏。最后,通过一系列治理原则,全方位管控数据,从技术手段到终端控制,实现全流程的数据安全防护。




企业信息化发展到一定阶段,必然需要建立完整的数据安全治理框架。以下是这一过程的简要介绍:

首先,确定适应企业发展阶段的目标。这些目标可以涵盖安全性、完整性、可用性、合规性和风险管理等方面。

人员参与:为实现设定的目标,需要有相应的人员参与,甚至可以组建专门的团队来负责。对于小型IT团队,兼职参与也是可行的;对于大型IT团队,最好设立专门的安全岗位。

制定安全策略和流程:建立一套安全策略和流程,以使整个企业清晰了解如何保护数据。

选择技术和工具:找到适用的技术和工具,如备份、防泄漏和加密技术。确保有专门的同事负责,以避免不同数据库采用不同技术而导致混乱。一旦策略和技术统一,管理变得更为便捷。

员工培训:在安全领域,安全不仅是IT部门的事,而应该是整个企业的责任。因此,员工培训至关重要,需涵盖一线人员和管理层。

遵守法律法规:面对不断新增的法律法规,确保企业合规是必要的。违反法规不仅影响公司声誉,还可能导致罚款,对企业财务报表产生不良影响。




今天的分享中,我为大家带来了两个案例。

首先,我们分享网安法与计算机等级保护相关的内容。随着数字化的不断深入,我们发现不仅在IT领域,企业的业务部门、研发部门等除了IT以外的部门也日益重视安全问题。从案例中项目架构我们可以看到,推进国家的计算机等级保护项目需要众多团队的协作,同时也需要将总部的一些关键职能部门纳入考虑范围,因为他们可能对数据、架构、技术以及现有的营销和研发方案产生影响。总体而言,获得国家级的等级保护认证是一个过程,而且并非一劳永逸。例如,如果是二级等保,需要每两年进行一次申报,而三级等保则需要每年进行一次。当然,这些工作都需要有相应的费用支撑,因此在项目初期,我们必须慎重考虑是否有足够的预算来支持这一过程,数据安全不应当只是一句空话,真正能够落地是需要得到老板和公司管理层的支持,因为每一步的行动都需要资金来提供保障,没有预算的支持一切都是空谈。




评估过程中,要看应用系统是否需要重构、优化或者升级,要有不同的团队支持,最后要做漏洞扫描、渗透测试,基于产生的结果再进行整改,最终进行验证出证。一套流程下来大概需要几个月时间。一般对于一个中型企业汇总下来大概会有几十套应用程序,从评估、迁移整改,到预认证、等级保护认证,想要成功做好等级保护,需要跨部门的合作以及相应的投入。




在跨境数据传输场景中,企业需要对数据进行梳理并向网信办上报,随后根据反馈意见进行修改和完善。尽管这一过程可能相对漫长和反复,企业需要投入了大量人力,但它带来的好处在于内部数据得到更清晰的梳理,降低了应用存在的潜在风险。另外根据国家颁布的法规要求,可以更有效地保护数据,根据不同类型的数据,执行相应的指导建议以达到不同的保护等级。同时借助这个机会优化许多历史遗留的老系统,使整个IT管理更加精炼。从积极的角度来看,这对企业内部的IT部门是非常有帮助的。

第二个案例涉及终端数据防泄漏,这在内控领域扮演着关键角色。我们需要制定一些策略来规范上网行为、防范异常打印、敏感数据拷贝等风险。在发现异常时,我们希望能够让合规部门或商密部门第一时间了解,并采取相应行动,这需要借助一些专业工具的支持。图中左侧展示了一些常见问题,而右侧则呈现了企业管理层期望达到的效果。尽管上云变得更为便利,但模糊的边界使得防范工作变得更加复杂。在面对诸多可能导致数据泄漏的场景时,我们通过终端数据防泄漏的方法,旨在确保用户在使用电脑时不会将敏感数据泄露给外部或他人,从而统一方法,防止数据流失。因为数据流失可能意味着公司资产的损失。




总体而言,通过数据防泄漏方案我们可以设定一些预置条件,如规定聊天内容、U盘文件拷贝、打印机密文件以及邮件发送敏感内容等。这些条件可以通过动态感知和智能拦截的技术手段实施,对公司的信息安全管理是非常有利的。

最后分享一些个人心得。在信息安全领域,我们需要找到一种平衡状态,使信息安全更好地融入业务体系,既不会让员工忽视信息安全的存在,又能保持一定的神秘感。因此,对员工的培训至关重要,要确保他们了解什么是应该做的,什么是不应该做的。许多情况下员工泄漏信息是无意的行为,可以通过强化培训,提高他们的认知水平,并借助一些技术工具全面提高信息安全防护水平。

在推进信息安全实践中,我认为有以下一些点需要大家特别注意:

制定信息安全策略,针对于矛和盾,勇于质疑和挑战来提高。
必须要结合业务,学会和业务对话,了解企业环境中存在哪些风险,创造价值并与执行层沟通。
预算支持的挑战:信息安全是一个难以获得预算支持的项目,因为其实际效果难以直观展示。因此,成功实施信息安全需要获取管理层的资金支持和执行支持。
了解法规需求:需要充分了解法律法规的最新要求,整个信息安全项目要与合规部门、法律部门,甚至是业务部门共同协作,以制定新的标准。
工具选择的智慧:在选择工具时要做到“选对的,而不是选贵的”。必须通过多轮评估确定在当前企业环境中最适合落地的技术。
员工理解与参与度:员工的理解和参与度至关重要。信息安全既不能使员工过度猜忌,同时也不能暴露所有底牌,最佳状态是保持若即若离的平衡。
积极参与行业交流:积极参与行业内外的交流,包括外部会议和内部学习分享,是提升认知的有效手段。面对困难时,积极寻求沟通和帮助是必不可少的。

来源:CIO发展中心

登录合规网