【专家观点】药企如何做好研发信息安全管理?
随着“互联网+”时代的到来,信息化在各行业的应用越来越广泛和深入,医药行业的信息化建设同样经历着翻天覆地的变化。互联网信息技术的发展提升了效率却也埋下了数据安全的隐患,信息化建设步伐的加快促使药企的业务数据越来越多,对于这些重要的业务及实验数据的管理和使用,为药企带来了新的挑战。一旦发生数据或核心信息泄露,会影响医药企业的公众形象,给医药企业造成重大经济损失。
在药企研发阶段,如何减小由于人员流动性而带来的知识流失概率?如何在长期的药品研发周期中做好信息的安全管理?研发中涉及大量日常办公数据和实验数据,如何在不降低工作效率的情况下保障数据合规性?如何提高远程办公的安全性及便利?
在锐捷举办的《光云汇聚 锐捷助力药企“新基建”》专题会议中,远大医药CIO李博结合多年信息安全管理经验,分享了《打造研发信息安全的“六边形战士”》的演讲主题, 通过六项关键能力的模型来打造研发信息的管理安全。
(以下内容整理自毛总的演讲内容)
研发信息安全能力标准
从政策角度看,近年来国家发布一系列的政策,两票制”减少了医药流通的中间环节,仿制药一致性评价规范了仿制药在质量和疗效上与原研药一致,“4+7”有效的降低了药品价格,优先审批、eCTD改革以及加入ICH等举措,推动了国产创新药的发展。
从研发角度看,药品种类多,涉及到的治疗领域广泛,例如,肿瘤、心血管等等,因此企业不同,药品研发管理的需求差异较大。
可以发现随着企业研发投入的加大,研发信息安全的管理越来越重要。但对于药企CIO来说,研发管理面临两难,对于研发管理既不能过于严格而影响研发人员的工作效率,又不能过于松散引发信息安全风险。研发信息安全管理可以总结为四大难题:
● 如何减小由于人员流动性而带来的知识流失概率?
● 如何在长时间的药品研发周期中做好研发信息的安全管理?
● 研发中涉及众多日常办公数据和实验数据,如何在不降低工作效率的情况下保障数据合规性?
● 如何提高远程办公的安全性及便利?
让我们先通过两个常见的案例,感受下研发信息安全的管理工作:
例1:
研发人员离职前通过硬盘拷贝了涉密的项目资料
管理缺陷:终端管理不足、审计监控中离职审计不细致、重要资料未做加密处理
例2:
研发高管人员离职前,对涉密文件进行了批量解密,经之前公司授权过的U盘讲解密文件拷贝到个人电脑中,并且对办公电脑中的文件进行了永久性删除。
管理缺陷:审计监管不足,特权管理不到位、核心数据存储在本地,未进行云端的统一管理。
通过这两个例子,我们可以发现在研发过程中出现信息安全泄密的场景极多,无论是基层人员、管理者,高层都有可能泄密。因此只有从员工操作习惯出发,根据员工的六大操作步骤(下图),围绕“研发信息安全的六大关键点”,全面、深入的分析管理痛点,才能做好研发信息安全管理工作。
信息安全打造的主要核心要点为以下六点,下面李博老师为大家详细讲解每个关键点,助力药企打造六边形战士。
关键点一:身份认证
通过设置域账号做好用户身份管理
通过域账号+加密系统,将用户的一切信息绑定并加密(域账号、IP、多个终端等)
将域账号作为全网唯一的用户身份识别信息,如果出现了安全事件,可以快速封锁其域账号及锁定相关人
Tips:锐捷三擎云桌面中的多因子认证功能,在安全级别高的情况下,本地账号登录后,还可以设置动态口令,需要与用户的微信绑定,在账号安全上设置双重保护;
关键点二:终端管控
使用云桌面实现共享主机,不再按人分配设备,提高研发人员工作效率
疫情频发,通过云桌面实现远程协同办公,同时信息安全有保障
在企业有多个研发中心的情况下,通过云桌面实现远程运维,大幅提升运维效率,降低运维所需人力及其他成本
通过云桌面的软硬件管控功能,加强核心数据、信息的安全性
Tips:锐捷企业新一代三擎云桌面解决方案,VDI、IDV、TCI统一部署,适配企业多场景,三种架构统一管理,提高运维管理效率,实现统一的镜像管理,秒级的系统还原,3-5分钟的批量安装系统,分钟级的应用更新。
移动办公场景中,适配苹果、安卓、windows等多种操作系统,自动适配场景及接入策略,移动办公更高效。配合锐捷安全访问网关,多种认证方式确保访问安全,且仅需一次登入,移动办公安全又便捷。
关键点三:文件内容
对于任何形式的办公文件都需做加密处理,同时做好加密管理,可考虑基于业务特性的基础上建立加密相关的规则制度,只有有完整、明确的制度,员工才能更好的落地,制度中应梳理清晰加密的范围、涉及人员、加密流程、解密的条件等。
关键点四:审计监控
做好事后审计,按月或按年度进行审计,当出现特殊情况,例如当员工有离职情况时也要做好全面、细致的审计工作
在满足业务特殊需求的前提下,应禁用未授信的移动设备,经受信的设备需备案注册
做好机制建设,例如授信移动终端的使用机制、归还机制等。同时定期对管理日志做归档工作,后期一旦有泄密事件出现,管理日志可作为证据佐证
关键点五:特权管理
区分清楚审批权和解密权的区别,在做解密管理时要将两项权限分开,防止出现高管既拥有审批权又有解密权,避免高管对加密文件自行解密,出现泄露安全数据的情况。
强化审计是重点工作,保障研发信息安全工作涉及方方面面,容易有疏漏点,做好审计工作可防范由于前期监管不到位产生的问题。过程审计中对于特权人、临床出差人员及出现异常行为或操作的情况要做重点监控
建立应急处理机制,当出现异常情况能够即刻启动应急处理流程,上报及时并且有应对策略
关键点六:存储介质
办公文件实施集中统一的管理
做好版本管理,统一版本传播,避免百度网盘、邮箱、U盘等多种传播方式
以上为李博在本次会议的精彩分享,打造研发信息安全的六边形战士,各个药企可根据自身实际情况出发,围绕以上六个关键点做信息安全的加强和补充。医疗信息安全建设尚在路上,药企应持续加强信息安全管理,筑牢医药行业信息技术安全防线,推动药企的高质量发展。
锐捷新一代三擎云桌面,采多用超融合架构,实现VDI、IDV、VOI等多种虚拟化架构的结合,多重管控方式+多种认证方式防止数据泄露或丢失,保障数据安全,支持多终端(电脑、手机、平板等)接入,自动适配网络接入策略,帮助药企畅享高效移动办公,为医药企业构建更低耗高能、安全稳定、高效灵活的IT办公系统。
其中,在为保障企业数据安全方面也有着诸多功能,通过数据快照技术、外置存储备份,保障数据不落地,业务连续不中断;双副本、三副本、纠删码等多副本方案,防止数据丢失,让数据更安全;灵活的外设管控、软客户端数据管控、利旧终端数据拷贝控制、水印等,从终端侧保障数据安全,为药企打造7*24小时的实验环境。
锐捷网络,深入政策及趋势研究,深耕医药客户的场景,贴近医药客户进行产品方案设计和创新,助力药企完成“制造”到“智造”,实现研发、生产、流通和终端消费全链条的质量提升。
扫码查看直播精彩回放,
再次观看李博老师的精彩演讲!
微信扫码关注该文公众号作者