随着互联网+浪潮的汹涌来袭,医药行业是一个最需要信息化建设和改造的企业,最传统的方法是手动记录数据和纸质文件存档数据,如今信息化技术和互联网的加持下已经有不少医药研发企业开始采用信息化的方式进行数据的采集、数据的处理、数据的分析及数据存储,这极大地提高了医药企业的研发和运营效率。
互联网信息技术的发展提升了效率却也埋下了数据安全的隐患,在巨大商业利益的驱使下,
医药研发企业的数据库来自内外双重威胁,数据一旦泄密,给医药研发企业带来的损失是巨大的,当然随着国家关于网络安全相关法律法规的不断出台,数据安全的责任主体愈加明确,越来越多的医药研发企业开始关注并重视网络及信息安全。
笔者总结医药研发企业行业的风险点表现为:
研发人员主动泄密:医药企业的研发人员计算机内储存大量在研发中的数据文档,而这些数据文件在流动中无法监控。如:研发人员离职时文件交接不清楚,研发人员把文件拷贝私用、研发人员离职前大量删除重要数据文件、重要研发文件肆意打印、重要研发文件肆意上传等等;
设备滥用:如今移动存储越来越多,包括手机或Pad等等,而这些移动存储设备没有限制,肆意拷贝,没有记录可以追溯。如:文件拷贝后不可追溯、U盘等存储肆意使用、笔记本等外接终端风险;
网络威胁:如今勒索病毒越来越猖獗,如果文件内容均为原文,木马攻击窃取后内容暴露。如:文件受勒索病毒、木马感染、办公网实验网互传;
安全意识:员工计算机数据缺乏有效管理,存在安全风险,计算机操作频繁复制粘贴、外发等,无清晰的内容边界,点击不明邮箱等等。如:复制粘贴滥用、文件外发渠道过多、数据无法集中管理、无安全意识增加风险。
数据为王的时代,数据已经成为医药企业的核心资产之一,如何有效的进行数据保护不被外泄变成了医药研发企业最关心的问题。我们建议医药研发企业在做数据资产的保护时,先要对数据进行分级分类,如级别可设置为“绝密”、“机密”、“秘密”、“内部公开”、“外部公开”五个等级,根据重要性原则将不同的类别数据匹配至不同的等级,最后针对分级分类后的数据开展不同力度的安全保护措施。
信息安全的角度它包含两个方面:
首先是物理安全:它主要是指网络系统中各通信、计算机设备及相关设施等有形物品的保护,使他们不受到雨水淋湿、人为等灾害。
逻辑安全:包含信息完整性、保密性和可用性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。)、
保密性数据保密性指数据仅在授权范围内使用,确保不会造成非授权的访问或泄露,假设当发生数据被泄露,非授权用户也无法读懂被泄露的数据。
可用性(可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。物理安全和逻辑安全都非常重要,任何一方面没有保护的情况下,网络安全就会受到影响)等等。
信息安全管理是企业高层从上至下全员参与的过程,企业管理者要明确信息安全建设的毅力和决心,在公司管理层的推动下强列推进,需要指出的是:技术与管理两者是相辅相成的,在具体执行的过程需要同步,但是管理的需求、管理点,一定要在制度上有体现,才能高效推进。
设立合理主要分为三个维度来建设:
“管”:对于信息传输渠道和方式的集中管理,主要涉及账号、共享、终端、文件、备份等;
首先是“人”的管理,主要以账号管理为抓手,做好账号的集中管理认证,以用户名为最小管理单元,登陆账号新建、停用、调整远程集中管控;
其次是“文件”的管理,将所有的文件放置于文件服务器中(加入到域中)。用于医药研发企业在研文件管理,日常资料编写以及文件共享,方便大家查阅及编写资料,同时也防止个人私自共享行为。文件主要以源文件为主,方便对于异常等情况的追踪可查。
“控”:主要方式是文档加密,包括文件加解密、剪贴板禁用、日志记录、即时通讯、准入控制等;
如:研发部门全部的文件加密【图片、word\excel、Pdf文件、剪贴板禁用】总监以上人员具有解密权限,其余人员需进行审批支持移动手机审批,方便快捷。
“查”:主要是监控审计,例如网络监控、打印内容、邮件内容、文件记录、设备管控等。
系统对研发部门的局域网内计算机设备采用7*24小时监控;
监控策略主要是对计算机软硬件变更、文件操作、网站访问、邮件发送、即时聊天、打印内容、屏幕录像,移动存储设备;
非授信USB设备全面禁止使用,已授信U盘需在信息部备案注册,保证研发信息安全体系内实现电子文件可追踪;
信息部负责U盘授信权限管理,综合管理部负责授信U盘实物管理;
研发部门会议室内公用电脑可正常打开加密文件,但外部人员U盘不可用,外部人员文件导入后即自动加密。
中文
电话咨询
微信咨询
公众号
