信息安全是中国临床研究行业接轨全球的关键难点,信息/数据/隐私安全方面的潜在风险将极大影响业务系统的稳定运行,尤其是在复杂全球多中心临床研究项目中,面临世界各国日益严厉的合规要求时,选择技术过硬、合规可靠、经验丰富的数智化合作伙伴更为重要。
太美医疗科技高度重视海外信息安全工作,目前已建立起覆盖全球的信息安全管理体系,建立并落实了信息安全管理策略、隐私安全管理规定、风险评估与处置流程等相关制度,成为中国创新药企开展海外研究的可靠保障。
近日,太美医疗科技《海外信息安全白皮书1.0》正式发布,系统阐述了太美医疗科技在海外信息安全方面所做的诸多工作,供合作伙伴交流分享。
以下为详细内容:
目录
以下为详细正文:
一、申明
公司介绍
太美医疗科技秉承“让好药触手可及”的使命,作为生命科学产业数智化运营平台,业务覆盖医药研发、药物警戒、医药营销等领域。以协作为核心理念,AI赋能,公司创新性打造Trials智能临床研究协作平台和无界—医企互动学术交流平台,整合全系列应用,链接医药企业、医院、第三方服务商(CRO、SMO等)、监管机构、患者等行业参与者,结合人工智能、大数据、云计算等先进技术,形成标准统一、数据流转,流程协作,资源整合,助力行业数智化转型,大幅提升医药研发整体效率和上市后商业绩效,实现多方价值升级与共赢。
安全目标
感谢您的信任和支持,选择太美医疗科技相关产品,我们将提供完善的、可持续的保障以确保业务系统合规、安全、稳定运行。“持续确保业务系统在可控范围内安全稳定运行”、“持续确保业务系统满足相关法律法规要求”是太美医疗科技信息安全整体目标,也是我们不断努力和持续安全运营的方向。
安全体系
我们的安全设计理念是一个多元化的综合交叉思路,他借鉴于ISO27001族系列、GDPR与HIPAA法规要求、SOC2实践、NIST基线、OWASP安全漏洞等。同时也结合公司实际现状,最终制定符合公司当前状态的最佳安全体系。他不是一成不变的,我们会进行动态调整,以适应不断变化的内外部条件。但很明确的是,我们始终认为一个完善的安全体系,“管理”和“技术”两个大方向缺一不可。以下是我们的整体安全设计框架:
在管理方向,我们建立了完善的安全组织结构和安全管理方针,包含但不限于安全策略、系统安全、物理与环境安全、网络安全、数据安全、应用安全、访问控制、事件管理、灾难恢复与业务连续性演练等多维度的SOP并严格落地执行,确保生产经营过程中的安全合规。
在技术方向,我们依托于AWS强大的安全产品与服务能力,结合管理手段,在事前、事中、事后进行各个环节的安全布控,确保信息系统不被内外部破坏。
下面的文中我们会重点展开这两个方向的全面介绍。
责任共担
对于合作的双方或者多方,我们认为安全责任并不完全属于某一方,这是需要合作各方的共同努力,共同维护各自模块的安全需求,共同确保整体安全可控。由于角色的不同,我们认为可以进行“系统使用者”和“系统提供者”的划分。系统使用者是太美医疗科技的客户(您),负责具体使用某个信息系统,对系统进行相应的使用管理;系统提供者是太美医疗科技,负责提供系统并且确保系统底层的稳定性和安全性。
系统使用者责任,需要对账户管理(授权与回收、共享、登录、密码复杂度等)、后台配置进行负责,因为这些是由用户自定义并且独立管理的,并且太美提供了相应的安全配置功能。
系统提供者责任,负责信息系统底层的安全性,比如应用安全、主机安全、网络安全等。
合规性
我们非常重视合规性建设,以此满足行业规范、地区法规等合规要求,我们通过了ISO27001、ISO27701、ISO27018三个安全类ISO体系认证,同时完成了GDPR和HIPAA的自评估报告。
在GDPR自评估方面,我们选择了Gartner对外提供的“Gartner GDPR Compliance Audit Checklist”进行自评估,在全文83个评估项中,我们“满足”的比例约为70%,“不适用”的比例约为30%,但未出现“不满足”的情况。
在HIPAA自评估方面,我们借鉴了HealthIT对外提供的安全风险评估方法进行自评估,在全文59个评估项中,我们仅发现一处不适用,其余均能满足要求。
以上这两个重要法案的自评估结论说明,我们在合规国际化项目中的合规能力是出众的。
如若有需要,请告知与您对接的销售代表或者直接联系下述安全团队联系方式中的安全团队公邮,我们在确认您的信息后,将及时把相应材料发送给您。
隐私性
我们制定并发布了《信息安全管理策略》、《个人信息保护管理规定》、《敏感信息使用规范》,对隐私信息识别、隐私信息处理、隐私信息监测、隐私信息安全事件、隐私信息恢复、投诉渠道、个人隐私政策维护做了全面规范。常规情况下,我们的员工均不具有数据的访问权限(如业务人员、研发人员),仅数据库、服务器管理员具有相应运维管理权限,相关人员均已签署了专项保密协议。此外,为确保能够有效应对隐私数据泄露相关的安全事件,我们建立了《信息安全风险评估和处置流程》,对发生信息泄漏事件后太美医疗科技员工须遵循的响应处理流程及相关的上报流程予以规范。
安全团队联系方式
安全团队公邮:security@taimei.com
二、安全管理
安全组织建设
公司信息安全管理组织架构包括:信息安全管理委员会、信息安全管理部门和全体员工。
信息安全管理委员会由公司CEO 担任委员长,管理者代表担任副委员长,太美医疗科技各部门负责人为委员会成员。信息安全管理委员会领导公司信息安全宏观管理,主要负责制订公司信息安全发展战略,协调并保障信息安全活动所需的资源。信息安全管理部门由太美医疗科技实际信息安全管理部门组成,主要负责公司信息安全工作的日常管理、编制并维护信息安全制度,并根据公司发展情况优化和调整公司信息安全管控措施。公司全体员工须遵循信息安全管理要求,落实各项信息安全工作,配合进行日常安全监督和各项检查。
安全管理制度
我们基于法律法规要求、ISO实践、SOC2实践等,结合公司当前运营场景,建立并落实了信息安全管理策略、隐私安全管理规定、数据安全全生命周期管理系列制度、风险评估与处置流程、事件管理规范等相关制度。公司的信息安全管理部门负责编制、修订、维护信息安全管理制度,并推进制度的实施与落实。
三、安全技术
办公安全
我们认为安全保障中很重要的因素是针对“人”的管理,所以我们对办公安全和员工行为规范做了严格的管控,确保不因内部的有意或无意的操作影响业务安全和客户权益。
我们针对办公场地入口设置了门禁系统并且由安保值守,以免未授权人员尾随进入。在员工电脑中部署了准入控制软件、数据防泄漏软件、杀毒软件、USB读写控制等进行整体布防,确保未授权电脑不准联入公司内部网络、确保联入公司内部网络的设备均可控。同时为了管理互联网边界流量和内部流量,我们在办公环境部署了“态势感知”系统,可分析、预警潜在的攻击、泄露等类别的安全风险。
身份和访问控制
我们按照“权限最小化”原则对员工的账户、权限进行严格管控。在产品、研发、运营方向,无任何授权途径和方式可以访问生产环境。在运维方向,根据权限最小化原则进行分配,相关人员连接服务器、数据库仅允许通过堡垒机进行访问,访问与操作行为受控,以确保在满足基础工作的需求下实现安全管控。
同时我们认为只有设置了回收和审计机制,才是一个权限管理周期的有效闭环。公司信息安全中心协同各业务部门每年对现有应用系统、内部支撑系统和数据库的账号权限进行梳理,以确认现有账号权限是否同各员工的岗位职责相匹配,是否存在权限冗余的情况。
风险评估
我们认为风险评估是主动发现潜在风险的重要一环,所以特别制定了《信息安全风险评估和处置流程》,对公司须遵循的风险评估流程及要求进行了规范,包含风险识别、风险定级、风险分析以及对于超出可接受水平的风险须采取的响应处置措施等内容。
我们每年开展一次风险评估工作,基于不同的风险场景以及对公司内、外部环境变化的考量,对公司涉及人员、数据、软件等方面的风险敞口进行识别并评估其重要性水平,评估结果会形成风险评估控制矩阵并制定整改措施,通过风险评估控制矩阵完成整改跟进。
漏洞管理
我们参考CVSS评分机制,根据系统的重要性、破坏性、可利用性等维度,将漏洞分为严重、高、中和低危四个等级,并规定了相应的修复时效。
对于在渗透测试过程中识别的或者通过专属渠道上报的漏洞问题,我们通过提交工单的方式予以跟进处理。经初步分析定级后,提交的漏洞修复工单流转至相关研发人员进行后续的跟进修复,信息安全中心人员在漏洞修复完毕后予以验证并出具复测报告,在确认漏洞或故障已成功修复后关闭工单。
安全事件管理
我们制定了《信息安全事件管理规范》,以此明确信息安全事件处理流程。公司对于信息安全事件进行多渠道实时监控,设立上报机制,信息安全部门针对上报信息进行应急响应及处置。公司建立了信息安全事件分类分级机制,根据事件性质、危害程度和影响范围等因素对其进行分析与评级,并推送至相关负责人处进行处置与溯源。事件处置过程中,根据场景、级别的不同,我们会向监管机构及受影响相关方进行进行必要的情况通告,并在处置完成后进行回顾总结。
可用性管理
数据备份管理
通过组合各备份方式的优点,按备份周期采用全量备份、增量备份、事务日志备份组合方式进行。
全量备份是对所有数据进行完整备份,每天进行一次。
增量备份是仅备份相对于最近一次备份以来新增加和修改过的数据,它以前一次的全量备份为基准点,备份全量备份之后变化的数据文件、日志文件以及数据库中其它被修改的内容,每天进行一次。
事务日志备份是备份数据库日志记录,备份上次备份之后到当前备份时间发生变化的日志内容,每五分钟进行一次。
同时Amazon S3 提供了一系列存储类,备份片存放于 S3,S3 跨 3 个可用区,实现备份冗余,备份任务通过云端配置自动执行。
我们依据制定的《数据备份及恢复程序》,针对业务数据采取了每周执行本地全量备份、每天执行本地增量备份的策略。为确保安全性,我们对备份文件使用对称加密的方式进行保护,防止数据泄露。同时,为保障所存储备份数据的可用性,公司建立了数据恢复性测试机制,每月由运维工程师对备份文件进行测试恢复以检测其数据可用性。
业务连续性
我们依据制定的《业务系统业务连续性计划》,明确灾难恢复目标和业务连续性计划流程。每年进行一次业务影响分析和风险评估,基于评估结果对各类潜在威胁评估最大可容忍中断时间、恢复时间目标和最小服务水平等指标并相应制定响应策略。根据风险评估的结果,运营保障部每年组织相关业务部门针对不同的业务场景进行业务连续性演练,演练完毕后,参与演练的人员对过程内发现的问题进行复盘并通过《业务持续性演练报告》记录演练结果。
环境安全
基于安全性和合规性考虑,我们线上的所有环境均部署在AWS中,分别是AWS新加坡数据中心与AWS美国加利福尼亚州数据中心。
在云上的安全建设,我们主要依托于AWS的安全产品能力和安全服务能力开展安全活动,以下是技术框架图,我们将在下面篇幅中会进行细致的介绍。
渗透与扫描
我们认为渗透测试与漏洞扫描是保障系统安全必不可少的一个环节,他便于我们主动发现安全漏洞并可以在第一时间修复它,这样对于我们的维护成本和客户保障都是最有利的,所以我们一直在开展并且邀请第三方团队进行渗透测试和漏洞扫描。
在渗透测试过程中,我们选择黑盒的方式进行,一次完整且有效的渗透测试一定是需要包含人工渗透为主、工具为辅的方式进行,人工的参与可以更多的发现一些逻辑类漏洞、越权类漏洞,而工具可以帮助人工能细致的、更广泛深入的进行探测。这是我们对渗透测试的理解。
S-SDLC
美国国家标准与技术研究所(NIST)估计,如果是在发布后执行代码修复,其修复成本相当于是设计阶段修复的30倍。可以确认的一点是,从软件开发的早期开始采取措施避免漏洞,会极大地降低软件漏洞修复的成本。因此,我们基于微软提出的SDL思路并结合公司现状制定了S-SDLC(安全的软件开发生命周期),在项目立项前至项目运营后我们全流程都融入了安全因素的考虑,如早期的员工安全技术和安全意识的培训、需求和设计阶段的安全类风险评估、编码和测试阶段的安全编码规范和安全类测试、在发布和运营阶段的安全监控和漏洞处置,形成一个整体的安全闭环。
网络安全
我们始终坚持“最小化授权”的原则来执行信息安全策略,网络层面也是一样的。在互联网边界,我们通过防火墙最小化控制进出流量和服务,对于除了业务必须开放的端口/服务之外,任何网络访问都需要经过安全部门的审批,在可控范围内才允许放行。在VPC内部,我们根据业务属性不同划分不同的subnet,各个subnet之间通过安全组的方式进行隔离,仅当需要通信且经过安全评估后才会开通最小访问权限。
传输与存储安全
数据加密技术是对信息进行重新编码以达到隐藏信息内容,使非法用户无法获得真实内容的一种技术手段。我们非常注重数据的保密性和完整性,在数据的传输过程中和数据库存储、文件存储时均进行了加密控制。我们所提供的系统全站均使用HTTPS加密传输,其TLS版本号不低于1.2且不使用不安全的加密套件;在数据库存储时,我们将个人敏感信息使用AES256进行存储,将密码进行多种复杂散列组合实现完全不逆的单向加密。在文件存储时,我们采用AWS S3文件对象存储服务,使用加密功能和访问管理工具保护数据不受未经授权的访问,它会加密上传到所有存储桶的所有对象。
AWS安全性
基于“环境安全”章节的描述,我们在AWS上部署了关键的安全产品以应对各种安全需求。以下是我们核心运营的安全产品介绍。
WAF,全称Web Application Firewall,它可以保护我们的web应用程序免受常见漏洞的攻击,如SQL注入攻击、跨站点请求伪造、上传漏洞、跨站脚本攻击等,是公认较为有效的web防御方案。
Network Firewall,我们可以依托Network Firewall创建防火墙规则,比如检查出站和入站的互联网流量,部署出站流量筛选,以防止数据丢失、帮助满足合规要求,以及阻止已知的恶意软件通信。它可以针对互联网所有进出流量全协议层面的管理,从而提供网络流量的精细化控制并满足合规性和安全性需求。
Inspector,是一项自动化漏洞管理工具,它可持续扫描 AWS中如EC2实例、容器等产品出现的软件漏洞和危险网络暴露,如常见操作系统漏洞和突发的0day漏洞。我们可以使用风险评分来确定漏洞的修复优先级,缩短平均修复时间。同时它的扫描规则支持NIST CSF和其他法规的合规性要求和最佳实践,从而在发现和处置漏洞的同时也能进行合规性的支撑。
Security Hub,它可以自动执行安全最佳实践检查,将安全警报统一整合并展示,所以它是一个运营中心,可以查看AWS上的整体安全状况。
GuardDuty,它可以将机器学习与来自AWS和第三方的威胁情报相结合,帮助保护我们的账户、主机、数据免受威胁侵害。它可以实现强大且全面的威胁检测分析,如针对S3数据访问事件检测可疑活动,如分析EC2运行时的恶意活动和未授权行为,同时它还可以在检测到可疑操作时分析是否存在恶意软件。
监控与应急响应
我们每天安排专业的技术工程师对日常产生的安全数据进行监控与分析,并且设置严谨的告警策略。根据类别和级别不同,我们可以在手机短信、邮箱中及时收到不同的异常告警。
当发现0day漏洞或者出现APT攻击时,我们会通过Inspector、自定义脚本、手工排查、日志分析等多种方式进行自查,并且第一时间做出处置措施,根据危害度和涉及面的不同,在我们处理完事件后会进行整体复盘并出具自查报告,供有需要的客户获取并验证。
四、结语
太美医疗科技始终坚信安全和合规是公司运营的生命线,我们整体通过了ISO27001、ISO27701、ISO27018、ISO20000、ISO9001认证,同时为满足法规要求,通过差距分析和不断改进,制定了GDPR和HIPAA自评估报告。我们坚持“安全和合规是一个持续建设的过程”的理念,不断完善安全体系,确保信息系统安全、合规、稳定运行。
*免责
本文描述的是太美医疗科技在信息安全建设过程中的方法与对安全的理解,但由于安全是动态变化的,所以任何项目合作中的安全评估不应以此为最终依据,我们建议可以通过稽查或问卷的方式与我们沟通,获取最全面的安全动态。