2017年9月1日,CISO发展中心邀请西安杨森信息安全与风险管理负责人林磊进行了一场微信群分享。林磊先生自2015年7月加入强生,目前负责亚太区研发与制造系统安全,围绕西安杨森目前在信息安全方面的部署和实践,林磊从合规、数据防泄漏、第三方管理、新技术在安全领域的应用等多个维度阐述企业信息安全建设的相关话题。以下是CISO发展中心对内容的整理:
Q1:西安杨森成立于1985年,在信息化建设,尤其是信息安全方面的建设,历经多年的积累与沉淀。请简单介绍一下西安杨森目前在信息安全这方面的部署和实践?
林磊:作为强生的子公司,西安杨森在信息安全管理方面与强生的全球实践保持一致。强生的信息安全团队分为六个支柱部门,分别是信息安全治理(Governance),身份认证与访问控制(IAM), 基础设施及安全运营中心 (SOC), 应用安全与控制(App Security & Control),信息安全共享服务中心(SS),以及信息安全业务服务中心(BS)。安全团队属于IT的一部分,但是同时也保持了团队的独立性。
公司借鉴国际通用的信息安全管理框架,制定了比较全面的安全策略。全球统一Policy以及Standard,在具体的guideline与SOP方面,各个子公司可以制定自己适用的文档,但不得与Policy和Standard相冲突。
在网络层面,根据业务部门的不同进行Vlan划分,访客网办公网,研发网及生产设备网络,网络之间隔离,不同网络的准入制度也不一样。安全部门全程介入公司软件采购开发,从合规分析,合规计划,安全需求,安全配置标准,安全编码规则,到最终的合规报告。所有的外购软件都需要经过安全评估。
同时,公司采用全球统一的身份认证,包括系统登录,应用登录,移动应用,云应用。办公电脑采用统一的系统镜像以及域账号登录,分发给用户之前已经做好硬盘加密,防病毒,补丁以及其他的安全设定。公司会监控用户电脑的合规性,并定期生成报告。用户在电脑的权限由域控统一管理,公司内部有标准软件库。非标准软件安装及配置变更需要提权认证,并采用微软的解决方案对垃圾邮件进行过滤。
Q2:针对安全建设,好多企业是出于合规的要求。那么西安杨森在信息安全方面有哪些合规性要求呢?如:是否有HIPAA,是否有其他方面的合规要求?
林磊:由于杨森的生产及经营范围遍及全球,相关的合规要求必须满足,比如HIPAA,Privacy Act,GDPR,SOx等,其他一些强制认证,如GMP,PCI等。随着国内网络安全法的发布与实施,我司也在积极与各律所、咨询机构紧密合作,评估我们的合规性及新法规对我们的影响。尤其是跨境数据这块,我司很多数据都是存放在国外的数据中心。
Q3:就医药行业而言,研发应该是信息安全的重点领域,特别是在数据防泄漏(DLP)方面,林总能否介绍下西安杨森都有哪些举措呢?
林磊:公司研发部门采用单独的网络架构,与普通办公网络之间有防火墙控制。公司所有电脑均安装硬盘加密。公司对访问外部的网站及网络存储有严格的限制。安全部门正在评估主流的DLP产品,并在美国的部分部门展开试点部署。一旦时机成熟,将会在全球的研发部门推广。
需要提及的是,我司的研发主要在国外的研发中心,国内以临床试验为主。受制于个人隐私保护的要求,我司目前还没有对个人电脑进行数据监控。
Q4:医疗保健企业难免需要与很多供应商进行数据传输,那么西安杨森是如何管理第三方安全的呢?
林磊:与我司合作的第三方公司,只要第三方公司或其产品可以接触到我司信息或者接入我司网络,均需进行供应商安全评估。安全评估问卷以ISO27001为基础,结合强生的要求和具体实践。针对评估出来的风险,需要供应商根据其风险等级采取相应的补救措施。高风险的合作项目,如外包研发,除了调查问卷进行安全评估外,安全部门会与业务部门合作,到第三方公司进行现场参观与评估,包括物理环境,以及系统安全评估等。如第三方公司无法满足特定的安全要求,安全部门会启动风险告知流程,根据不同的风险等级,签署到不同等级的IT及业务负责人。
根据第三方公司的安全等级,我们会进行定期的安全回访与再评估。与第三方的数据交互,如果第三方需要VPN,我司技术部门会对供应商进行技术方面的安全评估,这部分要求会更严格。对第三方的安全要求,除了IT安全评估之外,在NDA及合同中也有相关约束。
Q5:西安杨森是否用到了云服务?那么,您又是如何看待云安全的?企业上公有云的安全防护重点有哪些呢?
林磊:我司积极采用各种云服务,全球统一采购云服务供应商商,如亚马逊的AWS和微软的Azure。云产品就更多了,Salesforce,Workday,Veeva等等。采购第三方的产品涉及到的云服务也建议使用AWS或者Azure。
云服务的架构安全由公司的网络安全团队进行审核,云主机的配置需满足公司的基线安全,数据存储和传输过程的加密标准。使用云服务的强生网站和应用需要在安全部门进行注册,由安全团队定期继续网络安全扫描。及时发现问题,限时解决。国内的供应商,如阿里云,腾讯云和华为云,我们暂时还没有评估。
Q6:对于医疗行业的信息安全,都应该从哪些维度/方面去开展安全建设工作呢?
林磊:信息安全建设,任重道远。我们在对一些医疗行业的供应商进行安全评估的时候,发现很多企业的安全建设相对滞后,连基本的负责信息安全的岗位都没有。很多IT总监、IT经理,甚至是专员来负责信息安全,但只是挂个名字,根本没有任何信息安全的活动。更有的公司,连信息安全的这个功能也没有,还处在一个很初级的阶段。对于信息安全的建设,我个人比较倾向于柳传志先生的管理三要素:搭班子、定战略、带队伍。
搭班子:也就是信息安全队伍的建设,公司需要有专业的信息安全从业人员来组建安全团队。很多公司在组建安全团队的时候,倾向于由熟悉业务的内部IT来做兼职安全管理,这在一定程度上不是很合理,一则是安全管理需要有一定的独立性,二则是很多安全方面的内容需要专业的人员来解读,三是安全能力不是一般IT人员所具备的;
定战略:公司要明确信息安全的战略,识别各类法律法规的强制性要求,行业性的要求,客户要求和信息安全最佳实践,完成相关的信息安全管理制度的建设。
带队伍:其实是一个实践的过程,安全团队在信息安全战略明确的情况下,根据法律法规,行业标准及最佳实践,进行自我评估,明确信息安全的建设方向。
此外,公司高层对信息安全的支持也是必不可少的。缺乏管理层支持的信息安全团队,得不到业务部门的配合,安全建设最终只能是纸上谈兵,发挥不了真正的作用。
Q7:西安杨森在安全防护领域对于新技术,比如大数据, AI等都有哪些应用?或者您如何看待安全领域新技术的应用?
林磊:在很多人的印象中,医疗行业是求稳,不会主动应变。但就我司来说,我们还是很勇于尝试新技术的应用的。我们的IT团队致力于使用新技术来提高IT服务水平和员工的工作效率。我司IT团队有专门的BI支持,通过对销售数据的分析,为管理层提供决策支持。
AI等新技术在药品推广方面的应用目前也已经进入实施阶段。很多IoT设备,如Google Glass已经在部分工厂部署。安全团队也有相关的人员对新技术进行评估。很多新技术都是有IT团队引进的,IT团队已经由原来的单纯的支持部门,已经变成业务增长的驱动力。
Q8:目前您觉得医疗企业在信息安全建设方面的进展如何?虽然在前面在关于安全建设建议的问题上已经提到了当前一些企业的做法,还很滞后。那么,请重点列举一些存在的薄弱点,以及对应措施和建议。
林磊:第一,很多企业的惯性还是只要不出安全事故,管理层对信息安全的投入基本不会增加;第二,新技术不断的发展并投入应用,但我们信息安全管理仍在沿用以前的老思路来对待这些新兴事物;第三,网络安全法,个人隐私保护法等法律制度的实施,增加了医疗企业的合规风险。
要想从根本上解决问题,还是要从管理层做起,在公司层面树立起重视信息安全的氛围,加大对安全团队的投资;信息安全团队也应加强自己的能力建设,不断自我进化,走在业务前边,不要总做信息安全事故的“背锅侠”。
Q9:您觉得作为药企的安全负责人,日常工作中在开展安全工作时面临的最大挑战或阻力是什么?
林磊:我觉得最大的障碍来自于业务快速增长的需求和信息安全管理相对之后、繁琐的矛盾。由于安全流程过于复杂繁琐,导致业务部门自行采购外部服务,脱离安全监管,最终导致在安全管理方面的缺失。简单的说就是业务为了业绩走的太快,安全为了稳定走的太慢;在快与慢的节奏之间,寻找这个平衡点太难了。
总体来说,强生的信息安全建设,在业界应该还是比较先进的。无论团队组成还是制度建设,亦或是落地与实施,都有很多值得我们国内企业借鉴的地方。我希望大家多多交流,共同促进信息安全行业的发展。
互动交流
Q10:请问是否方便介绍一下,贵司在一线销售人员所使用的终端设备(iPad、手机)安全方面,有哪些管控机制?ICS如何管理?
林磊:我司使用Airwatch对手机进行合规管理,手机上的办公应用从公司商店进行下载,使用移动设备的手机必须进行注册,集中管理。
在ICS管理上,我们借鉴NIST SP800-82,同时结合ICS-CERT,所有的工控系统都放在工控网,分权限控制,限制远程连接。
Q11:关于安全管理平台(SOC)建设的问题,贵公司是否部署了SOC平台?如何能够将SOC更好的在日常工作中使用和运维?企业利用SOC平台能否改变“安全总是救火队员”的宿命,转而更主动的感知安全威胁,提高安全预知能力?
林磊:是的,大部分业务数据都是放在国外的云平台上,所以我们也在根据新网络安全法进行评估,看哪些内容要放到国内,不过安全是“救火队员”这个命运我个人觉得是逃不掉的,比方说这次Wannacry病毒,由于我司的Patch及时,基本没什么影响,但是由于供应商有影响,所以我们SOC的同事也是24小时待命。
Q13:西安杨森的工控安全怎么进行的?有哪些强制性要求(管理、技术,运营),在这方面,以国外的标准为主,还是以国内的标准为主?业务接受风险,需要什么级别的领导决策?
林磊:安全的否决权其实也是有限的,如果业务决定了要做一些有安全风险的事情,并且愿意承担风险,安全这边只能是配合监控或者整改。但是合规是个硬性要求。工控安全还是以国外的为主,SP 800-82以及ICS CERT的要求,高风险,需要VP以上的级别;中风险是部门经理;低风险是业务主管。
审批人包括IT和业务两个部门。业务提了风险告知流程,安全团队会审核,然后才到IT和业务的审批人。参加审批的人都要承担风险的,谁审批,谁负责。