Bảo mật thông tin tại Fresenius Kabi

Tại Fresenius Kabi, chúng tôi hiểu rằng an ninh thông tin là vấn đề quan trọng với khách hàng, bệnh nhân và các đối tác kinh doanh của chúng tôi. Chúng tôi cam kết duy trì an ninh thông tin thông qua việc quản lý có trách nhiệm, sử dụng và bảo vệ phù hợp theo các yêu cầu pháp lý và quy định.

Tổ chức Bảo mật thông tin

Chúng tôi đăng tải Chính sách An ninh Mạng bằng văn bản nêu rõ các vai trò và trách nhiệm về an ninh mạng được xác định trong tổ chức.

Nhóm bảo mật của chúng tôi tập trung vào bảo mật thông tin, kiểm tra và tuân thủ bảo mật toàn cầu, cũng như xác định các biện pháp kiểm soát bảo mật để bảo vệ phần cứng và cơ sở hạ tầng của Fresenius Kabi. Nhóm bảo mật nhận được thông báo bảo mật hệ thống thông tin một cách thường xuyên và phân phối thông tin tư vấn và cảnh báo bảo mật cho tổ chức một cách thường xuyên.

Mô hình năng lực bảo mật thông tin

Chúng tôi đã áp dụng Mô hình năng lực bảo mật thông tin dựa trên Kiểm soát bảo mật quan trọng (CIS 18), được bổ sung bởi các biện pháp bảo mật khác dựa trên các phương pháp hay nhất trong ngành. Điều này cho phép chúng tôi duy trì một cách tiếp cận toàn diện để tuân thủ vấn đề bảo mật. Ngoài ra, việc đánh giá mức độ hoàn thiện định kỳ về khả năng bảo mật của chúng tôi cũng được tiến hành thường xuyên và kết quả được báo cáo cho ban quản lý Fresenius Kabi.

Quản lý tuân thủ bảo mật

Chúng tôi đang trong quá trình phát triển một bộ quy tắc phù hợp với các yêu cầu cơ bản của Tập đoàn Fresenius, một danh mục kiểm soát nội bộ rộng khắp của Tập đoàn Fresenius phù hợp với các thông lệ tốt nhất trong ngành.

Fresenius Kabi có chương trình kiểm toán nội bộ chính thức được triển khai để đảm bảo tuân thủ các chính sách nội bộ của chúng tôi, luật và quy định về an ninh mạng có liên quan.

Quản lý dữ liệu an toàn

Chúng tôi đã thiết lập quy trình phân loại dữ liệu để áp dụng các biện pháp bảo mật thích hợp nhằm bảo vệ dữ liệu của khách hàng, bệnh nhân và đối tác kinh doanh của chúng tôi.

Chúng tôi mã hóa dữ liệu nhạy cảm trong quá trình truyền tải và ở trạng thái lưu trữ nếu có thể và thực tế.

Quản lý kiểm soát truy cập

Chúng tôi đã thiết lập các yêu cầu quản lý quyền truy cập để cấp, quản lý và thu hồi quyền truy cập của người dùng. Kiểm soát truy cập dựa trên vai trò được triển khai để truy cập vào hệ thống thông tin Fresenius Kabi.

Các biện pháp kiểm soát quyền truy cập vào dữ liệu nhạy cảm trong cơ sở dữ liệu, hệ thống và môi trường của chúng tôi được đặt theo nguyên tắc cần biết. Hơn nữa, chúng tôi chỉ cấp quyền truy cập theo nguyên tắc đặc quyền tối thiểu.

Người sử dụng hệ thống thông tin được cấp tài khoản người dùng và mật khẩu duy nhất, các yêu cầu về mật khẩu được xác định và thực thi.

Chúng tôi hạn chế đặc quyền của quản trị viên đối với các tài khoản quản trị viên được chỉ định.

Phần mềm mạng riêng ảo (VPN) được cung cấp cho người dùng của chúng tôi để cho phép truy cập từ xa an toàn, dựa trên internet vào các hệ thống chính. Chúng tôi cũng yêu cầu xác thực đa yếu tố để truy cập mạng từ xa.

Các lỗ hổng và quản lý bản lỗi

Chúng tôi cố gắng áp dụng các bản vá lỗi và bản cập nhật an ninh mới nhất cho hệ điều hành, điểm cuối và cơ sở hạ tầng mạng để giảm thiểu rủi ro từ các lỗ hổng.

Một quy trình quản lý bản vá lỗi được áp dụng để triển khai các bản cập nhật bản vá lỗi an ninh khi chúng được phát hành bởi nhà cung cấp.

Chúng tôi thực hiện quét định kỳ đối với các tài sản nội bộ và bên ngoài.

Thử nghiệm xâm nhập

Chúng tôi có các quy trình được thiết lập để đánh giá và sửa các lỗ hổng được phát hiện trong quá trình thử nghiệm xâm nhập hai năm một lần bởi đối tác thử nghiệm xâm nhập độc lập và đủ điều kiện của chúng tôi là Cobalt Labs Inc.

Quản lý Ứng phó Sự cố

Chúng tôi có kế hoạch ứng phó sự cố chính thức và các quy trình liên quan sẽ được kích hoạt trong trường hợp xảy ra sự cố an ninh. Kế hoạch ứng phó sự cố xác định trách nhiệm của các nhân sự chủ chốt và xác định các quy trình, thủ tục để thông báo và báo cáo. Nhân viên ứng phó sự cố được đào tạo và việc thực hiện kế hoạch ứng phó sự cố được kiểm tra định kỳ.

Chúng tôi tuân theo Quy trình ứng phó sự cố của SANS, một khung tiêu chuẩn ngành để đối phó sự cố, nhằm giúp chuẩn bị, xác định, ngăn chặn, phát hiện và ứng phó với các sự cố anh ninh. Chúng tôi được hỗ trợ trong việc này bởi Nhóm ứng phó khẩn cấp an ninh mạng Fresenius (CERT).

Bảo vệ máy trạm

Các máy trạm của chúng tôi được trang bị giải pháp chống vi-rút được quản lý tập trung để đảm bảo rằng các cập nhật về vi-rút mới nhất luôn có sẵn trên các máy trạm và các chính sách bảo mật nhất quán được thực thi trên tất cả các máy trạm.

Tất cả máy tính xách tay đều được mã hóa toàn bộ ổ đĩa với các khóa được quản lý bằng kho bảo mật.

Chúng tôi đã định cấu hình khóa phiên tự động trên tài sản doanh nghiệp sau một khoảng thời gian không hoạt động xác định.

Thiết bị di động phải tuân theo hệ thống quản lý thiết bị di động và chỉ được phép truy cập từ các thiết bị được định cấu hình theo chính sách bảo mật của chúng tôi. Chính sách bảo mật này yêu cầu nhập mã để truy cập thiết bị và cho phép xóa từ xa nếu thiết bị được báo cáo bị mất hoặc bị đánh cắp.

Bảo mật Mạng và Bảo mật Email

Chúng tôi thực hiện lọc dữ liệu truyền tải giữa các phân đoạn mạng.

Chỉ các mạng không dây được quản lý bởi Fresenius Kabi mới được phép trong môi trường của chúng tôi. Kiểm soát bảo mật truy cập không dây bao gồm phân tách quyền truy cập của công ty và khách và xoay vòng khóa không dây.

Chúng tôi đã triển khai giải pháp thường xuyên cập nhật phần mềm lọc URL chặn truy cập vào các trang web không phù hợp từ mạng của nó.

Cổng email của chúng tôi đóng vai trò là rào cản lọc lưu lượng truy cập độc hại và ngăn chặn hành vi lừa đảo và chỉ cho phép liên lạc xác thực.

Ghi lại Nhật ký & Giám sát

Nhật ký hệ thống ứng dụng và cơ sở hạ tầng được lưu trữ để khắc phục sự cố, đánh giá và phân tích bảo mật bởi nhân viên được ủy quyền. Nhật ký được bảo quản theo yêu cầu quy định.

Cảnh báo sự kiện an ninh tập trung trên toàn bộ tài sản doanh nghiệp để tương quan và phân tích nhật ký được triển khai. Nền tảng phân tích nhật ký được định cấu hình với các cảnh báo tương quan liên quan đến an ninh cũng đáp ứng biện pháp bảo vệ này.

Đào tạo và Nâng cao Nhận thức của Nhân viên

Nhân viên của Fresenius Kabi được yêu cầu tham gia khóa đào tạo nâng cao nhận thức về an ninh mạng. Vì mục đích này, chúng tôi cung cấp nhiều định dạng khác nhau để trình bày chủ đề an ninh mạng và làm cho chủ đề này trở nên đơn giản dễ hiểu. Khẩu hiệu của chúng tôi là "An ninh mạng là một môn thể thao đồng đội" và với tinh thần này, chúng tôi thường xuyên cố gắng truyền cảm hứng cho nhân viên của mình bằng nhiều chiến dịch nâng cao nhận thức khác nhau, bằng các bài báo và bài đăng trên blog về chủ đề bảo mật để trở thành thành viên tích cực trong chiến lược phòng thủ của công ty chúng tôi.

Đi kèm với chương trình nâng cao nhận thức về bảo mật của chúng tôi, mọi người có quyền truy cập vào hệ thống CNTT của chúng tôi đều được cung cấp các bài kiểm tra mô phỏng lừa đảo hàng quý. Các chiến dịch hàng quý hỗ trợ nâng cao nhận thức về bảo mật khi chúng nâng cao kiến thức và cảnh giác của mọi người về các email lừa đảo.

Bảo mật Vật lý

Kiểm soát truy cập vật lý được thực hiện tại văn phòng của chúng tôi. Các biện pháp kiểm soát bao gồm an ninh tòa nhà và bảo đảm quyền ra vào cơ sở Fresenius Kabi. Cần có quyền truy cập thẻ lân cận để vào văn phòng và nhà máy sản xuất của Fresenius Kabi. Có các quy trình xác định để kiểm soát việc ra vào của khách, yêu cầu tất cả khách phải báo cáo với lễ tân.