En 400-6655-581
2
返回
> 合作案例 > 醫(yī)療/醫(yī)藥

行業(yè)合集 | 派拉零信任身份安全醫(yī)療醫(yī)藥行業(yè)方案+案例合集

醫(yī)療醫(yī)藥行業(yè)是我國國民經(jīng)濟(jì)的重要組成部分,在整個消費(fèi)市場中有著舉足輕重的地位。為鼓勵醫(yī)療醫(yī)藥行業(yè)健康發(fā)展,近年來,國家出臺了多項(xiàng)法律法規(guī)以及產(chǎn)業(yè)政策,目的在于改變行業(yè)以往存在的一些問題,為醫(yī)療醫(yī)藥行業(yè)的發(fā)展和創(chuàng)新營造了良好的政策環(huán)境。

 

面臨挑戰(zhàn)

醫(yī)藥行業(yè)

 

目前,醫(yī)藥行業(yè)的數(shù)字化發(fā)展涉及全產(chǎn)業(yè)鏈、多主體參與,包括研發(fā)、生產(chǎn)和醫(yī)藥流通等各個環(huán)節(jié),數(shù)字化的解決方案在加快新藥研發(fā)、提升生產(chǎn)效率的同時,也帶來一定的風(fēng)險挑戰(zhàn)。

 

生物藥或創(chuàng)新藥企業(yè)主要是以中小型企業(yè)為主,面向新藥的研發(fā)。目前,企業(yè)主要面臨如下挑戰(zhàn):

 

  • 關(guān)注業(yè)務(wù)和企業(yè)上市,而忽視企業(yè)信息安全建設(shè),不滿足上市公司合規(guī)性監(jiān)管要求;

  • 身份管理不規(guī)范,存在信息泄露、身份冒用、越權(quán)訪問等安全風(fēng)險,無法保障研發(fā)過程中系統(tǒng)所產(chǎn)生的大量沉淀數(shù)據(jù)的安全;

  • 未實(shí)現(xiàn)匹配員工生命周期的應(yīng)用賬號和權(quán)限管理,核心人員離職時,由于信息不及時,存在賬號未及時回收的現(xiàn)象;

  • 隨著業(yè)務(wù)發(fā)展,信息系統(tǒng)增多,系統(tǒng)之間數(shù)據(jù)交互需求增加,接口數(shù)據(jù)報錯無法及時發(fā)現(xiàn)和處理,影響前端業(yè)務(wù)正常運(yùn)營;

 

傳統(tǒng)藥企主要以大型企業(yè)為主,目前存在如下挑戰(zhàn):

 

  • 藥企人員較多,系統(tǒng)多,不同的系統(tǒng)架構(gòu)不同,員工應(yīng)用賬戶和權(quán)限,難以進(jìn)行集中管控;

  • 隨著企業(yè)不斷發(fā)展,不同應(yīng)用系統(tǒng)中,企業(yè)組織架構(gòu)多樣,導(dǎo)致應(yīng)用系統(tǒng)中員工與組織的對應(yīng)關(guān)系混亂,應(yīng)用權(quán)限難管理;

  • 員工人事變動時,應(yīng)用賬號和權(quán)限,無法自動同步變更,需手動維護(hù),效率低;

  • 信息流通不及時,應(yīng)用系統(tǒng)內(nèi)部存在大量僵尸賬號、幽靈賬號;

  • 沒有明確的身份管理標(biāo)準(zhǔn)和規(guī)范,企業(yè)數(shù)字化轉(zhuǎn)型難落地;

 

 

醫(yī)療行業(yè)

 

醫(yī)療器械作為特殊商品,關(guān)系到人民的生命安全,國家GXP管理標(biāo)準(zhǔn)對其有相當(dāng)嚴(yán)格的要求。在醫(yī)療行業(yè)物流、倉儲等管理環(huán)節(jié)中,也存在一些難題。

 

  • 沒有標(biāo)準(zhǔn)的人員管理規(guī)范SOP,實(shí)際管理中人員權(quán)限混亂,職責(zé)不清;

  • 管理系統(tǒng)之間數(shù)據(jù)不互通,無法實(shí)現(xiàn)自動精細(xì)化人員身份管理;

 

 

醫(yī)院

 

由于醫(yī)院機(jī)構(gòu)的特殊性,患者預(yù)約信息、檢查檢驗(yàn)信息、就診信息、醫(yī)學(xué)數(shù)據(jù)等醫(yī)療信息都是屬于緊急使用的信息,一旦這些數(shù)據(jù)被加密勒索,就會造成很大的影響,因此,在信息化建設(shè)過程中,存在以下挑戰(zhàn):

 

  • 管理人員、科室主任、門診主任等需管理多套系統(tǒng)的賬號密碼;

  • 醫(yī)院員工修改密碼、申請權(quán)限等需要等待很長的時間周期;

  • 總院與其下屬部門、分支機(jī)構(gòu)等存在數(shù)據(jù)壁壘;

  • 醫(yī)院員工賬號存在大量弱密碼情況,不滿足安全合規(guī)的要求;

  • 處方、電子病歷無人監(jiān)管,如有數(shù)據(jù)泄露,無法追溯到責(zé)任人;

    解決方案

     

    No.1醫(yī)藥行業(yè)-生物制藥企業(yè)

     

    目前,大部分生物制藥公司存在上市的需求,而公司內(nèi)部控制環(huán)境不完善、缺乏有效的監(jiān)督機(jī)制等問題嚴(yán)重影響公司在上市過程中的合法合規(guī)性要求。藥企安全法規(guī)《網(wǎng)絡(luò)安全空間法》、《等保條例》等國家信息安全通用法規(guī)中明確提出實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度、用戶身份的標(biāo)識和鑒別以及權(quán)限訪問控制等要求。派拉零信任身份管理平臺通過數(shù)字身份安全服務(wù)支撐CSV法規(guī),規(guī)范身份鑒別、可信認(rèn)證、訪問控制、入侵防范及安全審計(jì)等IT制度,快速構(gòu)建“可信、可控、可管”的身份安全防護(hù)體系,滿足國家政策法規(guī)的合規(guī)要求;

     

    同時,實(shí)現(xiàn)藥企員工從辦公域訪問生產(chǎn)域時的受控訪問,員工所有的訪問行為均在可控的范圍之內(nèi)進(jìn)行,確保不會出現(xiàn)越權(quán)操作,有效防止從外部發(fā)起的攻擊行為;

     

    對于離職員工,派拉零信任身份管理提供一鍵清權(quán)機(jī)制,有效避免離職員工再登錄到系統(tǒng)中訪問核心數(shù)據(jù)的操作;

     

    為藥企制定API管理集成規(guī)范,打通藥企上下游業(yè)務(wù),并對非法的訪問請求進(jìn)行攔截,實(shí)時記錄接口在運(yùn)行過程中的問題及隱患,減少API數(shù)據(jù)泄露和攻擊風(fēng)險。

    No.2醫(yī)藥行業(yè)-傳統(tǒng)藥企

     

    針對傳統(tǒng)藥企,派拉零信任身份管理平臺通過與藥企上游hr系統(tǒng)對接構(gòu)建權(quán)威用戶數(shù)據(jù)源,將組織架構(gòu)中的人員信息進(jìn)行統(tǒng)一管理,保障員工在各個業(yè)務(wù)系統(tǒng)中身份數(shù)據(jù)的同步;

     

    為藥企員工提供全生命周期化的賬號管理機(jī)制,涉及到入職、離職、調(diào)崗只需員工在系統(tǒng)中進(jìn)行權(quán)限變更申請即可,無須IT運(yùn)維人員手動處理;

     

    另外,派拉零信任身份管理平臺可根據(jù)實(shí)際企業(yè)運(yùn)行需求設(shè)置相應(yīng)的策略模塊,定期對系統(tǒng)內(nèi)賬號掃描審核,有效規(guī)避僵尸賬號、孤兒賬號所帶來的安全隱患;

     

    對于權(quán)限濫用,數(shù)據(jù)泄露等風(fēng)險,派拉零信任身份管理平臺根據(jù)藥企內(nèi)部多元化的管控需求,提供組織、用戶及應(yīng)用的分級管理設(shè)置多元化的角色權(quán)限,實(shí)現(xiàn)身份的集中掌控和分級治理。

     

    No.3醫(yī)療行業(yè)

     

    國家GMP管理規(guī)范中明確要求,企業(yè)應(yīng)當(dāng)采取適當(dāng)?shù)姆绞蕉沤^未經(jīng)許可的人員進(jìn)入系統(tǒng),企業(yè)系統(tǒng)中的關(guān)鍵數(shù)據(jù),只有被授權(quán)人員方有修改權(quán)限。派拉零信任身份管理平臺根據(jù)醫(yī)療企業(yè)的業(yè)務(wù)邏輯,在設(shè)計(jì)系統(tǒng)功能模塊的同時,兼顧GMP規(guī)范要求,將倉庫管理軟件WMS、醫(yī)藥銷售追溯平臺等與企業(yè)下游ERP業(yè)務(wù)系統(tǒng)打通,實(shí)現(xiàn)數(shù)據(jù)的雙向交換,滿足醫(yī)療企業(yè)內(nèi)部大量的數(shù)據(jù)查詢與統(tǒng)計(jì)工作,從而最大限度的支持業(yè)務(wù)流程;

     

    根據(jù)醫(yī)療企業(yè)的合規(guī)要求,派拉零信任身份管理平臺提供基于ABAC的細(xì)粒度授權(quán),將需要管理的應(yīng)用系統(tǒng)的權(quán)限回收,并進(jìn)行統(tǒng)一管理,依據(jù)員工的角色、崗位,職級等為其分配相應(yīng)的權(quán)限,提升企業(yè)內(nèi)部信息化管理水平;

     

    同時,派拉零信任身份管理平臺集中授權(quán)管理中心對員工訪問行為進(jìn)行集中、全局性的審計(jì),保障管理員在系統(tǒng)應(yīng)用、數(shù)據(jù)等發(fā)生問題時能夠方便地總覽各類相關(guān)的日志,實(shí)現(xiàn)可追溯式用戶管理體系。

    No.4醫(yī)院

     

    醫(yī)院中醫(yī)務(wù)人員使用的應(yīng)用系統(tǒng)大多比較單一,門診醫(yī)生一般使用HIS系統(tǒng),放射科醫(yī)生一般只使用PACS系統(tǒng),但對于醫(yī)院管理人員而言,通常存在需要頻繁訪問各個業(yè)務(wù)系統(tǒng)的需求,派拉零信任身份身份管理平臺打通醫(yī)院運(yùn)營管理系統(tǒng)、醫(yī)院臨床信息系統(tǒng)和醫(yī)院醫(yī)療管理系統(tǒng)以及總院與分院,總院與各個分支機(jī)構(gòu)之間的數(shù)據(jù)壁壘,醫(yī)院管理人員只需要一套賬號密碼,即可在無感知的情況下,跨系統(tǒng)訪問,有效提升醫(yī)院管理人員體驗(yàn)感;

     

    同時,派拉零信任身份管理平臺提供自助服務(wù)模塊,醫(yī)務(wù)人員可自助進(jìn)行密碼修改、個人信息修改、權(quán)限申請等操作,提升組織協(xié)同辦公效率;

     

    由于大多數(shù)醫(yī)院員工使用工號作為賬戶名,并設(shè)置初始密碼為空或弱密碼,且長期不進(jìn)行密碼變更,長此以往,賬號被盜或者被攻擊的風(fēng)險性極高?;谝陨锨闆r,派拉統(tǒng)一訪問控制平臺通過掃碼認(rèn)證、短信認(rèn)證等多種認(rèn)證方式,增強(qiáng)系統(tǒng)訪問認(rèn)證強(qiáng)度,并結(jié)合員工登錄的設(shè)備、網(wǎng)絡(luò)、時間等進(jìn)行智能風(fēng)險分析,實(shí)時監(jiān)測用戶登錄環(huán)境,對異常賬號進(jìn)行攔截,有效增強(qiáng)系統(tǒng)訪問認(rèn)證強(qiáng)度;

     

    在病人隱私信息安全監(jiān)管方面,派拉零信任身份管理平臺提供標(biāo)準(zhǔn)的權(quán)限管理規(guī)范,對醫(yī)務(wù)人員權(quán)限進(jìn)行細(xì)粒度劃分,確保只有門診醫(yī)生、科室主任等人員有權(quán)限查看病人病人的處方、電子病歷等個人敏感信息,并且為每一個員工分配實(shí)名制賬號,實(shí)現(xiàn)醫(yī)務(wù)人員在系統(tǒng)中的所有操作均有跡可查,有效避免數(shù)據(jù)泄露時無法通過賬號追責(zé)到人的情況。