STARLIMS质量制造解决方案的网络安全措施

· 安全风险管理：

我们主动管理每件产品在其生命周期中的所有网络安全风险，特别关注安全工程。我们的项目包含安全风险评估、产品的安全性要求、技术安全测试以及第三方原料的安全。

·   安全事故处理以及事故反应：

当网络安全成为不断变化的话题，我们必须从诸多渠道收集有关新威胁、薄弱点以及知识的信息，这些渠道包括客户反馈、第三方原料供应商的信息以及威胁情报。安全事件以及事故必须按照法规义务（包括HIPAA、美国州法以及欧盟的GDPR）始终予以响应。另外，我们的项目包括威胁情报、补丁以及薄弱点管理，以及产品安全信息与事件管理。

·   外部沟通：

我们重视外部互动与沟通，这是与外部利益相关方保持良好关系的重要工具，同时也可以就安全属性、薄弱点、软件更新以及网络安全事件提供一致的消息。我们的项目包括产品安全属性文件、薄弱点沟通、咨询答复、法规提交以及安全授权。

·   安全教育与培训：

我们的员工会接受其职责所需及相适应的技能培训，目的是设计并生产安全的产品并提供支持。另外，我们的员工会接受有效的培训，以履行其在医疗器械网络安全项目范围内的职责。团队成员通过针对性培训或课堂学习来掌握各自岗位所要求的技能或知识。我们的项目包括安全意识、安全开发、组织流程以及产品生命周期相关的培训。

·   项目监管：

监督并报告医疗器械网络安全项目的流程，有助于我们做决策并改进项目的执行力与责任心。为了保证项目按预期的计划执行，我们会收集、分析并向管理层报告绩效相关的数据，以便与项目的既定目标进行比较。项目监管可以帮助管理层了解项目进度、效果以及公司运作的效率，并在必要时，采取纠正措施。我们的项目包括针对绩效指标、产品库存、项目审计框架以及项目评估框架的连续监测以及定期的详细审计与评估。

·    安全风险评估（SRA）：

我们对经由风险预测工具确定的雅培高风险产品采用SRA流程。我们的端对端安全风险评估流程包括计划及信息收集、确定适用的产品信息、开发组分记录、确定安全控制组及进行控制分析、进行威胁建模、确定薄弱点并与威胁配对、计算薄弱点的风险等级、确定其它推荐的风险降低控制，以及计算剩余风险的等级。安全风险评估参照行业内主要的惯例以及安全风险管理框架，包括但不限于NIST 800-53、NIST CSF、CLSI AUTO 11-A2 以及ISO 80001。另外，评估流程通过提供以下内容与NIST 800-30以及FDA指南相匹配：

-  确认资产、威胁以及薄弱点。

-  经深思熟虑的网络安全控制清单

-   “可追溯矩阵”，其将实际的网络安全控制与被发现的网络安全风险相联系

-  产品功能以及最终用户/患者相关薄弱点影响的评估

-  对利用威胁以及薄弱点的能力评估

-  确定风险水平以及合适的风险降低策略

·    技术安全测试（TST）：

我们需要确定是否根据产品的功能以及通过风险预测工具确定的相关风险水平，执行TST流程。该测试包括主动测试与被动测试：

-  应用安全测试：应用架构安全、应用中的常见风险、网络应用以及服务安全性测试、应用交易的安全、外部图书馆的安全以及应用编程接口

-  网络安全测试：网络服务安全性测试、无线网络安全性测试以及通信协议的安全性测试

-  硬件安全测试：固件（数据）提取以及文件系统分析，固件/补丁管理分析、固件保护安全性测试以及固件源编码分析

-  硬件安全测试：物理安全性分析、防篡改保护测试、调试接口安全性测试以及产品的网络安全特征

·   PII的有限加工：

STARLIMS质量制造解决方案利用样本IDs来追踪样本。

·   应用审计日志：

选择安全事件，包括但不限于登录尝试及失败、用户历史记录及用户取消，或应用程序内的交易

·   传输中数据的保护：

技术平台拥有防篡改机制，可以发现通信篡改，对于防御自动侵入工具非常有效。该机制的运作机制是在所有代表哈希值的请求及响应中插入一个标题，另外，还有基于过程的验证流程。

·   保证完整性以及真实性：

按逻辑性发现篡改的证据并拒绝类似的请求。设有检查完整性的程序，按预定义目录对扩展进行验证。用户必须进入系统，完成数据的上传，并且上传的数据会按文件扩展的预定义目录进行核对。

·   用户账户：

STARLIMS用户管理功能支持基于任务的存取控制。任务用于限制产品内的应用程序以及表格的用户存取。

·   安全账户/密码政策：

应用程序支持客户按照再次使用相同密码前的天数、再次使用相同密码前的更改、更改密码前的天数、密码使用期限、宽限登录、密码错误尝试后锁定以及密码复杂性方面设置限制。

·   对身份以及证书进行管理：

保存采用哈希值生成的密码，而非保存纯文字密码。

·   安全的远程桌面连接：

雅培启用的远程桌面连接采用密码保护，并且通过安全的加密通信通道进行传输。

·   物理保护产品以及其操作环境：

保护产品的物理安全性并以安全的方式进行操作。通过设备的使用来控制并监视系统的物理访问，比如安全摄像以及安全标记。另外，关闭未使用的网络设备的物理端口，防止未经授权进入应用程序。网络服务器以及数据库的安全是每一位客户的责任。

·   安全操作并保护您的网络：

通过使用网络侵入检测及防御机制、使用高级别的网络/应用隔火墙以及网络分割来保护客户的网络。另外，保证所有远程访问技术的安全并以合理的方式处理数据。

·   对授权用户的限制访问：

根据贵公司的安全政策，授权用户访问STARLIMS质量制造解决方案设置为限制访问。

·   管理并保护您的敏感数据：

应采用合适的实验室操作规范，对从应用程序输出的报告或者其它数据进行管理。

·   发现恶意及移动代码：

为主机选择并执行防病毒/防恶意软件保护软件。

·   保证静态数据的安全：

通过数据库以及文件系统加密来保证应用数据的安全。

·   监视安全事故：

根据公司的政策，对审计日志/痕迹进行主动监视。

·   保证可移动媒体的安全：

当需要输出敏感数据时，使用加密的可移动媒体产品。

·   保护客户终端：

为服务器以及客户机器选择、执行并更新防病毒以及防恶意软件保护软件。

雅培信息 STARLIMS