一个本地的安全供应链 - 包括所有合作伙伴
当然,对于任何一家制药公司来说,网络安全供应链中的第一个环节就是他们自己的基础设施和核心生产基地。在内部,公司必须采取基于风险的网络安全方法,遵循全球最佳实践,确定优先级,并根据纵深防御战略应用技术、政策和程序。
通过风险评估,制药公司还将建立所有合同流程所需的安全级别。
下一个障碍是确定所考虑的 CMO 是否共享制药公司的网络安全状态级别,并应用相同的严格程度。同样,网络安全风险评估是评估 CMO 安全状态级别并实现这一目标的最佳方法。理想情况下,在正式达成任何协议之前,应在合同制造商的现场进行评估。
除了确定 CMO 的整体安全状态级别外,评估还将确定可能使制药企业资产面临风险的缺口。下一步,制药公司将确定哪些解决方案可以降低风险,并将 CMO 的系统与自己的系统充分隔离,同时仍然保持对关键流程或信息的可视性。适当的解决方案包括网络分段、专用防火墙、安全远程访问、安全区域和其他技术。
保持遵守安全标准
最终,制药公司和合同制造商必须就要遵守的安全标准达成一致。但正如我们所知,认可标准和保持对标准的遵守可能是两件截然不同的事情。
因此,必须将基于风险的供应链网络安全方法扩展到 CMO 系统设计、部署和监控,以及制造资产和信息基础设施的所有权。制药公司在所有权方面有三种风险程度不同的选择:
- CMO 拥有制造资产和信息基础设施。这种方法要求最低的资本支出。但它也依赖 CMO 在有限的监督下运用专业知识保持合适的安全状态级别。
- CMO 拥有制造资产,而制药公司保留信息基础设施的所有权。该方案利用现有的生产资产将资本支出降至最低。然而,制药公司保留基础设施的所有权和管理权,而基础设施通常通过分段网络上的工业数据中心进行部署。
- 制药公司保留生产资产和信息基础设施的所有权。在这种情况下,制药公司会承担更高的资本成本,但安全保障水平更高。CMO 只提供生产基地和人员来运行设备。