讓安全延續到外包製造組織(CMO)

安全的供應鏈從自身開始-並擴及所有合作夥伴

當然，對任何製藥公司而言，網路安全供應鏈的第一個環節，就是自有基礎建設和核心製造基地。公司內部必須採取遵循全球最佳實務，優先處理順序，以及根據縱深防禦策略應用的各項技術、原則和程序的風險型網路安全方法。

透過風險評估，製藥公司也會建立任何外包程序所需的安全性等級。

下一個障礙是判斷所考慮的CMO是否會分享製藥公司的網路安全狀態-以及是否採取同樣嚴格的安全防護。同樣地，網路安全風險評估，是評估CMO的安全狀態和實現此目標的最佳方法。理想的狀態下，評估應在所有的合約正式生效之前，於外包製造商的基地進行。

除了確定CMO的整體安全狀態外，此項評估也可以用來找出可能會讓製藥公司的營業資產暴露在風險下的漏洞。製藥公司接下來應決定可以用來降低風險和適當隔離CMO系統和自有系統的解決方案-同時仍保持對關鍵製程或資訊的可見性。適當的解決方案包括網路區隔、專用防火牆、安全遠端存取、安全區域和其他技術。

保持安全標準的合規性

最後，製藥公司和外包製造商必須同意遵守一致的安全性標準。但我們都知道，同意標準和保持合規性常常是完全不同的兩回事。

因此，對於供應鏈網路安全性所採取的風險型方法，必須延伸到CMO系統的設計、部署和監測-以及製造資產和資訊基礎建設的所有權。就具有不同程度之相關風險的所有權而言，製藥公司有三個選擇：

• CMO擁有製造資產和資訊基礎建設。這種方法所需的資本支出為最低。不過，這種方法也必須仰賴具備專業知識的CMO，以在有限疏忽的情況下維持適當的安全狀態。
• CMO擁有製造資產，而製藥公司保有資訊基礎建設的所有權。這個選項可以利用現有的生產資產，將資本支出降到最低。製藥公司保有基礎建設的所有權和管理權，通常透過分段網路上的工業資料中心進行部署。
• 製藥公司保有生產資產和資訊基礎建設的所有權。在此一情形下，製藥公司的資本成本較高-但安全性保證的程度也更高。CMO僅提供運作設備的生產空間和人員。

基礎建設即服務(IaaS)的優點

製藥公司可能會將保有資訊基礎建設的所有權做為廣泛CMO應用的保守選擇。不過，對於多個外包製造基地的安全基礎建設的部署和監測，卻可能是個難題。

首先，負責CMO管理的內部組織能夠運用的資源有限。這些業務通常不會被交給負責核心製造和企業系統的企業IT。製藥公司只是內部沒有頻寬足以承擔數十或數百個外包製造基地的責任。

將基礎建設的部署和監測外包給第三方，可能是一種極具成本效益的高效率選項。基礎建設即服務(IaaS)供應商可以為多個全球外包製造基地提供統一的架構-以及採通用服務的標準和驗證部署。

一般作業包括每季報告和服務等級合約，其中明定了問題和異常狀況的回應時間，範圍涵蓋從網路或基礎建設故障到網路安全漏洞。

深入瞭解可以簡化製造外包和協助緩解網路安全風險的基礎建設即服務(IaaS)和其他工業網路服務。