安全的供應鏈從自身開始-並擴及所有合作夥伴
當然,對任何製藥公司而言,網路安全供應鏈的第一個環節,就是自有基礎建設和核心製造基地。公司內部必須採取遵循全球最佳實務,優先處理順序,以及根據縱深防禦策略應用的各項技術、原則和程序的風險型網路安全方法。
透過風險評估,製藥公司也會建立任何外包程序所需的安全性等級。
下一個障礙是判斷所考慮的CMO是否會分享製藥公司的網路安全狀態-以及是否採取同樣嚴格的安全防護。同樣地,網路安全風險評估,是評估CMO的安全狀態和實現此目標的最佳方法。理想的狀態下,評估應在所有的合約正式生效之前,於外包製造商的基地進行。
除了確定CMO的整體安全狀態外,此項評估也可以用來找出可能會讓製藥公司的營業資產暴露在風險下的漏洞。製藥公司接下來應決定可以用來降低風險和適當隔離CMO系統和自有系統的解決方案-同時仍保持對關鍵製程或資訊的可見性。適當的解決方案包括網路區隔、專用防火牆、安全遠端存取、安全區域和其他技術。
保持安全標準的合規性
最後,製藥公司和外包製造商必須同意遵守一致的安全性標準。但我們都知道,同意標準和保持合規性常常是完全不同的兩回事。
因此,對於供應鏈網路安全性所採取的風險型方法,必須延伸到CMO系統的設計、部署和監測-以及製造資產和資訊基礎建設的所有權。就具有不同程度之相關風險的所有權而言,製藥公司有三個選擇:
- CMO擁有製造資產和資訊基礎建設。這種方法所需的資本支出為最低。不過,這種方法也必須仰賴具備專業知識的CMO,以在有限疏忽的情況下維持適當的安全狀態。
- CMO擁有製造資產,而製藥公司保有資訊基礎建設的所有權。這個選項可以利用現有的生產資產,將資本支出降到最低。製藥公司保有基礎建設的所有權和管理權,通常透過分段網路上的工業資料中心進行部署。
- 製藥公司保有生產資產和資訊基礎建設的所有權。在此一情形下,製藥公司的資本成本較高-但安全性保證的程度也更高。CMO僅提供運作設備的生產空間和人員。
