ความปลอดภัยของข้อมูลที่ Fresenius Kabi

ที่ เฟรเซนีอุส คาบี เราทราบดีว่าความปลอดภัยของข้อมูลมีความสําคัญต่อลูกค้า เรามุ่งมั่นที่จะรักษาความปลอดภัยของข้อมูลผ่านการจัดการอย่างมีความรับผิดชอบ การใช้งานที่เหมาะสม และการป้องกันตามข้อกําหนดทางกฎหมายและข้อบังคับ

 

องค์กรด้านความปลอดภัยของข้อมูล

เราได้เผยแพร่นโยบายความปลอดภัยทางไซเบอร์ที่เป็นลายลักษณ์อักษร ซึ่งสรุปบทบาทและความรับผิดชอบด้านความปลอดภัยทางไซเบอร์ที่กําหนดไว้ภายในองค์กร

ทีมรักษาความปลอดภัยของเรามุ่งเน้นไปที่ความปลอดภัยของข้อมูลการตรวจสอบความปลอดภัยทั่วโลกและการปฏิบัติตามข้อกําหนดตลอดจนการกําหนดการควบคุมความปลอดภัยเพื่อปกป้องฮาร์ดแวร์และโครงสร้างพื้นฐานของ เฟรเซนีอุส คาบี ทีมรักษาความปลอดภัยได้รับการแจ้งเตือนความปลอดภัยของระบบข้อมูลเป็นประจําและแจกจ่ายการแจ้งเตือนความปลอดภัยและข้อมูลคําแนะนําให้กับองค์กรเป็นประจํา

แนวปฏิบัติความสามารถด้านความปลอดภัยของข้อมูล

เราได้นําแนวปฏิบัติความสามารถด้านความปลอดภัยของข้อมูลมาใช้ตามการควบคุมความปลอดภัยที่สําคัญ (CIS 18) ซึ่งเสริมด้วยมาตรการรักษาความปลอดภัยอื่นๆ ตามแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม สิ่งนี้ช่วยให้เราสามารถรักษาแนวทางแบบองค์รวมในการปฏิบัติตามข้อกําหนดด้านความปลอดภัย นอกจากนี้ยังมีการประเมินความสามารถด้านความปลอดภัยของเราเป็นระยะ ๆ และรายงานผลลัพธ์ไปยังฝ่ายบริหารของ เฟรเซนีอุส คาบี

การจัดการการปฏิบัติตามข้อกําหนดด้านความปลอดภัย

เรากําลังอยู่ในขั้นตอนการพัฒนาชุดของกฎที่สอดคล้องกับข้อกําหนดพื้นฐานของ Fresenius Group ซึ่งเป็นแคตตาล็อกการควบคุมภายในแบบกว้างของ Fresenius Group ที่สอดคล้องกับแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม

เฟรเซนีอุส คาบี มีโปรแกรมการตรวจสอบภายในอย่างเป็นทางการที่ดําเนินการเพื่อให้แน่ใจว่าสอดคล้องกับนโยบายภายในของเรากฎหมายและข้อบังคับด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้อง

การจัดการข้อมูลที่ปลอดภัย

เราได้กําหนดกระบวนการจัดประเภทข้อมูลเพื่อใช้มาตรการรักษาความปลอดภัยที่เหมาะสมเพื่อปกป้องข้อมูลของลูกค้าผู้ป่วยและพันธมิตรทางธุรกิจของเรา

เราเข้ารหัสข้อมูลที่ละเอียดอ่อนระหว่างการส่งและส่วนที่เหลือ หากเป็นไปได้และใช้งานได้จริง

การจัดการการควบคุมการเข้าถึง

เราได้กําหนดข้อกําหนดการจัดการการเข้าถึงสําหรับการให้ จัดการ และเพิกถอนการเข้าถึงของผู้ใช้ มีการใช้การควบคุมการเข้าถึงตามบทบาทสําหรับการเข้าถึงระบบข้อมูล เฟรเซนีอุส คาบี

การควบคุมการเข้าถึงข้อมูลที่ละเอียดอ่อนในฐานข้อมูล ระบบ และสภาพแวดล้อมของเราตั้งอยู่บนหลักการที่จําเป็นต้องรู้ นอกจากนี้ เรายังให้สิทธิ์การเข้าถึงบนหลักการของสิทธิพิเศษขั้นต่ําเท่านั้น

ผู้ใช้ระบบข้อมูลจะได้รับบัญชีผู้ใช้และรหัสผ่านที่ไม่ซ้ํากัน ข้อกําหนดรหัสผ่านจะถูกกําหนดและบังคับใช้

เราจํากัดสิทธิ์ของผู้ดูแลระบบเฉพาะบัญชีผู้ดูแลระบบ

ซอฟต์แวร์เครือข่ายส่วนตัวเสมือน (VPN) มีให้แก่ผู้ใช้ของเราเพื่อเปิดใช้งานการเข้าถึงระบบคีย์จากระยะไกลบน

ช่องโหว่และการจัดการแพตช์

เรามุ่งมั่นที่จะใช้แพตช์ความปลอดภัยและการอัปเดตล่าสุดกับระบบปฏิบัติการ ปลายทาง และโครงสร้างพื้นฐานเครือข่ายเพื่อลดการสัมผัสกับช่องโหว่

มีกระบวนการจัดการแพตช์เพื่อใช้การอัปเดตแพตช์ความปลอดภัยตามที่เผยแพร่โดยผู้ขาย

เราทําการสแกนระบบทั้งภายนอกและภายในเป็นระยะ

การทดสอบการเจาะระบบ

เรามีกระบวนการที่จัดตั้งขึ้นเพื่อประเมินและแก้ไขช่องโหว่ที่ค้นพบระหว่างการทดสอบการเจาะระบบทุกสองปีโดย Cobalt Labs Inc. ซึ่งเป็นพันธมิตรด้านการทดสอบที่มีคุณสมบัติเหมาะสมและเป็นอิสระ

การจัดการการตอบสนองต่อเหตุการณ์

เรามีแผนตอบสนองต่อเหตุการณ์ที่เป็นทางการและขั้นตอนที่เกี่ยวข้องซึ่งจะเกิดขึ้นในกรณีที่เกิดเหตุการณ์ด้านความปลอดภัย แผนตอบสนองต่อเหตุการณ์กําหนดความรับผิดชอบของบุคลากรหลักและระบุกระบวนการและขั้นตอนสําหรับการแจ้งเตือนและการยกระดับ เจ้าหน้าที่ตอบสนองต่อเหตุการณ์ได้รับการฝึกอบรมและมีการดําเนินการตามแผนตอบสนองต่อเหตุการณ์เป็นระยะ

เราปฏิบัติตามกระบวนการตอบสนองต่อเหตุการณ์ของ SANS ซึ่งเป็นกรอบมาตรฐานอุตสาหกรรมสําหรับการตอบสนองต่อเหตุการณ์ เพื่อช่วยเตรียม ระบุ ป้องกัน ตรวจจับ และตอบสนองต่อเหตุการณ์ด้านความปลอดภัย เราได้รับการสนับสนุนในเรื่องนี้โดย Fresenius Cybersecurity Emergency Response Team (CERT)

การป้องกันอุปกรณ์ปลายทาง

อุปกรณ์ปลายทางของเราติดตั้งโซลูชันป้องกันไวรัสที่มีการจัดการจากส่วนกลางเพื่อให้แน่ใจว่าคําจํากัดความของไวรัสล่าสุดจะพร้อมใช้งานบนอุปกรณ์ปลายทางเสมอ และมีการบังคับใช้นโยบายความปลอดภัยที่สอดคล้องกันในอุปกรณ์ปลายทางทั้งหมด

แล็ปท็อปทั้งหมดได้รับการเข้ารหัสดิสก์เต็มรูปแบบด้วยคีย์ที่จัดการโดยใช้ห้องนิรภัย

เราได้กําหนดค่าการล็อกเซสชันอัตโนมัติบนอุปกรณ์ขององค์กรหลังจากไม่มีการใช้งานตามระยะเวลาที่กําหนด

อุปกรณ์เคลื่อนที่อยู่ภายใต้ระบบการจัดการอุปกรณ์เคลื่อนที่และอนุญาตให้เข้าถึงได้จากอุปกรณ์ที่กําหนดค่าตามนโยบายความปลอดภัยของเราเท่านั้น นโยบายความปลอดภัยนี้กําหนดให้ต้องป้อนรหัสเพื่อเข้าถึงอุปกรณ์และอนุญาตให้ลบจากระยะไกลหากมีรายงานว่าสูญหายหรือถูกขโมย

ความปลอดภัยของเครือข่ายและอีเมล

เราทําการกรองทราฟฟิกระหว่างเซ็กเมนต์เครือข่าย

เฉพาะเครือข่ายไร้สายที่มีการจัดการของ เฟรเซนีอุส คาบี เท่านั้นที่ได้รับอนุญาตภายในสภาพแวดล้อมของเรา การควบคุมความปลอดภัยในการเข้าถึงแบบไร้สายรวมถึงการแยกการเข้าถึงขององค์กรและแขกและการเปลี่ยนคีย์ของเครือข่ายไร้สาย

เราได้ปรับใช้โซลูชันที่อัปเดตซอฟต์แวร์การกรอง URL เป็นประจําซึ่งบล็อกการเข้าถึงเว็บไซต์ที่ไม่เหมาะสมจากเครือข่าย

เกตเวย์อีเมลของเราทําหน้าที่เป็นอุปสรรคที่กรองการรับส่งข้อมูลที่เป็นอันตรายและหยุดฟิชชิงและอนุญาตเฉพาะการสื่อสารที่แท้จริงเท่านั้น

การบันทึกและการตรวจสอบ

บันทึกของระบบแอปพลิเคชันและโครงสร้างพื้นฐานจะถูกเก็บไว้สําหรับการแก้ไขปัญหาการตรวจสอบความปลอดภัยและการวิเคราะห์โดยบุคลากรที่ได้รับอนุญาต บันทึกจะถูกเก็บรักษาไว้ตามข้อกําหนด

มีการนําการแจ้งเตือนเหตุการณ์ความปลอดภัยแบบรวมศูนย์ทั่วทั้งสินทรัพย์ขององค์กรสําหรับความสัมพันธ์และการวิเคราะห์บันทึก แพลตฟอร์มการวิเคราะห์บันทึกที่กําหนดค่าด้วยการแจ้งเตือนความสัมพันธ์ที่เกี่ยวข้องกับความปลอดภัยก็เป็นไปตามการป้องกันนี้เช่นกัน

การฝึกอบรมและการรับรู้ของพนักงาน

พนักงาน เฟรเซนีอุส คาบี จะต้องเข้าร่วมการฝึกอบรมความตระหนักด้านความปลอดภัยทางไซเบอร์ เพื่อจุดประสงค์นี้เรามีรูปแบบต่างๆเพื่อนําเสนอหัวข้อความปลอดภัยทางไซเบอร์และทําให้เข้าใจง่าย สโลแกนของเราคือ "ความปลอดภัยทางไซเบอร์เป็นกีฬาประเภททีม" และด้วยจิตวิญญาณนี้ เราจึงพยายามสร้างแรงบันดาลใจให้พนักงานของเราอย่างสม่ําเสมอด้วยแคมเปญการรับรู้ต่างๆ โดยมีบทความข่าวและบล็อกโพสต์ในหัวข้อความปลอดภัยเพื่อเป็นสมาชิกที่กระตือรือร้นในกลยุทธ์การป้องกันของบริษัทของเรา

ทุกคนที่สามารถเข้าถึงระบบไอทีของเราจะได้รับการทดสอบการจําลองฟิชชิ่งทุกไตรมาส แคมเปญรายไตรมาสสนับสนุนความตระหนักด้านความปลอดภัยเนื่องจากเพิ่มความรู้และความระมัดระวังของทุกคนเกี่ยวกับอีเมลฟิชชิ่ง

ความปลอดภัยทางกายภาพ

การควบคุมการเข้าถึงทางกายภาพถูกนํามาใช้ที่สํานักงานของเรา การควบคุมรวมถึงการรักษาความปลอดภัยของอาคารและการเข้าถึงสถานที่ เฟรเซนีอุส คาบี อย่างปลอดภัย ต้องใช้บัตรความใกล้ชิดเพื่อเข้าสู่สํานักงานและโรงงานผลิต เฟรเซนีอุส คาบี มีขั้นตอนที่กําหนดไว้สําหรับการควบคุมการเข้าถึงของผู้เข้าชมโดยกําหนดให้ผู้เยี่ยมชมทุกคนต้องรายงานต่อแผนกต้อนรับ