普华永道：医药医疗行业防疫应变系列之三 - 医药行业数字化转型中的网络安全管理页）（7页）.pdf

《普华永道：医药医疗行业防疫应变系列之三 - 医药行业数字化转型中的网络安全管理页）（7页）.pdf》由会员分享，可在线阅读，更多相关《普华永道：医药医疗行业防疫应变系列之三 - 医药行业数字化转型中的网络安全管理页）（7页）.pdf（7页珍藏版）》请在三个皮匠报告上搜索。

1、医药医疗行业防疫应变系列之三 医药行业数字化转型中的网络安全管理 中国的医药行业正面临新一轮变革，国内的政策环境，产业结构和病患需求都在 发生快速变化。突如其来的新冠疫情更是加速了医药产业的数字化进程，为医药 产业管理、医药资源配置以及创新药物科研等方面带来前所未有的发展前景与机 遇。在急速的数字化过程中引入新技术新业务应用的同时，也引发医药行业数字 化风险的加速暴露，尤其在网络安全领域，由于忽视网络安全及数据隐私导致的 安全事件及合规问题层出不穷。在新冠疫情期间，已发生多起网络安全事件，如 重点疫区返乡人员名单、个人近期旅行记录、密切接触者名单等敏感信息在互联 网中被大肆转载流传。因此，医药

2、企业在拥抱数字化转型、开启创新商业模式 时，必须及时将网络安全纳入整体风险管理重点。 本文聚焦于医药保健以及生命科学行业面临的网络安全风险与挑战，结合普华永 道对于行业的深入洞察以及多年经验累积，剖析网络安全要求与业务应用的关联 性，为医药企业梳理数字化转型过程的网络安全风险管理重点。 风险一：安全职能风险一：安全职能缺失缺失 尽管大多企业已越来越重视网络安全，但发现，仍有相 当数量的医药企业至今仍未设置网络安全职能，这其中不乏跨国 医药企业。网络安全法是一套复杂且多样的各类法律法规组 成的有机体系，涉及安全组织、数据保护、隐私保护、网络安全 等级保护、关键基础设施保护等多个领域。如果没有熟悉

3、网络 安全法体系且具备一定安全技术背景的安全部门配合落实网络 安全工作，企业除了在安全技术领域缺乏管控，还会增加潜在的 网络安全合规风险，更不用说法规体系内清晰定义了安全管理角 色的重要性。 本土企业通常任命IT职能部门人员兼任网络安全责任人员，然 而，这些人员往往对行业相关网络安全的要求并不熟悉，开展 网络安全工作亦不能达到合规及相关标准的要求。对于总部在 海外的跨国企业，如果仅由总部设立的网络安全部门负责全球 分支企业的安全管理工作，相关人员则可能缺乏对中国网络安 全要求的认知，同时也导致缺少国内安全专职人员配合总部开 展安全及合规工作。对国内分公司的影响则是，本地IT职能部 门没有适当的

4、身份用以推动网络安全合规落实，又缺乏熟悉安 全要求的安全合规官将总部决议有效传达给国内分支机构，导 致企业只能在安全事件发生后再采取被动的响应措施，无法建 立预先防护的主动地位。 不难看出，在中国设立专职的网络安全管理角色是实现对上协助 总部实施合规决议，对外熟悉本地要求以及沟通工作，对内积极 规划落实合规目标的最优选择。 风险二风险二：缺乏管理层安全支持缺乏管理层安全支持 企业的网络安全工作从来都不应完全依赖于某个信息安全官，或 一个安全部门。一套完整的安全工作，应由管理层定调、中层管 理宣贯、基层人员落实。即管理层对安全、合规工作持续关注， 中层安全与合规部门、IT部门以及业务部门之间完成

5、跨部门协 作，基于管理层的合规基调对复杂业务场景实现标准强化，并指 导基层人员达到合规要求，确保安全合规建设的贯彻落实。通过 自上而下的方法，管理层充分意识到网络安全的重要性并持续鼎 力支持网络安全工作的推行，才能让网络安全贯彻企业内部。 风险三风险三：第三方安全管理第三方安全管理缺失缺失 企业内部的安全工作由上而下共同完成，外部的安全隐患也不容 忽略。缺乏第三方的安全管理会导致企业暴露在安全风险中。医 药行业的第三方除了系统服务商，还有包括全球各地的供应商、 业务相关的服务商、律师事务所、临床研究等等，这些第三方组 织都有可能成为医药企业数据泄露或网络安全威胁的源头。近几 年来由于第三方服务

6、商被攻击而导致客户信息丢失的案例屡见不 鲜。比如，企业在与第三方服务商合作时仅针对第三方资质以及 服务内容的审阅，而IT网络安全，及合规部门未能对第三方网络 安全能力进行评估，或未能明确双方的网络安全保护责任。这其 中引发的风险或可能的结果有：（1）无法保证第三方在网络安全 领域有足够的能力来保障交付，（2）一旦发生安全事件，由于合 同未明确双方责任，导致权责划分不清。企业只能自行承担由病 患数据、研发数据、甚至知识产权等的损害而影响企业声誉的后 果。综上所述，如缺乏第三方网络安全的管理，企业往往需要后 续投入大量人力和财力实施补救措施。 2 网络安全法网络安全法 个人信息保护个人信息保护数据