프레지니우스 카비 정보 보안

Fresenius Kabi에서는 정보 보안이 고객, 환자 및 비즈니스 파트너에게 중요하다는 것을 알고 있습니다. 우리는 법률 및 규제 요건에 따라 책임 있는 관리, 적절한 사용 및 보호를 통해 정보 보안을 유지하기 위해 최선을 다하고 있습니다.

 

정보보호 조직

우리는 조직 내에서 정의된 사이버 보안 역할과 책임을 설명하는 서면 사이버 보안 정책을 게시했습니다.

우리의 보안 팀은 정보 보안, 글로벌 보안 감사 및 규정 준수는 물론 Fresenius Kabi의 하드웨어 및 인프라 보호를 위한 보안 제어 정의에 중점을 두고 있습니다. 보안팀은 정기적으로 정보 시스템 보안 알림을 받고 보안 경고 및 권고 정보를 정기적으로 조직에 배포합니다.

정보 보안 역량 모델

우리는 업계 모범 사례를 기반으로 하는 기타 보안 조치로 보완되는 중요 보안 제어(CIS 18)를 기반으로 하는 정보 보안 기능 모델을 채택했습니다. 이를 통해 우리는 보안과 관련된 규정 준수에 대한 전체적인 접근 방식을 유지할 수 있습니다. 또한 보안 역량에 대한 주기적인 성숙도 평가를 정기적으로 실시하고 그 결과를 Fresenius Kabi 경영진에게 보고합니다.

보안 컴플라이언스 관리

우리는 업계 모범 사례에 부합하는 Fresenius Group 전체 내부 통제 카탈로그인 Fresenius Group 기본 요구 사항에 부합하는 일련의 규칙을 개발하는 과정에 있습니다.

Fresenius Kabi는 내부 정책, 관련 사이버 보안 법률 및 규정 준수를 보장하기 위해 공식 내부 감사 프로그램을 시행하고 있습니다.

안전한 데이터 관리

우리는 고객, 환자 및 비즈니스 파트너의 데이터를 보호하기 위해 적절한 보안 조치를 적용하기 위해 데이터를 분류하는 프로세스를 확립했습니다.

우리는 가능하고 실용적인 경우 전송 중 및 저장 중인 민감한 데이터를 암호화합니다.

접근 통제 관리

우리는 사용자 액세스 권한 부여, 관리 및 취소에 대한 액세스 관리 요구 사항을 확립했습니다. Fresenius Kabi 정보 시스템에 대한 액세스를 위해 역할 기반 액세스 제어가 구현됩니다.

당사 데이터베이스, 시스템 및 환경의 민감한 데이터에 대한 액세스 제어는 알아야 할 원칙에 따라 설정됩니다. 또한, 우리는 최소 권한의 원칙에 의해서만 액세스 권한을 부여합니다.

정보 시스템 사용자에게는 고유한 사용자 계정과 비밀번호가 부여되며 비밀번호 요구 사항이 정의되고 시행됩니다.

우리는 관리자 권한을 전용 관리자 계정으로 제한합니다.

가상 사설망(VPN) 소프트웨어는 사용자에게 주요 시스템에 대한 안전한 인터넷 기반 원격 액세스를 가능하게 하기 위해 제공됩니다. 또한 원격 네트워크 액세스에도 다단계 인증이 필요합니다.

취약점 및 패치 관리

우리는 취약점에 대한 노출을 완화하기 위해 운영 체제, 엔드포인트 및 네트워크 인프라에 최신 보안 패치와 업데이트를 적용하기 위해 노력하고 있습니다.

공급업체에서 출시하는 보안 패치 업데이트를 구현하기 위한 패치 관리 프로세스가 마련되어 있습니다.

외부에 노출된 자산과 내부 자산에 대해 정기적인 스캔을 수행합니다.. 

침투 테스트

우리는 검증되고 독립적인 침투 테스트 파트너인 Cobalt Labs Inc.의 2년마다 침투 테스트 중에 발견된 취약점을 평가하고 수정하기 위한 프로세스를 확립했습니다.

사고 대응 관리

우리는 보안 사고 발생 시 실행되는 공식화된 사고 대응 계획과 관련 절차를 갖추고 있습니다. 사고 대응 계획은 핵심 인력의 책임을 정의하고 통지 및 에스컬레이션을 위한 프로세스와 절차를 식별합니다. 사고 대응 인력을 교육하고 사고 대응 계획 실행을 정기적으로 테스트합니다.

우리는 사고 대응을 위한 업계 표준 프레임워크인 SANS 사고 대응 프로세스를 준수하여 보안 사고를 준비, 식별, 예방, 탐지 및 대응할 수 있도록 돕습니다. 우리는 Fresenius Cybersecurity Emergency Response Team(CERT)의 지원을 받습니다.

엔드포인트 보호

당사의 엔드포인트에는 중앙에서 관리되는 바이러스 백신 솔루션이 탑재되어 있어 엔드포인트에서 항상 최신 바이러스 정의를 사용할 수 있고 모든 엔드포인트에 일관된 보안 정책이 적용됩니다.

모든 랩톱은 보안 볼트를 사용하여 관리되는 키로 전체 디스크 암호화됩니다.

정의된 비활성 기간 이후 기업 자산에 대한 자동 세션 잠금을 구성했습니다.

모바일 장치에는 모바일 장치 관리 시스템이 적용되며 당사의 보안 정책에 따라 구성된 장치에서만 액세스가 허용됩니다. 이 보안 정책은 장치에 액세스하려면 코드를 입력해야 하며 분실 또는 도난 신고된 경우 원격 삭제를 허용합니다.

네트워크 및 이메일 보안

우리는 네트워크 세그먼트 간 트래픽 필터링을 수행합니다.

Fresenius Kabi 관리 무선 네트워크만 우리 환경 내에서 허용됩니다. 무선 액세스 보안 제어에는 기업 및 게스트 액세스의 분리와 무선 키 순환이 포함됩니다.

우리는 네트워크에서 부적절한 웹 사이트에 대한 액세스를 차단하는 URL 필터링 소프트웨어를 정기적으로 업데이트하는 솔루션을 배포했습니다.

당사의 이메일 게이트웨이는 악성 트래픽을 필터링하고 피싱을 차단하며 실제 통신만 허용하는 장벽 역할을 합니다.

로깅 및 모니터링

애플리케이션 및 인프라 시스템 로그는 승인된 직원의 문제 해결, 보안 검토 및 분석을 위해 저장됩니다. 로그는 규제 요구 사항에 따라 보존됩니다.

로그 상관 관계 및 분석을 위해 기업 자산 전반에 걸쳐 중앙 집중식 보안 이벤트 경고가 구현됩니다. 보안 관련 상관 관계 경고로 구성된 로그 분석 플랫폼도 이러한 보호 기능을 충족합니다.

직원 교육 및 인식

Fresenius Kabi 직원은 사이버 보안 인식 교육에 참여해야 합니다. 이를 위해 우리는 사이버 보안이라는 주제를 제시하고 이해하기 쉽도록 다양한 형식을 제공합니다. 우리의 슬로건은 "사이버 보안은 팀 스포츠입니다"이며, 이러한 정신으로 우리는 보안 주제에 대한 뉴스 기사와 블로그 게시물을 통해 직원들이 회사의 방어 전략에 적극적으로 참여할 수 있도록 다양한 인식 캠페인을 통해 영감을 주기 위해 정기적으로 노력하고 있습니다.

보안 인식 프로그램과 함께 IT 시스템에 액세스할 수 있는 모든 사람에게 분기별로 피싱 시뮬레이션 테스트가 제공됩니다. 분기별 캠페인은 피싱 이메일에 대한 모든 사람의 지식과 경계를 높여 보안 인식을 지원합니다.

물리적 보안

물리적 접근 통제는 우리 사무실에서 구현됩니다. 통제에는 건물 보안과 Fresenius Kabi 건물에 대한 보안 접근이 포함됩니다. Fresenius Kabi 사무실 및 생산 공장에 입장하려면 근접 카드 접근이 필요합니다. 모든 방문자가 리셉션에 보고하도록 요구하는 방문자 접근 통제 절차가 정의되어 있습니다.