客服热线:
手机版
二维码
远程办公与审核的信息安全
受新冠肺炎疫情影响,许多认证公司的管理与审核人员必须进行远程办公与审核。为防范远程办公与审核过程中存在的信息安全风险,有必要考虑这样的工作模式带来的巨大风险以及应对的措施。
远程办公与审核的信息安全管理要求
对于认证公司而言,规划、实现、控制、评价远程办公与审核的信息安全管理要求,并不断加以提高、完善和改进,显得极为重要。笔者认为,应至少在以下7个方面加以考虑并采取对策措施:一是应明确并提供建立、实现、维护和持续改进远程办公与审核所需的资源,包含人员(含IT维护人员)、硬件、软件、数据、文件化信息以以及他有价值的资产;二是应识别这些信息资产在其全生命周期内的脆弱性、威胁以及可能面临的风险;三是应明确为满足信息安全要求以及实现应对这些风险的控制措施;四是应对在认证公司控制下从事会影响组织信息安全绩效的管理与审核人员进行相关知识的培训,以不断提升他们防范和化解信息安全的意识和能力;五是应制定远程办公与审核业务连续性计划,进行演练并对演练效果进行评价;六是应评价这些参与远程办公与审核人员风险控制的绩效,以评价其与认证公司在信息安全输出结果方面的符合性、有效性;七是当发现不符合时,应及时采取有效措施予以纠偏,以防止类似不符合再次重复发生,或在其他地方发生。
远程办公与审核信息安全的关注点
个人办公终端安全
为确保工作人员在家使用电脑或手机,认证公司首先应对安全性进行检查。其次应提供软件正版化服务,并进行正确安装调试,包含但不限于正版的windows操作系统和offiCE办公软件。对于办公电脑,应尽量使用正版Windows10操作系统,其中自带Windows defender所提供的安全防护已经足够。如有必须,能够选择第三方防护软件替代。与此同时,应开启系统自动更新,及时安装补丁,提升系统安全系数。对于所使用的手机,应注重系统维护以及软件升级。
上网安全防范
假如是居家办公使用无线路由器,可检查路由器中的mac地址是否有异常设备的接入。为了防止蹭网及Wi-Fi被暴力破解,能够设置容许连接设备的白名单;也能够通过路由器关联的手机App实时监控新接入设备情况,发现陌生设备及时拉黑;能够关闭ssid广播;提高路由登录和接入口令的强度。
假如存在外出移动办公与审核的情况,尽量避免连接公共场合Wi-Fi,能够共享手机热点来满足网络需求。
个人办公软件安全性
通用软件
浏览器推荐使用Chrome、Firefox或Chromium内核的新版Microsoft Edge,兼容性较好。如使用IE浏览器,应注意升级,近期的高危漏洞可被攻击者利用诱使用户访问恶意网页触发漏洞获得所有权限。
远程办公与审核会用到一些必备的软件和工具,包含远程沟通所需的聊天工具、解压缩、文档处理等,尽量确保在各大软件官网下载的安装包,避免为了省事直接在第三方应用市场进行下载。
邮箱的安全防范
通过页面访问时,建议勾选“全程SSL,防止明文收发。通过顾客端访问,建议勾选“安全连接,防止明文收发。
笔者认为,近期尤其需注意黑客通过邮件进行的攻击,此类邮件主要以“新型冠状病毒“新冠肺炎疫情等热门字眼作为附件名称,针对多个行业与多个领域或对此次疫情关注的人群,诱导邮箱用户下载查看附件,其附件类型包含可执行程序(.exe)、文档(.xlsm、.pdf)等。一旦下载运行该类附件程序、执行附件文档中宏命令,可能会导致电脑文件被窃取、个人隐私遭到泄露、计算机无法启动及用户重要数据丢失。为防止钓鱼邮件,一是加强安全防范意识,妥善保管好账号密码,切勿轻信近期热门主题相关的邮件及未经核实来源的邮件;二是不在未经核实的邮件中输入相关邮件账号、密码等信息,不回复未经核实的邮件;三是不轻易访问未经核实的邮件链接,不轻易下载查看、执行此类邮件附件,若需打开则关闭Office宏。
访问本机构资源,尽量使用本机构提供的IT服务
通常,认证公司向工作人员提供了WebVPN服务用于访问仅限机构内提供访问的网站/信息系统。通过WebVPN系统,工作人员能够在机构外访问机构内的资源。这一系统通常与信息门户对接,账号为信息门户登录账号,密码与信息门户登录密码一致,无须申请开通。
同时,认证公司还部署了认证服务器,与CNCA、CNAS以及CCAA等平台实现对接。通过这些IT服务平台,相关工作人员可在机构外访问这些资源。认证公司应为这些工作人员设置相应权限,以防信息安全事件发生。
视频会议
无论远程办公还是远程审核,往往会采用视频会议形式通过网络传输相关数据,会给黑客带来非法获取利益的便利,这就要求提供视频会议的认证公司以及相关工作人员加强对系统的安全性、保密性的控制。目前,我国的多数视频会议都采用单一的加密技术,无法确保系统的安全。因此,笔者认为,认证公司应高度重视,并采取切实有效的控制措施,包含但不限于在系统中采用多重加密机制,真正实现高保密性,在保护机构自身信息资产安全的同时,更好地保护好顾客等利益相关方的信息资产。
传统视频会议
传统视频会议系统的网络传输主要依靠专线技术,基于嵌入式架构的视频会议通信方式,主要采取H.323协议标准,通过DSP+嵌入式软件等实现视音频处理、网络通信和各项会议功能,并且依托专用的硬件设备终端来实现远程视频会议。
传统视频会议系统具备较高的安全性和稳定性,嵌入式架构将绝大部分网络流传的病毒挡在门外;基于DSP处理器的设计让视频会议硬件设备具有很低的功耗和良好的稳定性;有些视频会议硬件设备还具备关键处理单元备份、冗余散热、硬件AES加密、防火墙等功能,进1步保障系统的安全性和可靠性,实时不间断运行。
云视频会议
云视频会议是通过互联网传输,借助云计算技术,用虚拟机的方式去代替传统的昂贵硬件资源,依靠新一代的音视频压缩技术和算法,在网络丢包的情况下,都能确保高品质、不卡顿、不丢声音。
由于云会议是依托互联网发挥作用,不可避免地会面临云服务的一些共性问题,即服务的安全性、网络质量以及稳定性带来的影响等。因此,顾客提出有保密和信号稳定需求时,不能采用云视频会议模式,应采用传统硬件视频会议模式来保证会议安全。
无论采用传统视频会议,还是采用云视频会议与同事或顾客沟通,在信息安全上拟采用的对策,通常有5个方面:一是嵌入式操作系统,即对于网动MCU,采用嵌入式操作系统,使其具备高稳定性与可靠性,保证设备7*24小时稳定连续运行,同时又具备较高的安全性,无惧病毒、黑客攻击;二是数据加密,即对于网动视频会议系统的云平台、视讯终端,均采取支持数据的安全通信协议,全方位保护会议安全,通过对每组会议的加密,防止会议内容的泄漏,同时也保证会议内容的机密性、可用性、完整性以及不可篡改性;三是会议密码,即在创建会议时,可将会议模板、虚拟会议室设定会议密码,终端加入会议时必须通过密码验证才能入会,验证成功则正常加入会议,验证失败则无法加入会议,确保自助会议的安全保密性;四是保密会议,即使用网动视频会议系统召开安全级别较高的会议时,仅有受邀参加的与会人员才能获取到会议信息入会,未被受邀的成员不感知保密会议的存在,这对于提供远程审核服务且有保密需求的顾客尤为重要;五是分级分权,即系统采用多级权限架构设计,支持分级分权管理,账号、角色、权限独立,方便不同权限的用户进行会议控制管理;支持超级管理员、管理员、操作员、自定义角色等多种用户权限区划。
远程办公与审核个人习惯的养成
认证公司必须为办公与审核人员提供好的IT资源以供其提供远程服务,也必须每1个从业人员具备良好、过硬的信息安全技能,才能实现信息资产保护的预期结果。
定期升级系统补丁
计算机安全问题的1个根本原因就是计算机系统上存在漏洞,许多病毒和黑客攻击正在肆无忌惮地利用系统漏洞来破坏计算机信息系统。因此,应定期升级系统补丁,可利用杀毒软件、防护软件的“修复漏洞功能。
正确使用移动介质
移动介质包含但不限于U盘、移动介质等。移动介质作为使用频率较高的设备,在不同电脑之间相互拷贝数据,经常感染病毒,如“臭名昭著的“Autorun病毒,就是通过伪装成Autorun.inf文件,使得用户的U盘在打开时,自动运行木马程序或恶意程序,使所有的硬盘完全共享或中木马,感染的速度之快,传播的范围之广,大大超出人们的想象。为此,我们应养成良好的使用移动介质的习惯,一是一定要严格区分内外网U盘,切忌混用;二是借用U盘以前尽量先清空或者格式化;三是尽可能选用安全方法打开U盘,即用右键点击U盘,选择“资源管理器打开。
文件化信息控制
远程办公与审核场景下,协同办公软件、在线共享文档以及云盘等工具会成为多数认证公司分享文件化信息的途径之一。在文件化信息在线共享以前必须明确文件化信息的安全性,建议对文件化信息进行压缩加密保存,云端共享也务必设置提取码。
在使用协同办公工具时,注意文件的查看权限,谨防工具默认设置文件公开分享导致重要信息泄露。
使用社交软件,与新添加的陌生号码进行视频通讯,即使是熟悉同事的图像也应多种方式确认。
口令设置与管理
应用远程办公与审核的所有工作人员,应自觉做好个人口令的设置和保管,并养成良好的习惯。
良好的习惯包含但不限于:一是应及时修改各系统的初始口令;二是不能使用弱口令。
在设定口令的问题上,有几个建议可供参考:一是在规则容许内,尽可能采用混合口令(字母大小写、字符和数字混合),充分利用工具随机生成口令;二是不同网站避免使用同1个口令;三是假如账号支持双重验证,则务必开启;四是可选择使用相对可靠的口令管理工具;五是不要多人使用1个账号,不和别人共享用户名和口令;六是在不熟悉的地点,不要登录非HTTPS类型的网站;七是定期检查账户是否有能够获得,或者定期修改重要账户口令。
数据备份与加密管理
应按照既定的备份策略,对信息、软件和系统镜像进行备份,并定期测试。对于重要的数据信息,在任何时间、任何地域,都应进行备份,防止数据丢失。
对于重要文档、代码数据等,应根据数据的重要性,定期或即时备份,包含但不限于通过刻录光盘,拷贝到专门的U盘、移动硬盘上。
值得一提的是,在远程办公与审核结束后,家里电脑或笔记本电脑上的数据信息应进行一次较为全面的清理。
由于身处互联网时代,在保存、处理、传输文件化信息时,很容易被黑客截获,因此,对于在审核过程中遇到的顾客某产品参数、工艺以以及他重要数据,在备份保存的同时就应进行加密管理。
许多软件均带有加密功能,例如人们经常用到的Office就能对文档进行自身加密,还能够充分利用Winrar对整个文件夹进行加密。
来源:《中国认证认可》杂志 2020年第8期
远程监测设备FDA认证新政策
远程监测设备FDA认证新政策
美国负责医疗器械监管的机构食品药品监督管理局(FDA认证)发布了专门针对非侵入性远程监测设备的实施政策的指南,该设备用于在冠状病毒病2019(COVID-19)期间支持患者监测。
内容:
1.远程监控设备的范围和背景概述
2.远程监控设备的监管方法
3.容许对远程监控设备进行详细的修改
在美国宣布由于由SARS-CoV-2病毒或“新型冠状病毒”引起的冠状病毒病(COVID-19)爆发而引发的公共卫生紧急事件中,FDA认证专注于采取旨在提供医疗器械的有效步骤业界代表和参与应对大流行的其他各方提供了所有必要的信息和法规支持。
还必须提到的是,由于公共卫生紧急情况,应立即执行该文件。同时,行业代表仍能够发表评论。
该机构强调能够使用远程患者监视设备收集的数据的重要性,这提供了收集所有必要数据的可能性,而无需安排患者在医疗机构中的实际存在,从而大大减少了前往医疗机构的患者数量。因此,这些设备对于减少因访问医疗机构而引起的风险以及由于感染爆发而使这些机构所面临的负担均是有用的。
该指南的范围涵盖了用于测量常见生理参数以及用于维持患者监护的设备。特别是,此类设备的列表包含:
1.心脏监护仪
2.心电图仪(ECG)
3.用于非处方用途的心电图仪软件,
4.电子听诊器
5.临床电子体温计
6.脉搏血氧饱和度(SpO2),
7.呼吸频率/呼吸频率
8.无创血压。
前述设备的设计容许它们使用无线连接(例如,蓝牙,Wi-Fi或蜂窝连接)连接到网络。这样的连接能够用于将从患者收集的数据传输到医疗机构。
取决于特定的设备,能够处理设备本身收集的初始数据,以便将该数据转换为医疗专业人员能够直接用于诊断目的的信息。
远程监控设备FDA认证的监管方法:
该机构指出,使用远程监视设备可使医疗保健机构建立有效的监视系统,以保持连续的监视而无需直接与患者接触,由于这种接触使医护人员和其他患者面临感染引起的其他风险。由于对此类设备的需求不断增加,为了向医疗设备制造商提供所需的支持,FDA认证声明实际上容许对已由该机构批准的设备的适应症,要求,功能,硬件或软件进行有限的修改。在公共卫生紧急情况的整个阶段内,仍将保持这种特定制度。
根据此排除条件, 特别是,此排除能够在以下情况下应用:
1..包含与冠状病毒疾病有关的监测声明,
2.制造商提供的使用说明或初始要求的变更,容许设备在家中使用(仅用于最初用于医院的设备),
3.旨在改善设备监视能力的硬件或软件更改。
4.容许对远程监控设备进行详细的修改
该文档提供了所有变更的详细说明,这些变更可能要遵守新的排除规则,使医疗设备制造商无需事先向监管机构提交就能够对远程患者监护设备实施此类更改。
如前所述,FDA认证不会反对对FDA认证先前批准的远程监控设备功能的适应症,权利要求进行修改,除非此类修改会带来额外的风险。
根据指南,当满足以下条件时,能够采用此方法:
1.由制造商明确的设备的最初预期目的是显示,打印或分析设备收集的数据(由设备打算测量的1个或几个生理参数标明)。
2.由制造商明确的设备的最初预期目的是为使用它的医疗保健专业人员提供与预防,诊断或治疗冠状病毒疾病有关的其他支持或建议。
3.该设备用于生成任何诊断或治疗建议的信息可由患者本人或医疗保健专业人员访问。
4.该文件还提供了根据监管机构的位置对远程监控设备进行修改可能导致产生其他风险的情况示例。
原子能机构建议的清单尤其包含以下情况:
1.该设备的预期目的是明确是否必须立即进行临床干预,
2.该设备的预期目的是向医疗保健专业人员和患者提供在做出有关冠状病毒疾病的诊断或治疗决策时仅依靠的信息,
3.制造商打算对该设备进行的修改将容许从另1个系统获得或处理信号,而该系统以前并未在FDA认证正式批准的类似设备中使用。
4.原子能机构还明确指出,应修改设备的标签,以包含某些其他信息,而不是根据适用要求通常必须的信息。该机构建议添加此类信息,以协助医疗保健专业人员和使用该设备的患者更好地了解这些修改。
原子能机构建议在标签中包含的信息应涵盖以下方面:
1.所有新适应症,与冠状病毒疾病有关的设备功能要求以及相关条件的详细说明(有关设备性能的数据,用于明确设备提供建议的方法以及相关潜在风险的说明与设备);
2.通知告知应将设备提供的信息和建议用作支持信息,并且与诊断和治疗有关的任何决定均不应仅基于设备提供的建议,而是针对医疗专业人员和使用设备的患者,
3.有关应使用设备的特定方式的详细信息(例如,连续监控或抽查或趋势监控)。
4.所有未经FDA认证批准的适应症和主张应与FDA认证正式批准的适应症和主张明确区分开。还建议添加一条声明,说明未经授权机构对设备所做的更改。
5.假如该设备先前已获准在医疗机构使用,则制造商在容许其在家中使用时所作的指示应附有适当的说明,详细说明了该设备在医疗机构中的使用方式。安全高效的方式。
6.总结以上提供的信息,FDA认证容许医疗设备制造商对远程监控设备进行某些修改,从患者那里收集和处理生理数据,而无需事先向FDA认证提交上市前通知。该决定旨在协助医疗设备制造商满足他们所面对的设备的高需求。
相关产品出口美国FDA认证可咨询!
