Prozess und Verfahren
Das nach ISO/IEC 27001 zertifizierte Informationssicherheits-Managementsystem (Information Security Management System,ISMS) von Roche sorgt für bestmögliche Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
Roche verfolgt das Ziel, eine proaktive Sicherheitsmethodik über den gesamten Produktlebenszyklus hinweg anzuwenden, beginnend vor der Markteinführung.
Während der Konzeptionsphase antizipieren und mindern wir potenzielle Sicherheitsrisiken durch Risikobewertungen und verschiedene Testverfahren, um Schwachstellen zu identifizieren. Je nach Lösung kann dieser Ansatz bedrohungsbasierte Techniken zur Bekämpfung von Angriffsvektoren umfassen.
Die Überwachung wird nach der Bereitstellung fortgesetzt. Vor der vollständigen Bereitstellung von Versionsupdates (die Sicherheits- oder Schwachstellenpatches enthalten können) können potenzielle Angriffsszenarien durchgeführt werden, um sicherzugehen, dass das Produkt neu auftretende Bedrohungen zuverlässig abwehrt.
Roche erhält die Resilienz seiner Lösungen gegenüber aufkommenden Bedrohungen im Gesundheitswesen aufrecht, indem es einen strukturierten Prozess zur proaktiven Identifizierung, Bewertung und Minderung von Risiken anwendet, damit Kunden während des gesamten Lebenszyklus jedes Produkts von zuverlässiger Konsistenz profitieren.
Wenn ein Vorfall auftritt, fungieren die Affiliates von Roche als erste Kund:innenanlaufstelle und eskalieren das Problem bei Bedarf an das Produktteam. Das Produktteam aktiviert Reaktionsmechanismen, analysiert die Ursache und implementiert notwendige Fehlerbehebungen/Patches.
Bei eskalierten Vorfällen ist die zentrale Anlaufstelle die Product Security & Privacy Organization (PSPO). PSPO bestätigt den Vorfall, stellt schweregradbasierte Playbooks zur Verfügung, koordiniert die Gesamtreaktion und verwaltet die vorschriftsmäßige Kommunikation und Berichterstattung an Affiliates.
Geschultes und autorisiertes Roche-Personal bietet Kund:innensupport mit Remote-Zugriff-Technologien für Fehlerbehebung, Patch-Updates und Untersuchungen von Vorfällen.
Für den erweiterten Support der 2./3. Stufe können von Roche autorisierte Serviceanbieter:innen und Kooperationspartner:innen auf vertrauliche Daten zugreifen.
Im Rahmen unserer mehrschichtigen Verteidigungsstrategie führt Roche umfangreiche Penetrationstests durch. Unser Ziel ist es, potenzielle Sicherheitsrisiken zu identifizieren und zu lösen und unsere Produkte von der ersten Freigabe an über ihren gesamten Lebenszyklus hinweg zu schützen.
Wir verankern diese Strategie in drei Werten: umfassende Abdeckung, fachliche Verifizierung und transparente Fehlerbehebung.
Roche setzt beim Schwachstellenmanagement auf Folgendes:
Input aus System zur Erkennung und Abwehr von Eindringlingen
Brancheninformationen
Interne Mitarbeitende
Kund:innen und andere externe Akteure
Roche ermutigt interne und externe Ressourcen, Roche über potenzielle Bedrohungen und/oder Schwachstellen zu informieren.
Roche kommuniziert bekannte Schwachstellen transparent .