Siemens 사이버 보안 FAQ

SISW는 ISO 27001/17/18, SOC2, TISAX, CSA(Cloud Security Alliance), STAR Level One CAIQ 및 Cyber Essentials Plus를 포함한 다양한 정보 보안 인증을 유지합니다.

자세한 내용은 시스템 인증서 페이지를 참조하십시오.

수많은 SISW(Siemens Industry Software) 정책에 따라 보안 모범 사례의 구현을 보장하기 위해 NIST SP 800-53의 상당 수의 제어를 구현했으며 지속적으로 모니터링하고 있습니다. 또한 당사의 정책은 ISO 27001 및 SOC 2 규정 준수 프레임워크를 준수합니다.

그렇다면 SISW는 시스템을 보호하고 GDPR 요구 사항을 충족하며 데이터 주체의 권리를 보호하기 위해 데이터 보호 원칙에 따라 TOM(기술 및 조직적 조치)을 구현했습니다.

TOM에 대한 자세한 내용은 데이터 개인정보 보호약관 부록 II를 참조하십시오.

데이터 주체의 권리를 존중하기 위한 절차는 GDPR에 따라 데이터 주체 권리가 처리되는 방법을 설명하는 데이터 개인 정보 보호 약관 섹션 10에서 찾을 수 있습니다. SISW는 데이터 주체로부터 데이터 주체의 권리(예: 액세스, 수정, 삭제 또는 처리 제한)를 행사해 달라는 요청을 받는 경우 지체 없이 고객에게 통지합니다. 그런 다음 SISW는 그러한 요청에 응답하고 관련 데이터 보호법을 준수할 의무를 이행하기 위한 기술적 및 조직적 조치를 통해 고객을 지원합니다.

데이터 개인 정보 보호 약관을 참조하십시오.

귀사는 새로운 기술을 구현할 때 구조화된 '설계/기본값에 의한 데이터 보호' 접근 방식을 갖추고 있습니까? 데이터 보호를 처리 시스템 및 서비스의 핵심 기능의 필수 구성 요소로 만들려면 어떻게 해야 합니까?

예. SISW SaaS 정보 보안 규정 준수 정책은 법률, 데이터 개인 정보 보호 및 규정 준수 조직이 해당하는 현지 입법, 법률, 규제 및 계약 요구 사항을 검토하고 문서화하고 '설계에 따른 개인 정보 보호' 도구 및 프로세스가 지원하는 법률에서 요구하는 지침을 발행하도록 합니다.

Siemens에게 있어 Privacy by Design은 제품 및 서비스 개발 시 합법성, 투명성, 정보 주체 결정, 데이터 경제 및 데이터 보안을 이미 고려하고 있음을 의미합니다. Privacy by Design은 Siemens의 제품 개발 프로세스에 확실하게 통합되어 있습니다. 당사는 제품 및 서비스를 개발할 때 선택과 동의, 데이터 최소화, 액세스, 보안, 데이터 정확성 및 품질 및 액세스를 고려합니다.

그렇다면 SISW(Siemens Industry Software) SaaS 보안 개발 정책에서는 소프트웨어 개발 및 소스 코드 저장소에 대한 지침과 요구사항을 설정합니다. 이 정책에는 소프트웨어 및 서비스 개발 수명 주기의 모든 단계에 걸친 보안, 승인된 리포지토리의 소스 코드 유지 관리(로깅 및 모니터링 포함), 소프트웨어 엔지니어 및 프로그래머 분석가를 위한 보안 개발 교육, 보안 개발, 테스트 및 운영 환경에 대한 요구 사항에 대한 지침이 포함되어 있습니다.

OWASP(Open Worldwide 애플리케이션 보안 Project) 표준은 보안 코딩 관행에 직접적인 영향을 미칩니다. 보안 테스트(예: 침투, 정적 및 동적 분석)의 조합은 OWASP의 "상위 10개" 웹 애플리케이션 보안 위험을 찾고 잠재적인 문제를 식별합니다. 중요한 문제는 가능한 한 빨리 해결되지만, 경미한 문제는 즉시 해결되지 않을 경우 향후 릴리스에서 계획됩니다.

그렇다면 전송 중인 데이터와 저장 중인 데이터(백업 포함)는 모두 SISW(Siemens Industry Software) SaaS 암호화 정책에 따라 암호화됩니다.

그렇다면 SISW 직원은 SISW SaaS 보안 인식 정책에 따라 매년 보안 인식 교육을 받아야 합니다. 주제에는 프로그램과 도구의 안전한 사용, 피싱 방법, 암호 보안 및 다단계 인증, 정보 분류, 모바일 작업/재택 근무 보안, 보안 통신 등이 포함됩니다.

그렇다면 기밀 유지는 회사 지침에 명시되어 있으며, 매년 직원이 검토하고 서명해야 합니다. 파트너 및 협력업체는 Siemens와 동일한 수준의 보안을 준수하고 적절한 기밀 정보 취급을 규정한 비즈니스 파트너를 위한 비공개 계약 및 규칙을 준수해야 합니다. 기본적으로 모든 고객 데이터는 기밀로 레이블이 지정/처리됩니다.

그렇다면 가동 시간 서비스 수준 계약(SLA)은 고객이 선택한 서비스 수준에 따라 다릅니다. 표준 = 95%, 은 = 99.5%, 금 = 99.95%.

자세한 내용은 클라우드 지원 및 서비스 수준 프레임워크("클라우드 SLA")를 참조하십시오.

예 골드 지원 서비스 수준을 통해 가능합니다.

자세한 내용은 클라우드 지원 및 서비스 수준 프레임워크("클라우드 SLA")를 참조하십시오.

그렇다면 지원 센터에 달리 명시되지 않는 한, Cloud Services에는 다음과 같이 제공 지역별로 매주 정기 유지 관리 기간이 있습니다.

• 유럽 연합: 토요일 오전 4:59 CET - 토요일 오후 4:59 CET
• 미국: 토요일 오후 11시 59분(동부 표준시) – 동부 표준시 일요일 오전 11시 59분(동부 표준시)
• 일본: 토요일 오후 11시 59분 – 일요일 오전 11시 59분

SISW는 정기 유지 관리 기간의 시간을 연장하거나 변경할 수 있는 권리를 보유합니다. SISW는 그러한 변경 또는 예정된 유지보수가 있기 최소 7일 전에 고객에게 알리기 위해 상업적으로 합당한 노력을 기울일 것입니다.

그렇다면 표준 지원 조치를 통해 일일 백업은 2주 동안 유지 관리되고 월별 백업은 3개월 동안 유지 관리됩니다. 원본 데이터와 동일한 액세스 및 암호화 프로세스에 따라 모든 개체 데이터는 원본 데이터와 동일한 지리적 지역의 보조 시스템 계정/데이터 센터에 백업됩니다.

데이터 보존과 실버 및 골드 레벨 옵션에 대한 자세한 내용은 클라우드 지원 및 서비스 수준 프레임워크("클라우드 SLA")를 참조하십시오.

그렇다면 SISW SaaS 비즈니스 연속성 관리 정책은 비즈니스가 백업 및 재해 복구 메커니즘이 필요한 이벤트를 극복하기 위한 규칙을 정의합니다. 회사가 중요한 프로세스에 대해 심각도가 높은 사고(재해)로부터 복구하는 문제를 해결합니다. 이 정책에는 불리한 상황에서 비즈니스를 성공적으로 유지하기 위한 정보 보안 관리 프로세스, 기준 및 소유권에 대한 요구 사항이 포함되어 있습니다.

백업에서 데이터를 복원하는 절차는 적어도 매년 테스트되며 내부 및 외부 감사 프로세스의 일부로 검토됩니다. 백업 복원은 SISW SaaS 데이터 백업 및 복구 정책에 따라 테스트됩니다.