Siemens Industry Software Inc. 및 그 계열사(SISW)는 효율적인 위험 완화 거버넌스 프레임워크, 지침 및 지침을 준수합니다.
사이버 보안은 기업과 사회의 미래에 영향을 미치는 가장 중요한 문제 중 하나입니다. 이는 조직이 중요한 인프라를 보호하고, 민감한 정보를 보호하고, 비즈니스 연속성을 보장하기 위한 핵심 전제 조건입니다. Siemens의 전략적 목표 중 하나인 디지털 트랜스포메이션은 데이터 보안과 연결된 시스템에 의존할 수 있는 경우에만 성공할 수 있습니다. 사이버 보안은 고객에게 막대한 영향을 미치며 많은 국제 및 국내 법률과 규정에서 요구합니다. 따라서 사이버 보안은 Siemens의 최우선 과제입니다.
Siemens Industry Software Inc. 및 그 계열사(SISW)의 사이버 보안 조직은 SISW 제품, 솔루션 및 서비스에 상주하거나 SISW 제품, 솔루션 및 서비스에 의해 처리되는 고객의 정보를 보호하기 위해 노력합니다. Microsoft는 이러한 제품, 솔루션 및 서비스가 위협 탐지 작업 및 공격 표면 감소와 같은 사이버 방어 모범 사례를 포함하여 제품 및 솔루션 보안에 대해 일반적으로 인정되는 엔지니어링 관행을 충족하도록 보장함으로써 이를 달성합니다.
높은 수준의 책임
사이버 보안의 중요성을 감안할 때 SISW 최고 정보 보안 책임자(CISO)는 SISW CEO에게 직접 보고하고 Siemens Global 최고 사이버 보안 책임자를 통해 보고합니다.
Siemens의 기업 사이버 보안 조직과 SISW 사이버 보안 조직은 고객 및 기타 Siemens 비즈니스의 이익을 위해 신뢰할 수 있는 파트너로서 긴밀히 협력합니다. Siemens의 보안 전문가는 기술을 개발 및 채택하고, 내부 네트워크를 활용하고, 동종 기업과 협의하여 명확하고 총체적인 책임을 통해 Siemens의 회복탄력성을 정기적으로 개선합니다. 우리는 사이버 보안의 모든 측면에 대해 소유권 문화에 의존합니다. 이 모든 것을 통해 Siemens는 자사, 고객 및 사회 전반을 보호할 수 있는 광범위한 기반을 마련할 수 있습니다.
Siemens는 여러 보안 인증서 및 규정 준수를 충족하기 위한 프로세스와 제어 기능을 갖추고 있습니다. 자세한 내용은 시스템 인증서 페이지를 참조하십시오.
ISO 27001/17/18 인증
ISO 27001은 정보 보안 관리 시스템(ISMS)의 모범 사례를 설명하는 국제 표준입니다.
ISO 27001 인증 및 인정을 획득함으로써 우리 조직이 정보 보안(IS) 모범 사례를 준수하고 있음을 입증합니다. 또한 IS가 국제 관행 및 비즈니스 목표에 따라 관리되고 있는지 독립적인 전문가 검증을 제공합니다.
정보 보안에 대한 SISW의 약속은 아래 나열된 ISO 27001 인증서와 부록 27017 및 27018에 의해 입증됩니다.
ISO 27001
ISO 27017
ISO 27018
Siemens는 보안 클라우드 컴퓨팅을 위한 모범 사례를 전담하는 선도적인 글로벌 조직인 CSA를 지원합니다. Siemens는 CSA로부터 "신뢰할 수 있는 클라우드 제공업체"로 분류되었으며, SISW 제품은 CSA STAR(Security, Trust, Assurance, and Risk) Level One을 획득하여 CSA 보안 관행에 부합함을 확인했습니다.
SISW의 자세한 평가는 다음과 같습니다.
Cyber Essentials Plus(CE Plus)는 가장 일반적인 사이버 공격으로부터 조직을 보호하는 데 사용되는 영국 정부 지원 체계인 Cyber Essentials 구현에 대한 제3자 검증입니다.
SOC 2®는 보안, 가용성, 처리 무결성, 기밀성 또는 개인 정보 보호와 관련된 서비스 조직 제어 평가입니다.
SISW의 SOC 2® 보고서는 고객에게 자세한 정보와 보증을 제공하기 위한 인증된 증명입니다. 이 정보는 서비스 제공 및 고객 데이터 처리와 관련된 모든 시스템의 보안, 가용성 및 처리 무결성과 관련된 SISW 내의 제어를 나타냅니다. 또한 SISW 시스템에서 처리하는 정보의 기밀성과 개인 정보 보호를 확인합니다.
SOC 2® 보고서는 SISW 영업 담당자를 통해 요청할 수 있으며 적절한 기밀 유지/비공개 계약이 체결된 후에 제공됩니다.
서비스 조직을 위한 SOC 3® 신뢰 서비스 보고서는 일반 사용 보고에 대한 기준을 제공합니다.
이러한 보고서는 자유롭게 배포할 수 있으며 보안, 가용성 및 개인 정보 보호에 대한 보증이 필요하지만 SOC 2® 보고서에 포함된 정보를 효과적으로 적용할 수 없는 사용자의 지식 격차를 충족하도록 설계되었습니다. SOC 3® 보고서는 SOC 2® 보고서의 심층 정보가 필요하지 않은 사용자 및 사용 사례에도 충분합니다.
SOC3 보고서 - Siemens Industry Software, Inc.의 Xcelerator as a Service Enterprise Core
SOC3 보고서 - Siemens Industry Software, Inc.의 클라우드 애플리케이션 서비스(CApS) 제품
SISW는 Siemens Cybersecurity Policy Framework의 비전에 부합하는 정보 보안 관리 시스템(ISMS)을 구축했으며 SISW가 사이버 보안에 대한 고객의 기대치를 충족하고 위에 나열된 인증 및 증명의 요구 사항을 충족할 수 있도록 정책, 제어 및 책임 할당을 규정합니다.
ISMS의 핵심은 SISW 정보 보안 프로그램 매뉴얼로, 제품 및 관련 활동에 대한 SISW의 정보 보안 프로그램에 대한 관리 접근 방식을 제공합니다. 이 매뉴얼은 정보 리소스의 기밀성, 무결성, 가용성 및 개인 정보 보호를 제공하는 정보 보안 거버넌스 프로그램을 수립하고 유지 관리하는 SISW의 접근 방식을 설명합니다.
또한 ISMS는 정보 보안 프로그램, 프로그램 목표 및 프로그램 시행에 대한 약속을 보장하기 위해 SISW 정보 보안 위원회(ISC)의 관리 하에 일련의 정책을 수립합니다.
SISW의 제품, 솔루션 및 서비스에는 중요한 소프트웨어 및 IT 관련 구성 요소가 포함되어 있으며, 이는 빠르게 발전하는 규제 보안 요구 사항의 대상이 될 수 있습니다.
Siemens의 PSS 이니셔티브는 Siemens가 판매하는 제품, 솔루션 및 서비스를 통해 고객이 안전한 환경에서 프로세스를 실행할 수 있도록 지원하기 위해 설립되었습니다. SISW는 각 제품 라인에 PSSO(Product and Solutions Security Officer)를 할당하여 이 이니셔티브가 개발 주기 전반에 걸쳐 구현되고 모니터링되는지 확인합니다.
이를 위해 PSS에 대한 구속력 있는 요구 사항과 구현을 위한 권장 사항이 Siemens 내에 마련되어 있습니다. 지속적인 개선과 학습은 PSS를 성공적으로 실현하기 위한 기본 전제 조건입니다.
직원들 사이에 공통된 인식을 형성하는 것은 사이버 보안 이니셔티브를 준수하고 높은 수준의 보안 및 안전을 유지하는 데 매우 중요합니다. 이는 위험을 인식하는 문화를 조성하고 조직 전체의 개인에게 지속적인 훈련 및 교육 기회를 제공하는 것을 의미합니다.
Siemens SISW는 직원들에게 다음과 같은 학습 및 개발을 위한 여러 활동과 방법을 제공합니다.
• 직원들에게 사이버 보안 주제에 관한 정보를 제공하기 위한 필수 글로벌 인식 캠페인 입니다. 이러한 교육 세션은 웹 기반, 배리어 프리 및 다국어입니다. 또한 역할별 그룹을 위한 "운전 면허증" 교육이 있습니다. 이 필수 교육을 통해 그룹은 Siemens 보안 지침을 적용할 수 있습니다.
• PSSO에 대한 추가 SISW 필수 보안 교육 및 콘텐츠 제작에 관련된 개발자를 위한 클라우드 보안 관련 교육 이 제공됩니다.
• Siemens는 정기적으로 업데이트되는 다양한 교육 과정과 학습 기회를 자발적으로 직원들에게 제공합니다. 이러한 교육 모듈은 기본 지식부터 PSS와 같은 특정 및 전문 영역에 이르기까지 다양합니다.
SISW는 잠재적인 취약성, 위협 및 보안 로그에 대한 통찰력을 포함하여 사이버 보안 태세에 대한 개요를 제공하는 플랫폼을 구현했습니다.
관련 환경 및 로그를 모니터링하면 다음을 수행할 수 있습니다.
• 보안 관련 사건 통지
• 계정 정보(자원 및 자산)에 대한 중앙 집중식 개요;
• 지정된 클라우드 보안 태세, 경고 및 관행의 검증;
• 정보에 입각한 표적 보안 기반 비즈니스 의사 결정 실행.
SISW는 SISW 제품의 SDLC(Secure Development Lifecycle)에 보안 제어를 포함하고 결과물의 품질을 제어하기 위해 타사 공급업체를 통합하도록 설계된 ISO 9001 인증 품질 관리 시스템(QMS)을 유지 관리합니다. QMS는 주요 체크포인트에서 게이트를 실행하여 보안 제어 및 품질 KPI가 제대로 실행되었는지 검증합니다.
사이버 보안 위험 관리 프로세스는 Siemens의 ERM(Enterprise Risk Management) 전략의 일부입니다. ERM의 주요 목표는 Siemens가 국제 표준에 따라 잠재적인 보안 위험을 식별하고 최소화할 수 있도록 하는 것입니다.
Siemens의 사이버 보안 위험 관리 프로세스는 다음과 같은 위험을 보고하고 관리하는 데 중점을 둡니다.
• IT, 문서 및 정보에 대한 자산 분류 및 보호;
• 제품, 솔루션 및 서비스에 대한 위협 및 위험 분석;
• 요구 사항의 일시적인 편차에 대한 예외 처리; 및
• 아래에 설명된 사이버 보안 공급업체 위험 관리.
사이버 보안 위험은 전체 공급망에서 관리해야 합니다. Siemens는 수평 및 수직 구성 요소, 제품 및 서비스를 조달하기 위해 IT, OT 및 PSS를 포함하여 이 주제를 전체적으로 고려합니다.
공급망을 따라 사이버 보안 수준을 개선하기 위한 주요 활동은 다음과 같습니다.
• 공급망에 따른 사이버 보안 위험 노출에 대한 투명성;
• 제3자 공급업체 평가 방법론 및 공급업체에 대한 계약상의 사이버 보안 요구 사항에 대한 해당 도구 및 템플릿으로 지원되는 체계적인 위험 관리 관행
• 다양한 전문가 커뮤니티에 적극적으로 참여합니다.
• 다양한 대상 그룹 및 사용 사례에 대한 정기적인 교육 및 인식 캠페인.