高级职责
鉴于网络安全的重要性,SISW 首席信息安全官 (CISO) 直接向 SISW 首席执行官并通过西门子全球首席网络安全官报告。
西门子企业网络安全组织和SISW网络安全组织作为值得信赖的合作伙伴,为我们的客户和其他西门子业务带来利益。整个西门子的安全专家开发和采用技术,利用内部网络,并与同行公司协商,通过明确、全面的问责制定期提高西门子的弹性。我们在网络安全的各个方面都依赖主人翁文化。所有这些都为西门子保护自身、客户和整个社会奠定了坚实的基础。
此页面使用自动翻译以中文显示。
改为用英语查看?
此翻译是否有帮助?
网络安全治理
Siemens Industry Software Inc. 及其附属公司 (SISW) 遵守有效的风险缓解治理框架、准则和指南。
网络安全是影响未来企业和社会的最重要问题之一。它是企业保护关键基础设施、保护敏感信息和确保业务连续性的关键先决条件。作为西门子的战略目标之一,只有依靠数据安全和互联系统,数字化转型才能取得成功。网络安全对我们的客户有着巨大的影响,并且是许多国际和国家法律法规所要求的。这使得网络安全成为西门子的重中之重。
Siemens Industry Software Inc. 及其附属公司 (SISW) 的网络安全组织致力于保护驻留在 SISW 产品、解决方案和服务中或由 SISW 产品、解决方案和服务处理的客户信息。我们通过确保此类产品、解决方案和服务符合公认的产品和解决方案安全工程实践来实现这一目标,包括威胁检测操作和攻击面减少等网络防御典范做法。
SISW的关键重点领域
网络安全管理
认证、证明、标签和报告
在西门子,我们制定了流程和控制措施来满足多项安全认证和合规性要求。请访问我们的系统证书页面了解更多详情。
ISO 27001/17/18 认证
ISO 27001 是描述信息安全管理体系 (ISMS) 最佳实践的国际标准。
获得 ISO 27001 认证和认可表明我们的组织遵循信息安全 (IS) 最佳实践。它还提供独立的专家验证,以确认IS的管理符合国际惯例和业务目标。
SISW 对信息安全的承诺由下面列出的 ISO 27001 证书和附录 27017 和 27018 证明。
ISO 27001
ISO 27017
ISO 27018
西门子为 CSA 提供支持,CSA 是一家致力于安全云计算最佳实践的全球领先组织。西门子已被 CSA 评为“值得信赖的云提供商”,SISW 产品已获得 CSA 安全、信任、保证和风险 (STAR) 一级认证,这肯定了我们与 CSA 安全实践的一致性。
SISW 的详细评估分享如下。
Cyber Essentials Plus (CE Plus) 是对 Cyber Essentials 实施的第三方验证,Cyber Essentials 是英国政府支持的一项计划,用于帮助保护组织免受一系列最常见的网络攻击。
SOC 2® 是与安全性、可用性、处理完整性、机密性或隐私相关的服务组织控制评估。
SISW 的 SOC 2® 报告是经过认证的证明,旨在为我们的客户提供详细信息和保证。此信息是指 SISW 内部与服务交付和处理客户数据所涉及的所有系统的安全性、可用性和处理完整性相关的控制。它还确认了SISW系统处理的信息的机密性和隐私性。
SOC 2® 报告可以通过您的 SISW 销售联系人索取,并将在签订适当的保密协议后提供。
面向服务组织的 SOC 3® 信任服务报告提供了常规使用报告的标准。
这些报告可以免费分发,旨在满足需要保证安全性、可用性和隐私但无法有效应用 SOC 2® 报告中包含的信息的用户的知识差距。SOC 3® 报告对于不需要 SOC 2® 报告的深入信息的用户和用例也足够了。
SOC3 报告 - Siemens Industry Software公司的 Siemens Xcelerator 即服务企业核心
网络安全政策框架
SISW建立了一个信息安全管理系统(ISMS),该系统符合西门子网络安全政策框架的愿景,并规定了政策、控制和职责分配,使SISW能够满足客户对网络安全的期望,并满足上述认证和证明的要求。
ISMS的核心是SISW信息安全计划手册,该手册为SISW的产品和相关活动的信息安全计划提供了管理方法。该手册描述了 SISW 建立和维护信息安全治理计划的方法,该计划提供信息资源的机密性、完整性、可用性和隐私性。
ISMS 还在 SISW 信息安全委员会 (ISC) 的管理下制定了一套政策,以确保对信息安全计划、计划目标和计划执行的承诺。
产品和解决方案安全 (PSS)
SISW 的产品、解决方案和服务包含重要的软件和 IT 相关组件,这些组件可能会受到快速发展的监管安全要求的约束。
西门子范围内的 PSS 计划的建立是为了帮助确保我们销售的产品、解决方案和服务使我们的客户能够在安全的环境中运行其流程。SISW 为每个产品线分配一名产品和解决方案安全官 (PSSO),以确保该计划在整个开发周期中得到实施和监控。
为此,西门子内部制定了具有约束力的 PSS 要求和实施建议。持续改进和学习是成功实现PSS的基本先决条件。
网络安全意识
在员工中建立共同意识对于确保遵守网络安全计划和保持高水平的安全至关重要。这意味着要创造一种具有风险意识的文化,并为整个组织的个人提供持续的培训和教育机会。
西门子SISW为员工提供多种学习和发展活动和途径,包括:
•一项 强制性的全球宣传活动 ,为员工提供有关网络安全主题的信息。这些培训课程是基于网络的、无障碍的和多语言的。此外,我们还为特定角色的群体提供“驾驶执照”培训。这项强制性培训使该集团能够应用西门子安全准则。
• 为 PSSO 提供额外的 SISW 强制性安全培训,并为参与创建内容的开发人员提供特定于云安全的培训 。
•西门子在自愿的基础上为员工提供大量定期更新的 培训课程和学习机会 。这些培训模块的范围从基础知识到特定和专业领域,如 PSS。
网络安全状态监控
SISW 实施了一个平台,概述了我们的网络安全态势,包括对潜在漏洞、威胁和安全日志的洞察。
通过对相关环境和日志的监控,可以实现:
•安全相关事件的通知;
• 集中概览账户信息(资源和资产);
• 验证指定的云安全态势、警报和实践;
• 执行明智且有针对性的基于安全的业务决策。
认证流程的基础
SISW 维护 ISO 9001 认证的质量管理体系 (QMS),旨在将安全控制嵌入 SISW 产品的安全开发生命周期 (SDLC) 中,并集成第三方供应商以控制可交付成果的质量。QMS在主要检查站执行关口,以验证安全控制和质量KPI是否已正确执行。
网络安全风险管理
网络安全风险管理流程是西门子企业风险管理战略(ERM)的一部分。ERM 的主要目标是使西门子能够根据国际标准识别和最小化潜在的安全风险。
西门子的网络安全风险管理流程侧重于报告和管理以下方面的风险:
•IT、文档和信息的资产分类和保护;
• 产品、解决方案和服务的威胁和风险分析;
• 对暂时偏离要求的异常处理;以及
• 网络安全供应商风险管理,如下所述。
网络安全供应商风险管理
网络安全风险需要在整个供应链中进行管理。西门子从整体上考虑了这一主题,包括 IT、OT 和 PSS,用于采购水平和垂直组件、产品和服务。
提高供应链网络安全水平的主要活动包括:
•供应链网络安全风险敞口的透明度;
• 由第三方供应商评估方法和相应的工具和模板支持的系统性风险管理实践,以满足对供应商的合同网络安全要求;
• 积极参与各种专家团体;
• 针对各种目标群体和用例定期开展培训和宣传活动。