西門子網路安全常見問題解答

是的。預設情況下，我們的解決方案中的資料是零存取權限的。客戶管理員將授予或刪除使用者存取權限。在 SISW 中，我們每季審查一次帳戶的最低權限存取權限。該模型包括職責分離、「需要知道」原則以及所有存取請求的請求和批准流程。

透過一組指定的存取點控制對生產環境的訪問，並僅限於特定的特權團隊成員。根據生產資產所在的位置，使用者使用具有硬體多因素身份驗證 (MFA) 的公司憑證對存取點進行身份驗證。密碼和雙重認證用於存取網路設備。這些僅限於根據工作職責授權的個人和系統流程，並且會定期更改。

西門子工業軟體 (SISW) SaaS 資訊安全政策包括存取控制要求，包括使用者存取管理、特權存取、存取審查、多因素身份驗證、密碼過期、長度、鎖定和複雜性。該政策還詳細說明了註冊和註銷流程、存取限制、憑證最佳實踐和用戶存取權限審查的要求。

您有實體設施安全計畫嗎？

是的。SISW 設施部門負責評估我們的實體位置、應用實體安全措施並持續調整這些措施。在辦公大樓、資料中心和其他地點實施實體存取控制機制（例如，身分識別徽章、受控接待、攝影機、存取日誌）。

SISW 擁有各種資訊安全認證，包括 ISO 27001/17/18、SOC2、TISAX、Cloud Security Alliance (CSA) STAR Level One CAIQ 和 Cyber Essentials Plus。

有關更多信息，請參閱系統證書頁面。

在眾多西門子工業軟體 (SISW) 政策的指導下，我們已經實施並繼續監控 NIST SP 800-53 中的大量控制措施，以確保實施最佳安全實務。此外，我們的政策符合 ISO 27001 和 SOC 2 合規架構。

是的。SISW 已根據資料保護原則實施技術和組織措施 (TOM) 來保護我們的系統、滿足 GDPR 要求並保護資料主體的權利。

有關我們的 TOM 的詳細信息，請參閱我們的資料隱私條款附件 II 。

尊重資料主體權利的程序可在我們的資料隱私條款第 10 節中找到，其中描述如何根據 GDPR 處理資料主體權利。如果 SISW 收到資料主體行使其資料主體權利（例如存取、更正、刪除或限制處理的權利）的請求，SISW 將毫不拖延地通知客戶。然後，SISW 將採取技術和組織措施協助客戶履行其回應此類請求和遵守適用的資料保護法的義務。

請參閱資料隱私權條款。

在實施新技術時，您的組織是否有結構化的「設計/預設資料保護」方法？如何使資料保護成為處理系統和服務核心功能的重要組成部分？

SISW SaaS 資訊安全合規政策確保我們的法律、資料隱私和合規組織審查適用的當地立法、法定、監管和合約要求，並根據法律要求在「設計隱私」工具和流程的支援下記錄和發布指導。

對西門子來說，「設計隱私」意味著在開發我們的產品和服務時已經考慮到合法性、透明度、資訊自決、資料經濟和資料安全。隱私設計已牢固地融入我們的產品開發流程中。在開發產品和服務時，我們會考慮選擇和同意、資料最小化、存取、安全性、資料準確性以及品質和存取。

是的。西門子工業軟體 (SISW) SaaS 安全開發政策為軟體開發和原始碼儲存庫制定了指導方針和要求。該政策包括軟體和服務開發生命週期所有階段的安全指南、在批准的儲存庫中維護原始程式碼（包括日誌記錄和監控）、對軟體工程師和程式設計師分析師的安全開發培訓，以及對安全開發、測試和操作環境的要求。

開放全球應用安全專案 (OWASP)標準直接指導我們的安全編碼實踐。透過多種安全測試（如滲透、靜態和動態分析）來尋找 OWASP 的「十大」Web 應用程式安全風險並識別任何潛在問題。關鍵問題將盡快解決，如果未立即解決，則較小問題將計劃在未來版本中解決。

是的。傳輸中的資料和靜態資料（包括備份）均根據西門子工業軟體 (SISW) SaaS 加密策略進行加密。

是的。SISW 員工每年必須接受安全意識培訓，培訓​​內容根據 SISW SaaS 安全意識政策實施。主題包括程序和工具的安全使用、網路釣魚方法、密碼安全和多因素身份驗證、資訊分類、行動工作/家庭辦公室安全、安全通訊等。

是的。公司指令中規定了保密問題，員工必須每年審查並簽署該指示。合作夥伴和分包商必須遵守與西門子相同的安全級別，並遵守我們的保密協議和業務合作夥伴規則，這些協議和規則規定瞭如何正確處理機密資訊。預設情況下，所有客戶資料都被標記/視為機密。

是的。我們的正常運作時間服務等級協定 (SLA) 根據客戶選擇的服務等級而有所不同。標準 = 95%，銀 = 99.5%，金 = 99.95%。

有關詳細信息，請參閱雲端支援和服務等級框架（「雲端 SLA」）。

是的，透過我們的金牌支援服務等級。

有關詳細信息，請參閱我們的雲端支援和服務等級框架（「雲端 SLA」）。

是的。除非支援中心另有規定，雲端服務在每個服務區域每週都會有一個定期維護期，如下所示：

• 歐洲聯盟：星期六上午 4:59（歐洲中部時間）– 星期六下午 4:59（歐洲中部時間）
• 美國：週六晚上 11:59（美國東部時間）— 週日上午 11:59（美國東部時間）
• 日本：週六晚上 11:59（日本標準時間）– 週日上午 11:59（日本標準時間）

SISW 保留延長或更改定期維護期時間的權利。SISW 將盡商業上合理的努力在任何此類變更或任何預定的維護前至少七天通知客戶。

是的。透過我們的標準支援措施，每日備份可維持兩週，每月備份可維持三個月。所有物件資料均依照與原始資料相同的存取和加密流程，備份至與原始資料位於相同地理區域的二級系統帳戶/資料中心。

有關資料保留和銀級和金級選項的更多信息，請參閱雲端支援和服務等級框架（「雲端 SLA」）。

是的。SISW SaaS 業務連續性管理政策定義了企業克服需要備份和災難復原機制的事件的規則。它解決了公司關鍵流程從高嚴重程度事件（災難）中恢復的問題。該政策包含資訊安全管理流程、標準和所有權的要求，以便在逆境中成功維持業務。

從備份恢復資料的程序至少每年測試一次，並作為內部和外部審計流程的一部分進行審查。根據 SISW SaaS 資料備份和復原策略測試備份還原。