高層職責
鑑於網路安全的重要性,SISW 首席資訊安全長 (CISO) 透過西門子全球首席網路安全長直接向 SISW 執行長報告。
西門子的企業網路安全組織和 SISW 網路安全組織作為值得信賴的合作夥伴密切合作,以造福我們的客戶和其他西門子業務。整個西門子的安全專家開發和採用技術,利用內部網絡,並與同行公司協商,透過清晰、全面的問責制定期提高西門子的彈性。我們在網路安全的各個方面都依靠主人翁文化。所有這些都為西門子保護自己、客戶和整個社會奠定了廣泛的基礎。
西門子工業軟體公司及其附屬公司 (SISW) 遵守有效的風險緩解治理框架、準則和指導。
對公司和社會來說,網路安全是影響未來的最重要議題之一。它是組織保護關鍵基礎設施、敏感資訊和確保業務連續性的關鍵先決條件。作為西門子的戰略目標之一,數位轉型只有依靠資料安全和互聯繫統才能成功。網路安全對我們的客戶產生巨大影響,並且是許多國際和國家法律法規的要求。這使得網路安全成為西門子的首要任務。
西門子工業軟體公司及其附屬公司 (SISW) 的網路安全組織致力於保護 SISW 產品、解決方案和服務中駐留或由其處理的客戶資訊。我們透過確保此類產品、解決方案和服務符合普遍接受的產品和解決方案安全工程實踐來實現這一目標,包括威脅偵測操作和減少攻擊面等網路防禦最佳實踐。
高層職責
鑑於網路安全的重要性,SISW 首席資訊安全長 (CISO) 透過西門子全球首席網路安全長直接向 SISW 執行長報告。
西門子的企業網路安全組織和 SISW 網路安全組織作為值得信賴的合作夥伴密切合作,以造福我們的客戶和其他西門子業務。整個西門子的安全專家開發和採用技術,利用內部網絡,並與同行公司協商,透過清晰、全面的問責制定期提高西門子的彈性。我們在網路安全的各個方面都依靠主人翁文化。所有這些都為西門子保護自己、客戶和整個社會奠定了廣泛的基礎。
在西門子,我們擁有適當的流程和控制措施來滿足多項安全認證和合規性要求。請造訪我們的系統憑證頁面以了解更多詳細資訊。
ISO 27001/17/18 認證
ISO 27001 是描述資訊安全管理系統 (ISMS) 最佳實務的國際標準。
獲得 ISO 27001 認證和認可表明我們的組織遵循資訊安全 (IS) 最佳實踐。它還提供獨立的專家驗證,證明資訊系統的管理符合國際慣例和業務目標。
下面列出的 ISO 27001 證書以及附錄 27017 和 27018 證明了 SISW 對資訊安全的承諾。
ISO 27001
ISO 27017
ISO 27018
西門子支援 CSA,這是一個致力於安全雲端運算最佳實踐的全球領先組織。西門子已被 CSA 標記為「可信任雲端提供者」,SISW 產品已達到 CSA 安全、信任、保證和風險 (STAR) 一級,這證實了我們與 CSA 安全實踐的一致性。
SISW 的詳細評估如下所示。
Cyber Essentials Plus (CE Plus) 是 Cyber Essentials 實施的第三方驗證,這是一項英國政府支援的計劃,用於幫助保護組織免受一系列最常見的網路攻擊。CE Plus 西門子 CE Plus 認證
SOC 2® 是與安全性、可用性、處理完整性、機密性或隱私相關的服務組織控制評估。
SISW 的 SOC 2® 報告是經過認證的證明,旨在為我們的客戶提供詳細資訊和保證。此資訊是指 SISW 內與服務交付和處理客戶資料所涉及的所有系統的安全性、可用性和處理完整性相關的控制。它還確認 SISW 系統處理的資訊的機密性和隱私性。
可透過您的 SISW 銷售聯絡人索取 SOC 2® 報告,並將在簽署適當的保密/保密協議後提供。
SOC 3® 服務組織信託服務報告提供了一般用途報告的標準。
這些報告可以自由分發,旨在滿足需要安全性、可用性和隱私保證但無法有效應用 SOC 2® 報告中包含的資訊的使用者的知識差距。當不需要 SOC 2® 報告的深入資訊時,SOC 3® 報告也足以滿足使用者和用例的需要。
SISW 建立了符合西門子網路安全政策框架願景的資訊安全管理系統 (ISMS),並規定了政策、控制和職責分配,使 SISW 能夠滿足客戶對網路安全的期望並滿足認證要求以及上面列出的證明。
ISMS 的核心是 SISW 資訊安全計畫手冊,它提供了我們對 SISW 的產品和相關活動資訊安全計畫的管理方法。該手冊描述了 SISW 建立和維護資訊安全治理計劃的方法,該計劃提供資訊資源的機密性、完整性、可用性和隱私性。
ISMS 也在 SISW 資訊安全委員會 (ISC) 的管理下制定了一套政策,以確保對資訊安全計畫、計畫目標和計畫執行的承諾。
SISW 的產品、解決方案和服務包含重要的軟體和 IT 相關元件,這些元件可能會受到快速發展的監管安全要求的影響。
西門子範圍內的 PSS 計劃旨在幫助確保我們銷售的產品、解決方案和服務使我們的客戶能夠在安全的環境中運行其流程。SISW 為每個產品線分配一名產品和解決方案安全官 (PSSO),以確保該計劃在整個開發週期中實施和監控。
為此,西門子內部製定了具有約束力的 PSS 要求和實施建議。持續改進和學習是成功實現 PSS 的基本前提。
在員工中建立共識對於確保遵守網路安全措施並保持高水準的安全和保障至關重要。這意味著創造一種風險意識文化,並為整個組織中的個人提供持續的培訓和教育機會。
西門子 SISW 為員工提供多種學習和發展的活動和途徑,包括:
•一項強制性的全球意識活動,旨在為員工提供有關網路安全主題的資訊。這些培訓課程是基於網路的、無障礙的、多語言的。此外,我們也為特定角色群提供「駕駛執照」培訓。這項強制性培訓使該團隊能夠應用西門子安全準則。
•為 PSSO 提供額外的 SISW 強制性安全培訓,並為參與創建內容的開發人員提供特定於雲端安全的培訓。
•西門子自願為員工提供大量定期更新的培訓課程和學習機會。這些培訓模組涵蓋從基礎知識到 PSS 等特定和專業領域。
SISW 實施了一個平台,可概述我們的網路安全狀況,包括對潛在漏洞、威脅和安全日誌的洞察。
監控相關環境與日誌可以:
•安全相關事件的通知;
• 帳戶資訊(資源與資產)集中概覽;
• 驗證指定的雲端安全態勢、警報和實務;
• 執行明智且有針對性的基於安全的業務決策。
SISW 維持 ISO 9001 認證的品質管理系統 (QMS),旨在將安全控制嵌入 SISW 產品的安全開發生命週期 (SDLC) 中,並整合第三方供應商以控制可交付成果的品質。品質管理系統在主要檢查點執行關卡,以驗證安全控制和品質 KPI 是否已正確執行。
網路安全風險管理流程是西門子企業風險管理策略 (ERM) 的一部分。ERM 的主要目標是使西門子能夠根據國際標準識別並最大程度地減少潛在的安全風險。
西門子的網路安全風險管理流程著重於報告和管理以下方面的風險:
•IT、文件和資訊的資產分類和保護;
• 產品、解決方案和服務的威脅和風險分析;
• 對暫時偏離要求的異常處理;
• 網路安全供應商風險管理,如下所述。
需要對整個供應鏈的網路安全風險進行管理。西門子從整體上考慮這個主題,包括 IT、OT 和 PSS,以採購水平和垂直組件、產品和服務。
提高供應鏈網路安全水準的主要活動包括:
•供應鏈網路安全風險暴露的透明度;
• 由第三方供應商評估方法和供應商合約網路安全要求的相應工具和範本支援的系統風險管理實務;
• 積極參與各種專家社群;
• 針對不同目標群體和用例的定期培訓和宣傳活動。