Siemens インダストリーSoftware 株式会社とその関連会社(SISW)は、リスクを軽減するための効率的なガバナンスの枠組み、ガイドライン、ガイダンスを遵守しています。
Cybersecurity は、企業や社会にとって、将来に影響を与える最も重要な問題の1つです。これは、組織が重要なインフラストラクチャを保護し、機密情報を保護し、事業継続性を確保するための重要な前提条件です。シーメンスの戦略的目標の1つとして、デジタル変革は、データセキュリティとコネクテッドシステムに頼ることができなければ成功しません。Cybersecurity はお客様に多大な影響を及ぼし、多くの国際法や国内法や規制で義務付けられています。そのため、サイバーセキュリティはSiemens にとって最優先事項です。
Siemens インダストリーSoftware 株式会社とその関連会社(SISW)のCybersecurity 組織は、SISWの製品、ソリューション、およびサービスに保存されている、またはSISWによって処理されるお客様の情報を保護するよう努めています。私たちは、そのような製品、ソリューション、およびサービスが、脅威の検出操作や攻撃対象領域の削減などのサイバー防御のベストプラクティスを含め、製品とソリューションのセキュリティに関して一般に認められているエンジニアリング手法を満たしていることを確認することでこれを実現しています。
高レベルの責任
Cybersecurity の重要性を考えると、SISWの最高情報Security 責任者(CISO)は、SISW CEO の直属として、またはSiemens グローバル最高サイバーセキュリティ責任者を介して直属します。
シーメンスのコーポレート・Cybersecurity 組織とSISWCybersecurity 組織は、お客様や他のSiemens 事業の利益のために、信頼できるパートナーとして緊密に協力しています。Siemens セキュリティ専門家は、テクノロジーを開発して採用し、社内ネットワークを活用し、同業他社と相談して、明確で包括的な説明責任を通じてシーメンスのレジリエンスを日常的に向上させています。私たちはサイバーセキュリティのあらゆる面でオーナーシップの文化に頼っています。これらすべてが、Siemens、自社、顧客、そして社会全体を守るための幅広い基盤となっています。
Siemens では、いくつかのセキュリティ証明書とコンプライアンスに適合するためのプロセスと統制を導入しています。詳細については、システム証明書のページをご覧ください。
SISWは、Siemens サイバーSecurity ポリシーフレームワークのビジョンに適合する情報セキュリティ管理システム(ISMS)を確立し、SISWがサイバーセキュリティに対する顧客の期待に応え、上記の認証と証明書の要件を満たすためのポリシー、統制、および責任の割り当てを規定しています。
ISMSの中核は、SISW情報Security プログラムマニュアルです。このマニュアルには、SISWの情報セキュリティプログラムの提供および関連活動に対する当社の管理アプローチが記載されています。このマニュアルには、情報リソースの機密性、完全性、可用性、プライバシーを確保する情報セキュリティガバナンスプログラムを確立および維持するためのSISWのアプローチが記載されています。
ISMSはまた、情報セキュリティプログラム、プログラムの目標、およびプログラムの実施への取り組みを確実にするために、SISW情報Security 評議会(ISC)のガバナンスの下で、一連のポリシーを確立しています。
SISWの製品、ソリューション、およびサービスには、ソフトウェアとIT関連の重要なコンポーネントが含まれており、これらは急速に発展する規制上のセキュリティ要件の対象となる可能性があります。
シーメンス全体のPSSイニシアチブは、当社が販売する製品、ソリューション、およびサービスによって、お客様が安全な環境でプロセスを実行できるようにするために設立されました。SISWは、各製品ラインに製品およびSolutions Security 責任者(PSSO)を割り当て、この取り組みが開発サイクルを通じて実施および監視されていることを確認しています。
この目的のために、PSS 拘束力のある要件と実装に関する推奨事項がSiemens 社内で定められています。継続的な改善と学習は、PSSを成功させるための基本的な前提条件です。
サイバーセキュリティの取り組みを確実に順守し、高いレベルのセキュリティと安全を維持するためには、従業員の間で共通の認識を高めることが不可欠です。これは、リスクを意識した文化を作り、組織全体の個人に継続的なトレーニングと教育の機会を提供することを意味します。
Siemens SISWは、従業員に次のような学習と能力開発のためのいくつかの活動と手段を提供しています。
• A 必須のグローバル啓発キャンペーン サイバーセキュリティのトピックに関する情報を従業員に提供します。これらのトレーニングセッションはウェブベースで、バリアフリーで、多言語です。さらに、役割別のグループ向けの「運転免許証」トレーニングも行っています。この必須トレーニングにより、グループはSiemens セキュリティガイドラインを適用することができます。
• 追加の SISW-PSSO向けの必須セキュリティトレーニングと開発者向けのクラウドセキュリティ固有のトレーニング コンテンツ制作に関わるものが提供されています。
• Siemens、定期的に更新される多数の製品を提供しています トレーニングコースと学習機会 自主的に従業員向けです。これらのトレーニングモジュールは、基本的な知識からPSSのような特定の専門分野まで多岐にわたります。
SISWは、潜在的な脆弱性、脅威、セキュリティログに関する洞察など、サイバーセキュリティ体制の概要を提供するプラットフォームを実装しています。
関連する環境とログを監視することで、次のことが可能になります。
• セキュリティ関連イベントの通知
• アカウント情報(リソースと資産)の概要を一元管理できます。
• 指定されたクラウドセキュリティ態勢、警告、および慣行の検証。そして
• 情報に基づいた、的を絞ったセキュリティベースのビジネス上の意思決定の実行。
SISWは、ISO 9001認定の品質管理システム(QMS)を維持しています。これは、SISW製品の安全な開発ライフサイクル(SDLC)にセキュリティ管理を組み込むことと、成果物の品質を管理するための第三者サプライヤーの統合を目的としています。QMSは、セキュリティ管理と品質KPIが適切に実施されていることを確認するために、主要なチェックポイントでゲートを設置します。
品質ビジョン
Cybersecurity リスク管理プロセスは、シーメンスのエンタープライズリスク管理戦略(ERM)の一部です。ERMの主な目標は、Siemens 国際基準に基づいて潜在的なセキュリティリスクを特定し、最小限に抑えることができるようにすることです。
シーメンスのCybersecurity リスク管理プロセスは、以下のリスクの報告と管理に重点を置いています。
• IT、文書、情報の資産分類と保護。
• 製品、ソリューション、サービスの脅威とリスクの分析。
• 要件から一時的に逸脱した場合の例外処理。そして
• Cybersecurity サプライヤーのリスク管理。後述します。
Cybersecurity リスクはサプライチェーン全体で管理する必要があります。Siemens、水平および垂直のコンポーネント、製品、サービスを調達する際に、IT、OT、PSSを含め、このトピックを総合的に検討しています。
サプライチェーンにおけるサイバーセキュリティレベルを向上させるための主な活動は次のとおりです。
• サプライチェーンにおけるサイバーセキュリティリスクに関する透明性。
• 第三者サプライヤーの評価方法論と、サプライヤーへの契約上のサイバーセキュリティ要件のためのそれぞれのツールとテンプレートに支えられた、体系的なリスク管理慣行。
• さまざまな専門家コミュニティへの積極的な参加。そして
• さまざまなターゲットグループやユースケースを対象とした定期的なトレーニングと啓発キャンペーン。