Cybersecurity Governance

ISO 27001 là tiêu chuẩn quốc tế mô tả các thực tiễn tốt nhất cho Hệ thống Quản lý An ninh Thông tin (ISMS).

Đạt được chứng nhận được chứng nhận ISO 27001 chứng minh rằng tổ chức của chúng tôi đang tuân theo các thực tiễn tốt nhất về bảo mật thông tin và cung cấp xác minh chuyên gia độc lập rằng bảo mật thông tin được quản lý phù hợp với thực tiễn tốt nhất quốc tế và các mục tiêu kinh doanh.

Cybersecurity Governance của Siemens được chứng nhận ISO 27001 kể từ tháng 11 năm 2017.

Chúng tôi đã được chứng nhận theo tiêu chuẩn mới ISO 27001:2022 kể từ tháng 11 năm 2023.

• Tải giấy chứng nhận
• Tìm hiểu thêm về Chứng chỉ Hệ thống

Chúng tôi đam mê cung cấp An ninh mạng linh hoạt, dựa trên dữ liệu thông qua kiến trúc mạnh mẽ để bảo vệ Siemens.

Để thực hiện điều này, chúng tôi đang thực hiện chiến lược An ninh mạng của mình trong dự án và sử dụng dịch vụ Kiến trúc Doanh nghiệp mới được tạo ra để lập bản đồ các mục tiêu chiến lược của chúng tôi thành một kiến trúc mục tiêu để hướng dẫn tất cả An ninh mạng trong nỗ lực triển khai của họ.

Các mục tiêu chính của dự án là: Hợp lý hóa việc sử dụng tài nguyên thông qua các biện pháp tự động hóa và hiệu quả, tăng cường khả năng hiển thị và minh bạch về các rủi ro an ninh mạng trên toàn Siemens và tận dụng việc ra quyết định dựa trên dữ liệu để tăng cường giảm thiểu rủi ro phản ứng và chủ động.

Thiết lập dự án của chúng tôi được cấu trúc theo năm luồng công việc:

• Khái niệm & quy trình:

  Mục tiêu của chúng tôi là mô tả và duy trì quy trình kiến trúc trong Siemens Cybersecurity, đảm bảo nó được tích hợp với chiến lược và danh mục đầu tư của chúng tôi. Và để mô tả các khối xây dựng của kiến trúc an ninh mạng dựa trên dữ liệu của chúng tôi, bao gồm khả năng, ứng dụng, đầu vào, đầu ra và phụ thuộc.

• Governance:

  Chúng tôi đặt mục tiêu xác định cách dữ liệu an ninh mạng có thể được kết hợp để cho phép xác định và đánh giá rủi ro an ninh mạng tự động, trao quyền cho việc ra quyết định để giảm thiểu và tăng cường tuân thủ chính sách.

• Nhận thức tình huống:

  Mục tiêu của chúng tôi là đứng đầu và là tiếng nói của dự án EA, thu thập kỳ vọng của người dùng và cung cấp tư thế rủi ro toàn diện để tăng cường hoạt động hàng ngày của người dùng cuối.

• Tình báo bảo mật:

  Chúng tôi đặt mục tiêu triển khai điểm quyết định dựa trên dữ liệu và hỗ trợ AI, cung cấp khả năng tự động xác định và giảm thiểu rủi ro an ninh mạng của Siemens bằng cách trao quyền cho việc ra quyết định.

• Dữ liệu:

  Workstream Data giúp Cybersecurity áp dụng cách tiếp cận dựa trên dữ liệu bằng cách thiết lập tính minh bạch của dữ liệu, ngăn chặn sự trùng lặp dữ liệu và cung cấp hướng dẫn cho các nhóm về chiến lược dữ liệu của họ.

Khung chính sách an ninh mạng được áp dụng cho Siemens và các công ty liên kết. Đặc biệt, nó chứa các yêu cầu an ninh mạng được đặt ra trong các chính sách, tiêu chuẩn và cơ sở cụ thể.

Tất cả các chính sách đều dựa trên các tiêu chuẩn công nghiệp có liên quan như ISO 2700x hoặc IEC 62443. Để đảm bảo tuân thủ các tiêu chuẩn quan trọng khác, các tham chiếu đến chúng cũng được quản lý. Danh sách các tiêu chuẩn liên quan bao gồm ví dụ NIST 800-53, Hướng dẫn về CNTT-TT và quản lý rủi ro bảo mật từ EBA và các tiêu chuẩn khác.

Các sản phẩm, giải pháp và dịch vụ của Siemens chứa một lượng đáng kể phần mềm và các thành phần liên quan đến CNTT, trong nhiều trường hợp được sử dụng trong bối cảnh cơ sở hạ tầng quan trọng và có thể tiếp xúc nhiều hơn với các mối đe dọa mạng. Các yêu cầu về quy định và bảo mật cụ thể của khách hàng ngày càng tăng và cần được giải quyết bởi Siemens.

Để duy trì tính cạnh tranh và đáng tin cậy, Sáng kiến PSS trên toàn Siemens được thành lập để giúp đảm bảo rằng các sản phẩm, giải pháp và dịch vụ chúng tôi bán cho phép khách hàng của chúng tôi vận hành cơ sở của họ trong một môi trường an toàn.

Vì mục đích này, các yêu cầu ràng buộc đối với PSS và các khuyến nghị để thực hiện đã được đưa ra. Cải tiến liên tục và học tập liên tục là điều kiện tiên quyết cơ bản để thực hiện thành công.

Điều quan trọng sống còn là tạo ra nhận thức và hiểu biết chung giữa tất cả nhân viên về các khía cạnh cơ bản của an ninh mạng và cung cấp đào tạo cụ thể dành riêng cho các vai trò liên quan đến an ninh mạng. Để đáp ứng mong đợi của khách hàng về các sản phẩm, giải pháp và dịch vụ hiện đại từ Siemens về công nghệ và bảo mật và để đảm bảo khả năng cung cấp chất lượng như vậy bằng cách liên tục nâng cao nhận thức về an ninh mạng trong công ty và cho phép nhân viên của chúng tôi xem xét an ninh mạng trong mọi hoạt động, bước và quy trình của toàn bộ chuỗi giá trị, chúng tôi đã tạo ra một số hoạt động. Ví dụ:

• Một chiến dịch nâng cao nhận thức toàn cầu bắt buộc với mục tiêu cung cấp cho tất cả nhân viên thông tin liên quan đến các chủ đề an ninh mạng chung và quan trọng. Các buổi đào tạo này dựa trên web, không có rào cản và đa ngôn ngữ. Ngoài ra, đối với một nhóm theo vai trò cụ thể, chúng tôi có khóa đào tạo “Bằng lái xe”. Khóa đào tạo này là bắt buộc và cho phép nhóm theo vai trò cụ thể áp dụng tất cả các hướng dẫn bảo mật IT/OT của Siemens. Sau khi hoàn thành thành công, người tham gia sẽ nhận được chứng chỉ có giá trị trong hai năm.
• Chúng tôi cũng cung cấp một số khóa đào tạo và cơ hội học tập được cập nhật liên tục cho tất cả nhân viên của Siemens. Chúng có thể được truy cập trên cơ sở tự nguyện. Khóa đào tạo này không chỉ dành cho kiến thức cơ bản mà còn cho các lĩnh vực cụ thể và chuyên biệt như Bảo mật Sản phẩm và Giải pháp.
• Chúng tôi tin rằng học tập liên tục là chìa khóa để thành công và vì vậy chúng tôi liên tục tìm kiếm những cách mới để đào tạo và cập nhật nhân viên của mình.

Luôn duy trì một cái nhìn tổng quan: Để giúp đạt được điều này, chúng tôi cung cấp một nền tảng an ninh mạng nội bộ được gọi là 'CyberMart' cung cấp một cái nhìn toàn diện về dữ liệu và quy trình an ninh mạng tại Siemens.

Nó cho phép các quyết định kinh doanh sáng suốt và có mục tiêu bằng cách cung cấp

• nền tảng cho các ứng dụng an toàn xử lý thông tin liên quan đến an ninh mạng,
• kho dữ liệu an toàn cho dữ liệu liên quan đến an ninh mạng cũng như
• báo cáo đáo hạn và tình trạng về các quy trình bảo mật (ví dụ: bảo vệ tài sản, xử lý ngoại lệ).

Một phần của nền tảng này là bảng điều khiển an ninh mạng cung cấp tổng quan về tình trạng hoạt động an ninh mạng cũng như các điểm dữ liệu chiến lược. Thông tin này là cơ sở để báo cáo quản lý nội bộ thường xuyên cho Ban quản lý Siemens và Ban Giám sát Siemens.

Mục tiêu chính của Quản lý Rủi ro An ninh mạng, một phần của Quản lý Rủi ro Doanh nghiệp Siemens (ERM), là cho phép Siemens đạt được sự minh bạch về các rủi ro an ninh mạng của mình và quản lý đầy đủ các rủi ro này ở mức chấp nhận được.
Khung quản lý rủi ro an ninh mạng của Siemens dựa trên các tiêu chuẩn quốc tế (ISO/IEC 27005 và ISF IRAM2), xem xét tất cả các cấp độ, từ hoạt động đến doanh nghiệp, và cũng sử dụng các quy trình và vai trò ERM đã được thiết lập.
Các rủi ro an ninh mạng được báo cáo và quản lý lên đến cấp ERM được xác định trong các quy trình sau và được quản lý trong các công cụ tương ứng:

• Quy trình quản lý rủi ro an ninh mạng tổng thể
• Quy trình phân loại và bảo vệ tài sản cho tài sản CNTT và tài liệu & thông tin
• Phân tích mối đe dọa và rủi ro cho các sản phẩm, giải pháp và dịch vụ
• Quy trình xử lý ngoại lệ đối với các sai lệch tạm thời so với khung an ninh mạng của Siemens
• Quản lý rủi ro của nhà cung cấp an ninh mạng

Quản lý rủi ro của nhà cung cấp an ninh mạng:

Các rủi ro an ninh mạng cần được quản lý dọc theo toàn bộ chuỗi cung ứng. Siemens xem xét chủ đề này một cách toàn diện bao gồm CNTT, OT và PSS để mua sắm các thành phần, sản phẩm và dịch vụ ngang và dọc. Vì lý do này, các hoạt động chính để cải thiện mức độ an ninh mạng dọc theo chuỗi cung ứng bao gồm:

• Tính minh bạch liên quan đến rủi ro an ninh mạng dọc theo chuỗi cung ứng
• Thực hành quản lý rủi ro có hệ thống được hỗ trợ bởi phương pháp đánh giá nhà cung cấp của bên thứ ba, các công cụ và mẫu tương ứng cho các yêu cầu an ninh mạng theo hợp đồng đối với nhà cung cấp
• Tham gia tích cực vào Hiến chương Tin cậy thúc đẩy nguyên tắc thứ 2: “Trách nhiệm trong suốt chuỗi cung ứng kỹ thuật số” cũng như các cộng đồng chuyên gia khác nhau
• Đào tạo thường xuyên và các chiến dịch nâng cao nhận thức cho các nhóm mục tiêu và các trường hợp sử dụng khác nhau

Sự cố an ninh thông tin là gì?

Sự cố An ninh Thông tin được định nghĩa là: Sự xâm phạm trực tiếp hoặc gián tiếp về tính bảo mật, tính toàn và/hoặc tính khả dụng của thông tin theo phân loại của nó (dựa trên ISO27001 và NIST 800-61 rev2). Các ví dụ về sự cố bao gồm, nhưng không giới hạn ở:

1. Nỗ lực thành công để có được quyền truy cập trái phép vào hệ thống hoặc dữ liệu của nó
2. Gián đoạn hoặc từ chối dịch vụ
3. Sử dụng trái phép một hệ thống để xử lý hoặc lưu trữ dữ liệu
4. Thay đổi các đặc điểm phần cứng, chương trình cơ sở hoặc phần mềm hệ thống mà không có kiến thức, hướng dẫn hoặc sự đồng ý của chủ sở hữu

Phản ứng sự cố

Chúng tôi thực hiện phân tích chuyên sâu về các sự cố an ninh mạng. Để đạt được điều này, chúng tôi tham gia với các phóng viên và các bên liên quan có trách nhiệm kinh doanh, bên trong và bên ngoài để phối hợp các hoạt động ứng phó và đảm bảo ngăn chặn và bắt đầu các nhiệm vụ khắc phục thích hợp. Hơn nữa, chúng tôi cung cấp Giám đốc Dự án Sự cố, hỗ trợ về các khía cạnh tổ chức và truyền thông của các sự cố nghiêm trọng và phức tạp.

Quy trình xử lý sự cố

• Phát hiện

  Thỏa hiệp về tính bảo mật, tính toàn và/hoặc tính sẵn có của thông tin.

• Trả lời

  Phân tích cuộc tấn công và bắt đầu các biện pháp đối phó.

• Khắc phục

  Bao gồm: Hạn chế hoạt động độc hại, Giảm thiểu: Ngăn chặn thiệt hại thêm, Sửa chữa: Khắc phục và ngăn chặn tái diễn

• Phục hồi

  Khôi phục tính toàn vẹn của các hệ thống bị ảnh hưởng đến trạng thái hoạt động không bị suy giảm.

Các mối đe dọa an ninh buộc ngành công nghiệp phải hành động.

Các cuộc tấn công của tội phạm mạng có thể thao túng toàn bộ chuỗi giá trị thường không chỉ dẫn đến sự cố sản xuất mà còn gây thiệt hại đáng kể cho hình ảnh của bạn. Để bảo vệ công nghệ vận hành (OT) của bạn một cách tốt nhất có thể, cần phải có sự minh bạch về rủi ro của tài sản của bạn. Điều này cho phép các mối đe dọa an ninh mạng được xác định và loại bỏ trước khi chúng gây ra thiệt hại đáng kể. Chúng tôi cung cấp nhiều an ninh mạng hơn cho các quy trình sản xuất của bạn. Cách tiếp cận toàn diện của chúng tôi được thiết kế để xác định các lỗ hổng bảo mật thủ tục và lỗ hổng kỹ thuật trước khi chúng bị khai thác bởi các tác nhân xấu.

Thêm thông tin

AI phục vụ một chức năng quan trọng trong nỗ lực an ninh mạng của Siemens. Nó tự động xác định và chống lại các mối đe dọa bảo mật bằng cách phát hiện sự bất thường trong mạng và hệ thống của chúng tôi. Hành động ngay lập tức này chống lại các vi phạm an ninh giúp hạn chế tác hại tiềm ẩn.

Hơn nữa, AI tăng hiệu quả của các quy trình an ninh mạng của chúng tôi bằng cách tự động hóa các nhiệm vụ trần tục. Tự động hóa này cho phép các nhóm bảo mật của chúng tôi tập trung vào các vấn đề phức tạp và cấp bách hơn. Ngoài ra, AI thiết lập các giao thức bảo mật tùy chỉnh dựa trên phân tích hành vi người dùng, thúc đẩy chiến lược bảo mật chính xác cho từng bộ phận trong Siemens.

Mặc dù có những lợi thế, điều quan trọng cần lưu ý là AI cũng có thể là một công cụ cho những kẻ tấn công mạng, tăng cường sự phức tạp của các hành động độc hại của họ. Những kẻ tấn công này có thể khai thác AI để tự động hóa các cuộc tấn công của họ, trốn tránh các hệ thống an ninh thông thường hoặc thậm chí mô phỏng hành vi của con người để thoát khỏi sự phát hiện.

Tuy nhiên, Siemens đã chuẩn bị tốt cho kịch bản phức tạp này. Chúng tôi đã thiết lập các giao thức bảo mật nghiêm ngặt để đảm bảo việc áp dụng AI an toàn và có trách nhiệm. Cách tiếp cận tiên tiến của chúng tôi hỗ trợ duy trì tính toàn vẹn của hệ thống và bảo vệ chúng tôi khỏi những rủi ro tiềm ẩn, do đó cho phép chúng tôi khai thác những lợi thế của AI trong các hoạt động an ninh mạng của mình.

Những lợi ích mà Siemens thu được từ AI vượt trội hơn rủi ro. Thông qua việc triển khai tỉ mỉ và giám sát liên tục, chúng tôi giảm thiểu những rủi ro này và khuếch đại lợi ích của AI. Do đó, AI nổi lên như một công cụ vô giá giúp tăng cường đáng kể khả năng của chúng ta để tránh các mối đe dọa bảo mật.