Câu hỏi thường gặp về an ninh mạng của Siemens
Đọc Câu hỏi thường gặp về an ninh mạng của chúng tôi để tìm hiểu về các biện pháp mà Siemens Digital Industries Software (DI SW) thực hiện đối với bảo mật của hệ thống của chúng tôi.
Kiểm soát truy cập
Vâng. Dữ liệu trong các dịch vụ đám mây của chúng tôi, theo mặc định, không có quyền truy cập. Quản trị viên khách hàng sẽ cấp hoặc xóa quyền truy cập cho người dùng.
Trong Siemens Digital Industry Software (Siemens), chúng tôi xem xét các tài khoản đám mây để có quyền truy cập ít đặc quyền nhất hàng quý. Mô hình này bao gồm sự phân tách nhiệm vụ, nguyên tắc “cần biết” và quy trình yêu cầu và phê duyệt cho tất cả các yêu cầu truy cập.
Quyền truy cập vào môi trường đám mây sản xuất được kiểm soát thông qua một tập hợp các điểm truy cập được chỉ định và giới hạn cho các thành viên nhóm đặc quyền, cụ thể. Người dùng được xác thực đến các điểm truy cập bằng thông tin đăng nhập của công ty với xác thực đa yếu tố phần cứng (MFA) tùy thuộc vào vị trí của tài sản sản xuất. Mật khẩu, cùng với xác thực hai yếu tố, được sử dụng để truy cập các thiết bị mạng. Chúng được giới hạn đối với các cá nhân được ủy quyền và quy trình hệ thống dựa trên trách nhiệm công việc và được thay đổi định kỳ.
Các yêu cầu kiểm soát truy cập áp dụng cũng bao gồm quản lý truy cập người dùng, quyền truy cập đặc quyền, xem xét truy cập, xác thực đa yếu tố và hết hạn mật khẩu, độ dài, khóa và độ phức tạp, cùng với các yêu cầu đối với quy trình đăng ký và hủy đăng ký, hạn chế truy cập, thực tiễn tốt nhất về thông tin xác thực và đánh giá quyền truy cập của người dùng.
Vâng. Bộ phận Cơ sở vật chất của Siemens chịu trách nhiệm đánh giá các địa điểm thực tế của chúng tôi, áp dụng các biện pháp an ninh vật lý và định kỳ điều chỉnh các biện pháp đó khi cần thiết. Cơ chế kiểm soát truy cập vật lý (ví dụ: huy hiệu nhận dạng, tiếp nhận có kiểm soát, camera, ghi nhật ký truy cập) được thực hiện tại các tòa nhà văn phòng, trung tâm dữ liệu và các địa điểm khác của Siemens.
Chứng nhận & tiêu chuẩn
Chúng tôi duy trì các chứng chỉ bảo mật thông tin khác nhau, bao gồm ISO 27001/17/18, SOC2, TISAX, Cloud Security Alliance (CSA) STAR Level One CAIQ và Cyber Essentials Plus.
Để biết thêm thông tin, hãy xem Trang Chứng chỉ hệ thống.
Chúng tôi đã triển khai và tiếp tục giám sát một số lượng đáng kể các biện pháp kiểm soát trong NIST SP 800-53 và các hướng dẫn của chúng tôi phù hợp với ISO 27001 và khung tuân thủ SOC 2.
Quyền riêng tư dữ liệu
Đúng. Chúng tôi đã thực hiện các biện pháp kỹ thuật và tổ chức (TOM) dựa trên các nguyên tắc bảo vệ dữ liệu để bảo vệ hệ thống của chúng tôi, đáp ứng các yêu cầu GDPR và bảo vệ quyền của chủ thể dữ liệu.
Để biết chi tiết về TOM của Siemens, xem Phụ lục II của Điều khoản về quyền riêng tư dữ liệu của chúng tôi.
Các thủ tục giải quyết các quyền của chủ thể dữ liệu được tìm thấy trong Điều khoản bảo mật dữ liệu của chúng tôi, Mục 10, trong đó mô tả cách xử lý quyền của chủ thể dữ liệu tuân thủ GDPR. Nói chung, Siemens sẽ thông báo cho khách hàng mà không chậm trễ quá mức nếu Siemens nhận được yêu cầu từ chủ thể dữ liệu để thực hiện các quyền của chủ thể dữ liệu của mình (chẳng hạn như quyền truy cập, chỉnh sửa, xóa hoặc hạn chế xử lý). Sau đó, Siemens sẽ hỗ trợ khách hàng thực hiện các biện pháp kỹ thuật và tổ chức để thực hiện nghĩa vụ đáp ứng các yêu cầu đó và tuân thủ luật bảo vệ dữ liệu hiện hành.
Thực hành phát triển
Tổ chức của bạn có cách tiếp cận “Bảo vệ dữ liệu theo thiết kế/mặc định” có cấu trúc khi triển khai các công nghệ mới không? Làm thế nào để bạn biến bảo vệ dữ liệu trở thành một thành phần thiết yếu của chức năng cốt lõi của các hệ thống và dịch vụ xử lý của bạn?
Vâng. Đối với Siemens, Privacy by Design có nghĩa là tính hợp pháp, tính minh bạch, quyền tự quyết thông tin, kinh tế dữ liệu và bảo mật dữ liệu đã được tính đến khi phát triển các sản phẩm và dịch vụ của chúng tôi. Do đó, các khái niệm về quyền riêng tư theo thiết kế được tích hợp vào quy trình phát triển sản phẩm của chúng tôi nếu có.
Vâng. Chúng tôi đã thiết lập các hướng dẫn và yêu cầu cho việc phát triển phần mềm và kho lưu trữ mã nguồn, bao gồm các hướng dẫn về bảo mật trong suốt vòng đời phát triển phần mềm và dịch vụ. Các hướng dẫn này bao gồm các chủ đề như duy trì mã nguồn trong kho lưu trữ đã được phê duyệt (bao gồm ghi nhật ký và giám sát), đào tạo phát triển an toàn cho các kỹ sư phần mềm và nhà phân tích lập trình viên và các yêu cầu về môi trường phát triển, thử nghiệm và hoạt động an toàn.
Thực hành mã hóa của chúng tôi được thông báo trực tiếp bởi Open Worldwide Application Security Project (OWASP) tiêu chuẩn. Một sự kết hợp của kiểm tra bảo mật (như thâm nhập, phân tích tĩnh và/hoặc phân tích động) được thực hiện để xác định các rủi ro bảo mật ứng dụng web “Top 10” của OWASP và các vấn đề liên quan. Bất kỳ vấn đề quan trọng nào được tìm thấy sẽ được giải quyết càng sớm càng tốt, trong khi các vấn đề nhỏ hơn thường được giải quyết trong các bản phát hành trong tương lai.
Bảo vệ dữ liệu
Vâng. Cả dữ liệu đám mây trong quá trình vận chuyển và dữ liệu ở trạng thái nghỉ (bao gồm cả các bản sao lưu) đều được mã hóa.
Vâng. Nhân viên của chúng tôi được yêu cầu phải trải qua khóa đào tạo nhận thức bảo mật hàng năm. Các chủ đề được đề cập trong khóa đào tạo đó bao gồm sử dụng an toàn các chương trình và công cụ, phương pháp lừa đảo, bảo mật mật khẩu và xác thực đa yếu tố, phân loại thông tin, bảo mật văn phòng di động/văn phòng tại nhà, giao tiếp an toàn và hơn thế nữa.
Đúng. Việc không tiết lộ được đề cập trong Chỉ thị Công ty Siemens, mà mọi nhân viên đều đồng ý tuân thủ trong các thỏa thuận lao động. Các thỏa thuận của chúng tôi với các đối tác và nhà cung cấp của chúng tôi cũng bao gồm các nghĩa vụ bảo mật và thực hiện Rules for Business Partners của Siemens, trong đó xác định việc xử lý thông tin bí mật đúng cách.
Tính liên tục kinh doanh & phục hồi thảm họa
Vâng. SLA thời gian hoạt động của chúng tôi khác nhau, tùy thuộc vào cấp độ dịch vụ áp dụng cho dịch vụ đám mây tương ứng.
Tiêu chuẩn = 98%
Nâng cao = 99,5%
Tối đa = 99,95%
(Tính khả dụng nâng cao và tối đa có thể không khả dụng cho mọi dịch vụ đám mây)
Để biết chi tiết, hãy xem Khung cấp dịch vụ và hỗ trợ đám mây (Cloud SLA).
Vâng, thông qua cấp độ dịch vụ hỗ trợ Vàng của chúng tôi.
Xem của chúng tôi Khung cấp dịch vụ và hỗ trợ đám mây (Cloud SLA) để biết chi tiết.
Vâng. Trừ khi có quy định khác trong Trung tâm hỗ trợ, Dịch vụ đám mây có Thời gian bảo trì thường xuyên hàng tuần cho mỗi khu vực được phục vụ như sau:
- Châu Mỹ: Thứ Bảy 1:00 sáng đến Thứ Hai 3:00 AM Miền Đông Hoa Kỳ (GMT -4)
- Châu Âu, Trung Đông và Châu Phi: Thứ Bảy 1:00 sáng đến Thứ Hai 3:00 sáng Giờ Trung Âu (GMT +2)
- Châu Á Thái Bình Dương: Thứ Bảy 1:00 sáng đến Thứ Hai 3:00 AM Giờ Tiêu Chuẩn Nhật Bản (GMT +9)
Khách hàng có thể đăng ký để được thông báo tự động về thời gian ngừng hoạt động theo lịch trình trong Trung tâm hỗ trợ của chúng tôi.
Có, chúng tôi sao lưu dữ liệu khách hàng được lưu trữ thông qua các dịch vụ đám mây của chúng tôi. Tất cả các dịch vụ đám mây được cung cấp theo cấp dịch vụ tiêu chuẩn của chúng tôi, thực hiện sao lưu hàng ngày được duy trì trong hai tuần và sao lưu hàng tháng được duy trì trong ba tháng. Theo các quy trình truy cập và mã hóa tương tự như dữ liệu gốc, tất cả dữ liệu đối tượng được sao lưu vào một tài khoản hệ thống phụ hoặc trung tâm dữ liệu trong cùng một khu vực địa lý với dữ liệu gốc.
Để biết thêm thông tin về lưu giữ dữ liệu và các tùy chọn cấp độ nâng cao và tối đa của Siemens (tính khả dụng khác nhau tùy theo sản phẩm), hãy xem Phần 3.1 trong Khung cấp dịch vụ và hỗ trợ đám mây (“Cloud SLA”).
Vâng. Chúng tôi thực hiện các yêu cầu về quy trình quản lý an toàn thông tin, tiêu chí và quyền sở hữu để duy trì hoạt động kinh doanh trong các tình huống bất lợi.
Các thủ tục khôi phục dữ liệu từ các bản sao lưu được kiểm tra ít nhất hàng năm và được xem xét như một phần của quy trình kiểm toán nội bộ và bên ngoài.