网络安全治理

ISO 27001 是描述信息安全管理系统 (ISMS) 最佳实践的国际标准。

获得 ISO 27001 的认可认证表明我们的组织正在遵循信息安全最佳实践，并提供独立专家验证，确保信息安全管理符合国际最佳实践和业务目标。

自 2017 年 11 月起，Siemens Cybersity Governance 已通过 ISO 27001

自 2023 年 11 月起，我们已根据新标准 ISO 27001:2022 获得认证。

• 下载证书
• 了解有关系统证书的更多信息

我们热衷于通过强大的架构来保护 Siemens，实现具有弹性、数据驱动的网络安全。

为了实现这一目标，我们正在项目中实施网络安全战略，并使用新创建的企业架构服务将我们的战略目标映射到目标架构中，以指导所有的网络安全实施工作。

该项目的主要目标是：通过自动化和效率措施简化资源利用，提高整个Siemens网络安全风险的可见性和透明度，并利用数据驱动的决策来加强被动和主动的风险缓解能力。

我们的项目设置分为五个工作流：

• 概念和流程：

  我们的目标是描述和维护 Siemens Cybersity 内部的架构流程，确保其与我们的战略和产品组合相结合。并描述我们数据驱动的网络安全架构的组成部分，包括功能、应用程序、输入、输出和依赖关系。

• Governance：

  我们的目标是定义如何组合网络安全数据，以实现自动网络安全风险识别和评估，增强缓解风险的决策能力，并提高政策合规性。

• 态势感知：

  我们的目标是站在最前沿，成为EA项目的代言人，收集用户期望，提供全面的风险态势，以增强最终用户的日常运营。

• Security 情报：

  我们的目标是实现人工智能支持和数据驱动的决策点，通过赋予决策权力，自动识别和缓解西门子网络安全风险。

• 数据：

  Workstream Data通过建立数据的透明度、防止数据重复以及为团队的数据策略提供指导，帮助网络安全采用数据驱动的方法。

网络安全政策框架适用于西门子及其关联公司。特别是，它包含特定政策、标准和基准中规定的网络安全要求。

所有政策均基于相关的行业标准，例如ISO 2700x或IEC 62443。为确保符合其他重要标准，还对这些标准的引用进行了管理。相关标准清单包括例如NIST 800-53、EBA的ICT和安全风险管理指南等。

Siemens 的产品、解决方案和服务包含大量的软件和 IT 相关组件，在许多情况下，这些组件用于关键基础架构，可能更容易受到网络威胁。监管和客户特定的安全要求不断增加，需要由 Siemens 满足。

为了保持竞争力和可靠性，制定了西门子全系统PSS Initiative，旨在帮助确保我们销售的产品、解决方案和服务使客户能够在安全的环境中运行其设施。

为此，制定了PSS的约束性要求和实施建议。持续改进和持续学习是成功实现的基本先决条件。

在所有员工中建立对网络安全基本方面的共同认识和理解，并为与网络安全相关的角色提供专门的特定培训，这一点至关重要。为了满足客户对Siemens在技术和安全方面提供的最先进产品、解决方案和服务的期望，并通过不断提高公司的网络安全意识，使员工能够在整个价值链的每项活动、步骤和过程中考虑到网络安全，确保能够提供这样的质量，我们开展了多项活动。例如：

• 一项强制性的全球宣传活动，旨在为所有员工提供有关一般和重要的网络安全主题的信息。这些培训课程是基于网络的、无障碍的和多语言的。此外，对于特定职位的群体，我们还提供 “驾驶执照” 培训。该培训是强制性的，使特定角色小组能够应用所有 Siemens IT/OT 安全准则。成功完成学业后，参与者将获得有效期两年的证书。
• 我们还为所有 Siemens 员工提供多种持续更新的培训课程和学习机会。这些都可以在自愿的基础上获取。该培训不仅针对基础知识，还针对特定和专业领域，例如产品和解决方案安全（Solution Security）。
• 我们相信持续学习是成功的关键，因此我们不断寻求新的方法来培训和更新员工。

始终保持概览：为了帮助实现这一目标，我们提供了一个名为 “CyberMart” 的内部网络安全平台，该平台可以全面了解西门子的网络安全数据和流程。

它通过提供以下内容来实现明智和有针对性的业务决策

• 安全应用程序处理网络安全相关信息的平台，
• 用于存储网络安全相关数据的安全数据池以及
• 安全流程（例如资产保护、异常处理）的成熟度和状态报告。

该平台的一部分是网络安全仪表板，它提供了 网络安全运行状态和战略数据点概述。这些信息是定期向西门子管理委员会和西门子监事会进行内部管理报告的依据。

网络安全风险管理是西门子企业风险管理（ERM）的一部分，其主要目标是使西门子能够提高网络安全风险的透明度，并将这些风险充分管理到可接受的水平。
西门子网络安全风险管理框架以国际标准（ISO/IEC 27005 和 ISF IRAM2）为基础，考虑了从运营到企业的各个层面，还使用既定的 ERM 流程和角色。
报告和管理的网络安全风险最高可达ERM级别，在以下流程中进行识别，并在相应的工具中进行管理：

• 总体网络安全风险管理流程
• IT、文档和信息资产的资产分类和保护流程
• 产品、解决方案和服务的威胁和风险分析
• 暂时偏离西门子网络安全框架的异常处理流程
• 网络安全供应商风险管理

网络安全供应商风险管理：

需要在整个供应链中管理网络安全风险。Siemens对该主题进行了全面考虑，包括用于采购横向和纵向组件、产品和服务的IT、OT和PSS。因此，提高供应链网络安全水平的主要活动包括：

• 供应链中网络安全风险敞口的透明度
• 系统风险管理实践由第三方供应商评估方法、相应工具和模板支持，以满足供应商的合同网络安全要求
• 积极参与《信任宪章》，推动第二项原则：“整个数字供应链中的责任” 以及各种专家社区
• 针对各种目标群体和用例的定期培训和宣传活动

什么是 Information Security 事件？

信息安全事件的定义是：根据信息的分类（基于 ISO27001 和 NIST 800-61 rev2），信息的机密性、完整性和/或可用性受到直接或间接损害。事件示例包括但不限于：

1. 成功尝试未经授权访问系统或其数据
2. 中断或拒绝服务
3. 未经授权使用系统处理或存储数据
4. 在所有者不知情、指示或同意的情况下更改系统硬件、固件或软件特征

事故响应

我们对网络安全事件进行深入分析。为实现这一目标，我们与企业负责人、内部和外部事件报告者和利益相关者合作，协调应对活动，确保适当控制和启动补救任务。此外，我们还提供事件项目经理，为严重和复杂事件的组织和沟通方面提供支持。

事故处理流程

• 检测

  损害信息的机密性、完整性和/或可用性。

• 回应

  分析攻击并启动对策。

• 修复

  包含：限制恶意活动，缓解：防止进一步损害，修复：修复并防止再次发生

• 恢复

  将受影响系统的完整性恢复到未降级的运行状态。

安全威胁迫使该行业采取行动。

可以操纵整个价值链的网络罪犯的攻击通常不仅会导致生产中断，还会严重损害您的形象。为了以最佳方式保护您的运营技术（OT），需要提高资产风险敞口的透明度。这允许在网络安全威胁造成重大损害之前识别和消除它们。我们为您的制造过程提供更多的网络安全。我们的整体方法旨在在程序安全漏洞和技术漏洞被不良行为者利用之前识别出来。

更多信息

人工智能在西门子的网络安全工作中起着至关重要的作用。它通过检测我们网络和系统内的异常情况来动态识别和抵御安全威胁。这种针对安全漏洞的即时行动有助于减少潜在的危害。

此外，人工智能通过自动化平凡任务来提高我们网络安全程序的有效性。这种自动化使我们的安全团队能够专注于更复杂和更紧迫的问题。此外，AI 还根据用户行为分析制定了定制的安全协议，从而为 Siemens 内部的每个部门制定了精确的安全策略。

尽管有优势，但值得注意的是，人工智能也可以成为网络攻击者的工具，从而增加了他们恶意行为的复杂性。这些攻击者可能利用人工智能来自动进行攻击，逃避传统的安全系统，甚至模拟人类行为以逃避检测。

尽管如此，Siemens已经为这种复杂的情况做好了充分的准备。我们已经建立了严格的安全协议，以确保安全和负责任地应用人工智能。我们的前瞻性方法有助于维护我们系统的完整性并保护我们免受潜在风险的侵害，从而使我们能够在网络安全运营中利用人工智能的优势。

西门子从人工智能中获得的好处决定性地大于风险。通过细致的实施和持续的监控，我们将这些风险降至最低，并扩大人工智能的好处。因此，人工智能成为一种宝贵的工具，它极大地增强了我们抵御安全威胁的能力。