网络安全治理

对于公司和社会而言，网络安全是影响未来的最重要问题之一。这是组织保护关键基础架构、保护敏感信息和确保业务连续性的关键先决条件。作为西门子的战略目标之一，只有我们可以依靠数据安全和互联系统，数字化转型才能取得成功。网络安全对客户产生巨大影响，是许多国际和国家法律法规所要求的。这使得网络安全成为 Siemens 的重中之重。

Siemens Industry Software Inc. 及其附属公司 (SISW) 的网络安全组织努力保护存放在 SISW 产品、解决方案和服务中或由其处理的客户信息。我们通过确保此类产品、解决方案和服务符合普遍接受的产品和解决方案安全工程实践（包括威胁检测操作和减少攻击面等网络防御最佳实践）来实现这一目标。

SISW已经建立了符合西门子网络安全政策框架愿景的信息安全管理系统（ISMS），并规定了政策、控制和责任分配，使SISW能够满足客户对网络安全的期望并满足上述认证和认证的要求。

ISMS的核心是SISW信息安全计划手册，该手册为SISW的产品和相关活动提供了信息安全计划的管理方法。该手册描述了SISW建立和维护信息安全治理计划的方法，该计划规定了信息资源的机密性、完整性、可用性和隐私性。

ISMS还在SISW信息安全委员会（ISC）的管理下制定了一套政策，以确保对信息安全计划、计划目标和计划执行的承诺。

SISW 的产品、解决方案和服务包含重要的软件和 IT 相关组件，这些组件可能会受到快速发展的监管安全要求的约束。

西门子全系统的 PSS 计划旨在帮助确保我们销售的产品、解决方案和服务使客户能够在安全的环境中运行流程。SISW 为每个产品线指派一名产品和解决方案安全官员 (PSSO)，以确保该计划在整个开发周期中得到实施和监控。

为此，西门子内部制定了 PSS 的约束性要求和实施建议。持续改进和学习是成功实现PSS的基本前提条件。

在员工中建立共同意识对于确保遵守网络安全举措和保持高水平的安全保障至关重要。这意味着建立风险意识文化，为整个组织的个人提供持续的培训和教育机会。

Siemens SISW 为员工提供多种学习和发展活动和途径，包括：

• A 强制性的全球宣传活动 为员工提供有关网络安全主题的信息。这些培训课程是基于网络的、无障碍的和多语言的。此外，我们还为特定角色群体提供了 “驾驶执照” 培训。这种强制性培训使该小组能够运用 Siemens 安全准则。

• 其他 SISW-针对 PSSO 的强制性安全培训和针对开发人员的云安全特定培训 提供参与内容创作。

• Siemens 提供大量定期更新的产品 培训课程和学习机会 在自愿基础上为员工提供。这些培训模块的范围从基础知识到特定和专业领域，例如PSS。

SISW 维护经过 ISO 9001 认证的质量管理体系 (QMS)，旨在将安全控制措施嵌入到 SISW 产品的安全开发生命周期 (SDLC) 中，并整合第三方供应商以控制交付品的质量。QMS 在主要检查站执行关卡，以验证安全控制和质量 KPI 是否已正确执行。

质量愿景

需要在整个供应链中管理网络安全风险。Siemens 在采购横向和纵向组件、产品和服务时，会全面考虑这一主题，包括 IT、OT 和 PSS。

提高供应链网络安全水平的主要活动包括：

• 供应链中网络安全风险敞口的透明度；

• 由第三方供应商评估方法以及供应商合同网络安全要求的相应工具和模板支持的系统风险管理实践；

• 积极参与各种专家社区；以及

• 定期针对各种目标群体和用例进行培训和宣传活动。