網路安全管治

網絡安全是對公司和社會影響未來最重要的問題之一。這是組織保護關鍵基礎架構、保護敏感資訊並確保業務連續性的關鍵條件。作為西門子的策略目標之一，只有在我們可以依靠數據安全和連接系統的情況下，數位轉型才能成功。網絡安全對我們的客戶產生巨大的影響，並且是許多國際和國家法律和法規的要求。這使網路安全成為西門子的首要任務。

西門子工業軟件有限公司及其附屬公司 (SISW) 的網路安全組織致力保護我們客戶存在或由 SISW 產品、解決方案和服務處理的資訊。我們通過確保此類產品、解決方案和服務符合產品和解決方案安全的一般公認工程實踐，包括網路防禦最佳做法，例如威脅偵測作業和減少攻擊表面。

SISW 已建立了一個符合西門子網路安全政策框架的願景的資訊安全管理系統 (ISMS)，並規定了政策、控制和責任分配，使 SISW 能夠滿足客戶對網路安全的期望，並滿足上述認證和證明的要求。

ISMS 的核心是 SISW 資訊安全程序手冊，其中提供了我們對 SISW 的資訊安全計劃管理方法，以供應和相關活動。該手冊描述了 SISW 建立和維護資訊安全治理計劃的方法，該計劃提供資訊資源的機密性、完整性、可用性和隱私。

ISMS 還在 SISW 資訊安全理事會 (ISC) 的管治下制定一套政策，以確保對資訊安全計劃、計劃目標和計劃執行的承諾。

SISW 的產品、解決方案和服務包含重要的軟體和 IT 相關元件，這些元件可能受到快速發展的監管安全性要求。

西門子全面的 PSS 計劃成立，旨在確保我們銷售的產品、解決方案和服務使我們的客戶能夠在安全的環境中執行其流程。SISW 為每個產品線指派一名產品和解決方案安全主任 (PSSO)，以確保在整個開發週期中實施和監控此計劃。

為此目的，西門子在西門子制定了 PSS 的約束性要求和實施建議。持續改進和學習是成功實現 PSS 的基本先決條件。

為確保遵守網絡安全措施並維持高等級的安全性和安全性，為員工建立共同意識至關重要。這意味著建立風險意識的文化，並為整個組織的個人提供持續的培訓和教育機會。

西門子 SISW 為員工提供多種學習和發展的活動和途徑，包括：

• 一 強制性全球意識活動 為員工提供有關網絡安全主題的信息。這些培訓課程是基於 Web 的、無障礙和多語言的。此外，我們還為角色特定團體提供「駕駛執照」培訓。這項強制性培訓使集團能夠應用西門子安全指導方針。

• 額外 SISW-PSSO 的強制性安全培訓和針對開發人員的雲安全特定培訓 提供參與創建內容。

• 西門子提供眾多，定期更新 培訓課程和學習機會 為員工自願性提供。這些培訓單元包括基本知識到 PSS 等特定和專業領域。

SISW 維持 ISO 9001 認證的品質管理系統 (QMS)，旨在將安全控制嵌入 SISW 產品的安全開發生命週期 (SDLC) 中，以及第三方供應商的整合，以控制交付項目的質量。QMS 會在主要檢查點執行閘道，以驗證安全控制和品質 KPI 是否已正確執行。

品質願景

網絡安全風險需要在整個供應鏈中管理。西門子全面考慮這個主題，包括 IT、OT 和 PSS，用於採購水平和垂直元件、產品和服務。

提高整個供應鏈的網絡安全水平的主要活動包括：

• 對供應鏈整個網路安全風險暴露的透明度；

• 由第三方供應商評估方法以及針對供應商合約網絡安全要求的各自工具和模板支持的系統風險管理做法；

• 積極參與各種專家社群；及

• 定期針對不同目標群體和使用案例的培訓和認知活動。