K zobrazení této stránky v češtině byl použit automatický překlad. Chcete ji raději zobrazit v angličtině?
Byl tento překlad užitečný?
  1. Home
  2. Trust Center
  3. Správa kybernetické bezpečnosti

Řízení kybernetické bezpečnosti

Společnost Siemens Industry Software Inc. a její přidružené společnosti (SISW) dodržují účinný rámec, pokyny a pokyny pro zmírňování rizik.

Kybernetická bezpečnost je jedním z nejdůležitějších témat, která mají dopad na budoucnost – pro firmy i společnost. Je to klíčový předpoklad pro to, aby organizace zabezpečily kritickou infrastrukturu, chránily citlivé informace a zajistily kontinuitu podnikání. Jedním ze strategických cílů společnosti Siemens je, že digitální transformace bude úspěšná pouze tehdy, pokud se budeme moci spolehnout na bezpečnost dat a propojené systémy. Kybernetická bezpečnost má obrovský dopad na naše zákazníky a je vyžadována mnoha mezinárodními a národními zákony a předpisy. Díky tomu je kybernetická bezpečnost pro společnost Siemens nejvyšší prioritou.

Společnost Siemens Industry Software Inc. a její přidružené společnosti (SISW) se snaží chránit informace našich zákazníků, které se nacházejí v produktech, řešeních a službách SISW nebo jsou jimi zpracovávány. Dosahujeme toho tím, že zajišťujeme, aby tyto produkty, řešení a služby splňovaly obecně uznávané technické postupy pro zabezpečení produktů a řešení, včetně osvědčených postupů kybernetické obrany, jako jsou operace detekce hrozeb a omezení potenciální oblasti útoku.

Stěžejní oblasti zájmu pro SISW

Řízení kybernetické bezpečnosti

Odpovědnosti na vysoké úrovni

Vzhledem k důležitosti kybernetické bezpečnosti je ředitel pro bezpečnost informací (CISO) SISW přímo podřízen generálnímu řediteli SISW a prostřednictvím globálního ředitele pro kybernetickou bezpečnost společnosti Siemens.

Organizace pro kybernetickou bezpečnost společnosti Siemens a organizace SISW pro kybernetickou bezpečnost úzce spolupracují jako důvěryhodní partneři ve prospěch našich zákazníků a dalších podniků společnosti Siemens. Bezpečnostní experti v celé společnosti Siemens vyvíjejí a zavádějí technologie, využívají interní síť a konzultují s partnerskými společnostmi, aby pravidelně zlepšovali odolnost společnosti Siemens prostřednictvím jasné a holistické odpovědnosti. Spoléháme se na kulturu vlastnictví ve všech aspektech kybernetické bezpečnosti. To vše dává společnosti Siemens široký základ pro ochranu sebe, svých zákazníků a společnosti jako celku.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certifikace, atesty, štítky a zprávy

Jedná se o certifikace, atesty, štítky a zprávy držené společností DI SW.

Certifikace ISO 27001/17/18

Certifikace ISO 27001/17/18

ISO 27001 je mezinárodní norma, která popisuje osvědčené postupy pro systém řízení bezpečnosti informací (ISMS).

Získání certifikace a akreditace ISO 27001 prokazuje, že naše organizace dodržuje osvědčené postupy v oblasti bezpečnosti informací (IS). Poskytuje také nezávislé odborné ověření, že IS je řízen v souladu s mezinárodní praxí a obchodními cíli.

Závazek SISW k bezpečnosti informací dokládají níže uvedené certifikáty ISO 27001 a dodatky 27017 a 27018.

ISO 27001

ISO 27017

ISO 27018

Cloud Security Alliance (CSA)

Siemens podporuje CSA, přední světovou organizaci, která se věnuje osvědčeným postupům pro bezpečný cloud computing. Společnost Siemens byla společností CSA označena jako "důvěryhodný poskytovatel cloudu" a nabídky SISW dosáhly úrovně CSA Security, Trust, Assurance, and Risk (STAR) Level One, což potvrzuje náš soulad s bezpečnostními postupy CSA.

Podrobná hodnocení SISW jsou sdílena níže.

Cloud Security Alliance

SISW XaaS Registr CSA

SISW MindSphere CSA Registry

Cyber Essentials Plus (CE Plus)

Cyber Essentials Plus (CE Plus) je třetí stranou ověřené implementace Cyber Essentials, což je systém podporovaný vládou Spojeného království, který pomáhá chránit organizaci před řadou nejběžnějších kybernetických útoků.

CE Plus

Siemens Certifikace CE Plus

SOC 2®

SOC 2® je posouzení kontroly organizace služeb, které se týká bezpečnosti, dostupnosti, integrity zpracování, důvěrnosti nebo ochrany osobních údajů.

Zprávy SOC 2® společnosti SISW jsou certifikované atesty, jejichž cílem je poskytovat našim zákazníkům podrobné informace a ujištění. Tyto informace se týkají kontrolních mechanismů v rámci SISW souvisejících se zabezpečením, dostupností a integritou zpracování všech systémů, které se podílejí na poskytování služeb a zpracování údajů o zákaznících. Potvrzuje také důvěrnost a soukromí informací zpracovávaných systémy SISW. Zprávy

SOC 2® si můžete vyžádat prostřednictvím svého obchodního kontaktu SISW a budou zpřístupněny po uzavření řádné dohody o mlčenlivosti/mlčenlivosti.

SOC 3®

Zpráva SOC 3® Trust Services Report for Services Organizations poskytuje kritéria pro vykazování obecného použití.

Tyto zprávy mohou být volně distribuovány a byly navrženy tak, aby zaplnily mezeru ve znalostech uživatelů, kteří vyžadují jistotu o bezpečnosti, dostupnosti a ochraně osobních údajů, ale nemohou efektivně aplikovat informace obsažené ve zprávě SOC 2®. Zprávy SOC 3® jsou také dostačující pro uživatele a případy použití, kdy nejsou vyžadovány podrobné informace o zprávě SOC 2®.

Zpráva SISW SOC 3® Důvěryhodné služby pro organizace poskytující služby

Důvěryhodná burza pro hodnocení bezpečnosti informací (TISAX)

TISAX je hodnocení bezpečnosti informací pro mechanismy výměny dat mezi společnostmi v automobilovém průmyslu.

Certifikát TISAX potvrzuje, že schválená třetí strana posoudila systém řízení bezpečnosti informací společnosti jako vyhovující definovaným bezpečnostním cílům. Ve snaze usnadnit práci našim zákazníkům v automobilovém průmyslu společnost SISW usilovala o štítky TISAX pro určité systémy a zařízení nezbytná pro takovou výměnu dat.

TISAX

Další pokyny, jak získat přístup k příslušným certifikacím SISW TISAX, jsou k dispozici zde.

Rámec politiky kybernetické bezpečnosti

Společnost SISW zavedla systém řízení bezpečnosti informací (ISMS), který zapadá do vize rámce zásad kybernetické bezpečnosti společnosti Siemens a předepisuje zásady, kontroly a přidělování odpovědností, které společnosti SISW umožňují plnit očekávání zákazníků v oblasti kybernetické bezpečnosti a splňovat požadavky výše uvedených certifikací a atestací.

Jádrem ISMS je Programový manuál SISW pro bezpečnost informací, který poskytuje náš přístup k programu informační bezpečnosti SISW pro nabídky a související činnosti. Příručka popisuje přístup SISW k vytvoření a udržování programu správy bezpečnosti informací, který zajišťuje důvěrnost, integritu, dostupnost a soukromí informačních zdrojů.

ISMS také zavádí soubor zásad pod vedením Rady pro bezpečnost informací (ISC) SISW, aby zajistil závazek k programu bezpečnosti informací, cílům programu a prosazování programu.

Zabezpečení produktů a řešení (PSS)

Produkty, řešení a služby společnosti SISW obsahují významné softwarové a IT komponenty, které mohou podléhat rychle se vyvíjejícím regulačním bezpečnostním požadavkům.

Celosvětová iniciativa PSS byla založena s cílem zajistit, aby produkty, řešení a služby, které prodáváme, umožňovaly našim zákazníkům provozovat jejich procesy v bezpečném prostředí. SISW přiděluje každé produktové řadě pracovníka pro bezpečnost produktů a řešení (PSSO), aby dohlížel na to, aby byla tato iniciativa implementována a monitorována v průběhu celého vývojového cyklu.

Za tímto účelem jsou v rámci společnosti Siemens zavedeny závazné požadavky na PSS a doporučení pro implementaci. Neustálé zlepšování a učení se jsou základními předpoklady pro úspěšnou realizaci PSS.

Povědomí o kybernetické bezpečnosti

Vytváření společného povědomí mezi zaměstnanci je zásadní pro zajištění dodržování iniciativ v oblasti kybernetické bezpečnosti a udržení vysoké úrovně zabezpečení a bezpečnosti. To znamená vytvořit kulturu uvědomělou si rizika a poskytovat jednotlivcům v celé organizaci příležitosti k průběžnému školení a vzdělávání.

Siemens SISW nabízí zaměstnancům několik aktivit a způsobů vzdělávání a rozvoje, včetně:

Povinná globální osvětová kampaň, která zaměstnancům poskytne informace o tématech kybernetické bezpečnosti. Tato školení jsou webová, bezbariérová a vícejazyčná. Kromě toho máme školení "Řidičský průkaz" pro skupiny specifické pro role. Toto povinné školení umožňuje skupině uplatňovat bezpečnostní směrnice společnosti Siemens.

• K dispozici jsou další povinná bezpečnostní školení SISW pro PSSO a školení specifická pro cloudovou bezpečnost pro vývojáře , kteří se podílejí na vytváření obsahu.

• Společnost Siemens nabízí řadu pravidelně aktualizovaných školení a vzdělávacích příležitostí pro zaměstnance na dobrovolné bázi. Tyto školicí moduly sahají od základních znalostí až po specifické a specializované oblasti, jako je PSS.

Monitorování stavu kybernetické bezpečnosti

Společnost SISW implementovala platformu, která poskytuje přehled o stavu naší kybernetické bezpečnosti, včetně přehledů o potenciálních zranitelnostech, hrozbách a bezpečnostních protokolech.

Monitorování příslušných prostředí a protokolů umožňuje:

• Oznamování událostí souvisejících s bezpečností;

• Centralizovaný přehled informací o účtech (zdroje a aktiva);

• Ověření určených stavů, výstrah a postupů zabezpečení cloudu; a

• Provádění informovaných a cílených obchodních rozhodnutí založených na bezpečnosti.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Základ certifikovaného procesu

Společnost SISW udržuje systém řízení kvality (QMS) s certifikací ISO 9001, který je navržen tak, aby začlenil bezpečnostní kontroly do životního cyklu bezpečného vývoje (SDLC) produktů SISW a integraci dodavatelů třetích stran za účelem kontroly kvality výstupů. QMS provádí brány v hlavních kontrolních bodech, aby ověřil, že bezpečnostní kontroly a klíčové ukazatele výkonnosti kvality byly správně provedeny.

Kvalitní vidění

Řízení rizik kybernetické bezpečnosti

Procesy řízení rizik kybernetické bezpečnosti jsou součástí strategie řízení podnikových rizik (ERM) společnosti Siemens. Primárním cílem ERM je umožnit společnosti Siemens identifikovat a minimalizovat potenciální bezpečnostní rizika na základě mezinárodních standardů.

Proces řízení kybernetických bezpečnostních rizik společnosti Siemens se zaměřuje na hlášení a řízení rizik v následujících oblastech:

• Klasifikace a ochrana aktiv pro IT, dokumenty a informace;

• Analýza hrozeb a rizik pro produkty, řešení a služby;

• Vyřizování výjimek pro dočasné odchylky od požadavků; a

• Řízení rizik dodavatelů v oblasti kybernetické bezpečnosti, jak je popsáno níže.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Kybernetická bezpečnost řízení rizik dodavatelů

Rizika kybernetické bezpečnosti je třeba řídit v celém dodavatelském řetězci. Společnost Siemens uvažuje o tomto tématu holisticky, včetně IT, OT a PSS, pro nákup horizontálních a vertikálních komponent, produktů a služeb.

Mezi hlavní činnosti pro zlepšení úrovně kybernetické bezpečnosti v celém dodavatelském řetězci patří:

• Transparentnost, pokud jde o vystavení riziku kybernetické bezpečnosti v rámci dodavatelského řetězce;

• Systematické postupy řízení rizik podpořené metodikou hodnocení dodavatelů třetí stranou a příslušnými nástroji a šablonami pro smluvní požadavky na kybernetickou bezpečnost vůči dodavatelům;

• Aktivní účast v různých odborných komunitách a

• Pravidelná školení a osvětové kampaně pro různé cílové skupiny a případy použití.