Ta strona jest wyświetlana w języku polskim przy użyciu automatycznego translatora. Czy chcesz wyświetlić ją w języku angielskim?
Czy tłumaczenie było pomocne?
  1. Home
  2. Trust Center
  3. Zarządzanie cyberbezpieczeństwem

Zarządzanie cyberbezpieczeństwem

Siemens Industry Software Inc. i jej spółki stowarzyszone (SISW) przestrzegają skutecznych ram zarządzania, wytycznych i wytycznych ograniczających ryzyko.

Cyberbezpieczeństwo jest jedną z najważniejszych kwestii wpływających na przyszłość – zarówno dla firm, jak i społeczeństwa. Jest to kluczowy warunek wstępny dla organizacji, aby chronić infrastrukturę krytyczną, chronić poufne informacje i zapewniać ciągłość biznesową. Transformacja cyfrowa, będąca jednym ze strategicznych celów firmy Siemens, zakończy się sukcesem tylko wtedy, gdy będziemy mogli polegać na bezpieczeństwie danych i połączonych systemach. Cyberbezpieczeństwo ma ogromny wpływ na naszych klientów i jest wymagane przez wiele międzynarodowych i krajowych przepisów i regulacji. To sprawia, że cyberbezpieczeństwo jest najwyższym priorytetem dla firmy Siemens.

Siemens Industry Software Inc. i jej spółki stowarzyszone (SISW) dokładają wszelkich starań, aby chronić informacje naszych klientów, które znajdują się w produktach, rozwiązaniach i usługach SISW lub są przez nie przetwarzane. Osiągamy to, zapewniając, że takie produkty, rozwiązania i usługi spełniają ogólnie przyjęte praktyki inżynieryjne w zakresie bezpieczeństwa produktów i rozwiązań, w tym najlepsze praktyki w zakresie cyberobrony, takie jak operacje wykrywania zagrożeń i zmniejszanie powierzchni ataku.

Kluczowe obszary zainteresowania SISW

Zarządzanie cyberbezpieczeństwem

Obowiązki wysokiego szczebla

Biorąc pod uwagę znaczenie cyberbezpieczeństwa, dyrektor ds. bezpieczeństwa informacji (CISO) SISW podlega bezpośrednio dyrektorowi generalnemu SISW oraz za pośrednictwem globalnego dyrektora ds. cyberbezpieczeństwa firmy Siemens.

Dział Corporate Cybersecurity firmy Siemens oraz dział Cyberbezpieczeństwa SISW ściśle współpracują ze sobą jako zaufani partnerzy z korzyścią dla naszych klientów i innych firm firmy Siemens. Eksperci ds. bezpieczeństwa w całej firmie Siemens opracowują i wdrażają technologie, wykorzystują sieć wewnętrzną i konsultują się z innymi firmami, aby rutynowo poprawiać odporność firmy Siemens poprzez jasną, holistyczną odpowiedzialność. Opieramy się na kulturze odpowiedzialności we wszystkich aspektach cyberbezpieczeństwa. Wszystko to daje firmie Siemens szerokie podstawy do ochrony siebie, swoich klientów i całego społeczeństwa.

trust-center-cybersecurity-governance-is890155348-mhero-1280x720

Certyfikaty, atesty, etykiety i raporty

Są to certyfikaty, atesty, etykiety i raporty posiadane przez DI SW.

Certyfikat ISO 27001/17/18

Certyfikat ISO 27001/17/18

ISO 27001 to międzynarodowa norma opisująca najlepsze praktyki w zakresie Systemu Zarządzania Bezpieczeństwem Informacji (ISMS).

Uzyskanie certyfikatu i akredytacji ISO 27001 pokazuje, że nasza organizacja przestrzega najlepszych praktyk w zakresie bezpieczeństwa informacji (IS). Zapewnia również niezależną weryfikację ekspercką, czy gospodarka inwazyjna jest zarządzana zgodnie z międzynarodową praktyką i celami biznesowymi.

O zaangażowaniu SISW w bezpieczeństwo informacji świadczą wymienione poniżej certyfikaty ISO 27001 oraz załączniki 27017 i 27018.

ISO 27001

ISO 27017

ISO 27018

Cloud Security Alliance (CSA)

Siemens wspiera CSA, wiodącą globalną organizację zajmującą się najlepszymi praktykami w zakresie bezpiecznego przetwarzania w chmurze. Firma Siemens została uznana przez CSA za "zaufanego dostawcę usług w chmurze", a oferta SISW uzyskała poziom pierwszy CSA Security, Trust, Assurance, and Risk (STAR), co potwierdza naszą zgodność z praktykami bezpieczeństwa CSA.

Szczegółowe oceny SISW są dostępne poniżej.

Cloud Security Alliance

Rejestr SISW XaaS CSA

Rejestr SISW MindSphere CSA

Cyber Essentials Plus (CE Plus)

Cyber Essentials Plus (CE Plus) to zewnętrzna weryfikacja wdrożenia Cyber Essentials, wspieranego przez rząd Wielkiej Brytanii programu służącego do ochrony organizacji przed szeregiem najczęstszych cyberataków.

Certyfikat CE Plus

Siemens CE Plus

Układ SOC 2®

SOC 2® to ocena kontroli organizacji usługowej dotycząca bezpieczeństwa, dostępności, integralności przetwarzania, poufności lub prywatności.

Raporty SOC 2® SISW są certyfikowanymi atestami mającymi na celu dostarczenie szczegółowych informacji i zapewnienia naszym klientom. Informacje te odnoszą się do kontroli w ramach SISW związanych z bezpieczeństwem, dostępnością i integralnością przetwarzania wszystkich systemów zaangażowanych w świadczenie usług i przetwarzanie danych klientów. Potwierdza również poufność i prywatność informacji przetwarzanych przez systemy SISW.

Raporty SOC 2® można poprosić za pośrednictwem osoby kontaktowej ds. sprzedaży SISW i zostaną one udostępnione po zawarciu odpowiedniej umowy o zachowaniu poufności.

Układ SOC 3®

Raport usług zaufania SOC 3® dla organizacji usługowych zawiera kryteria raportowania ogólnego użycia.

Raporty te mogą być swobodnie rozpowszechniane i zostały zaprojektowane tak, aby wypełnić lukę w wiedzy użytkowników, którzy wymagają pewności co do bezpieczeństwa, dostępności i prywatności, ale nie mogą skutecznie zastosować informacji zawartych w raporcie SOC 2®. Raporty SOC 3® są również wystarczające dla użytkowników i przypadków użycia, w których szczegółowe informacje zawarte w raporcie SOC 2® nie są wymagane.

Raport SISW SOC 3® dotyczący usług zaufania dla organizacji usługowych

Trusted Information Security Assessment Exchange (TISAX) (Trusted Information Security Assessment Exchange, TISAX)

TISAX to ocena bezpieczeństwa informacji dla mechanizmów wymiany danych pomiędzy firmami z branży motoryzacyjnej.

Etykieta TISAX potwierdza, że zatwierdzona strona trzecia oceniła system zarządzania bezpieczeństwem informacji w firmie jako zgodny z określonymi celami bezpieczeństwa. Starając się ułatwić pracę naszym klientom z branży motoryzacyjnej, SISW dąży do uzyskania etykiet TISAX dla niektórych systemów i obiektów niezbędnych do takiej wymiany danych.

TISAX

Dalsze instrukcje dotyczące uzyskiwania dostępu do odpowiednich certyfikatów SISW TISAX są dostępne tutaj.

Ramy polityki bezpieczeństwa cybernetycznego

SISW ustanowiła System Zarządzania Bezpieczeństwem Informacji (ISMS), który wpisuje się w wizję Siemens Cybersecurity Policy Framework i określa zasady, kontrole i przydział obowiązków, które umożliwiają SISW spełnienie oczekiwań klientów w zakresie cyberbezpieczeństwa oraz spełnienie wymagań certyfikatów i atestów wymienionych powyżej.

Podstawą SZBI jest Podręcznik Programu Bezpieczeństwa Informacji SISW, który określa nasze podejście do zarządzania programem bezpieczeństwa informacji SISW w zakresie ofert i powiązanych działań. Podręcznik opisuje podejście SISW do ustanowienia i utrzymywania programu zarządzania bezpieczeństwem informacji, który zapewnia poufność, integralność, dostępność i prywatność zasobów informacyjnych.

SZBI ustanawia również zestaw zasad, pod nadzorem Rady Bezpieczeństwa Informacji SISW (ISC), w celu zapewnienia zaangażowania w program bezpieczeństwa informacji, cele programu i egzekwowanie programu.

Bezpieczeństwo produktów i rozwiązań (PSS)

Produkty, rozwiązania i usługi SISW zawierają istotne oprogramowanie i komponenty związane z IT, które mogą podlegać szybko zmieniającym się wymogom prawnym w zakresie bezpieczeństwa.

Inicjatywa PSS firmy Siemens została ustanowiona, aby zapewnić, że sprzedawane przez nas produkty, rozwiązania i usługi umożliwiają naszym klientom prowadzenie procesów w bezpiecznym środowisku. SISW przydziela specjalistę ds. bezpieczeństwa produktów i rozwiązań (PSSO) do każdej linii produktów, aby dopilnować, aby inicjatywa ta była wdrażana i monitorowana przez cały cykl rozwoju.

W tym celu w firmie Siemens obowiązują wiążące wymagania dotyczące PSS oraz zalecenia dotyczące ich wdrożenia. Ciągłe doskonalenie i uczenie się są podstawowymi warunkami wstępnymi pomyślnej realizacji PSS.

Świadomość cyberbezpieczeństwa

Tworzenie wspólnej świadomości wśród pracowników ma kluczowe znaczenie dla zapewnienia przestrzegania inicjatyw w zakresie cyberbezpieczeństwa i utrzymania wysokiego poziomu bezpieczeństwa i ochrony. Oznacza to tworzenie kultury świadomej ryzyka oraz zapewnianie ciągłych szkoleń i możliwości edukacyjnych dla osób w całej organizacji.

Siemens SISW oferuje pracownikom szereg działań i możliwości uczenia się i rozwoju, w tym:

Obowiązkowa globalna kampania uświadamiająca mająca na celu dostarczenie pracownikom informacji na tematy związane z cyberbezpieczeństwem. Sesje szkoleniowe są internetowe, pozbawione barier i wielojęzyczne. Ponadto prowadzimy szkolenie "Prawo jazdy" dla grup związanych z rolą. To obowiązkowe szkolenie umożliwia grupie stosowanie wytycznych firmy Siemens dotyczących bezpieczeństwa.

• Oferowane są dodatkowe obowiązkowe szkolenia z zakresu bezpieczeństwa SISW dla PSSO oraz szkolenia dotyczące bezpieczeństwa w chmurze dla programistów zaangażowanych w tworzenie treści.

• Siemens oferuje liczne, regularnie aktualizowane szkolenia i możliwości uczenia się dla pracowników na zasadzie wolontariatu. Te moduły szkoleniowe obejmują zarówno podstawową wiedzę, jak i konkretne i specjalistyczne obszary, takie jak PSS.

Monitorowanie stanu cyberbezpieczeństwa

SISW wdrożyło platformę, która zapewnia przegląd naszej postawy w zakresie cyberbezpieczeństwa, w tym wgląd w potencjalne luki w zabezpieczeniach, zagrożenia i dzienniki bezpieczeństwa.

Monitorowanie odpowiednich środowisk i logów umożliwia:

• Powiadamianie o zdarzeniach związanych z bezpieczeństwem;

• Scentralizowany przegląd informacji o rachunku (zasoby i aktywa);

• Walidacja wyznaczonych stanów, alertów i praktyk w zakresie bezpieczeństwa w chmurze; oraz

• Podejmowanie świadomych i ukierunkowanych decyzji biznesowych opartych na bezpieczeństwie.

trust-center-cybersecurity-governance-status-monitoring-is808157766-mhero-1280x720

Fundament certyfikowanego procesu

SISW utrzymuje certyfikowany przez ISO 9001 System Zarządzania Jakością (QMS), zaprojektowany w celu wbudowania kontroli bezpieczeństwa w Bezpieczny Cykl Życia Rozwoju (SDLC) produktów SISW oraz integracji dostawców zewnętrznych w celu kontroli jakości produktów. System zarządzania jakością wykonuje bramki w głównych punktach kontrolnych, aby sprawdzić, czy kontrole bezpieczeństwa i wskaźniki KPI jakości zostały prawidłowo wykonane.

Wizja jakości

Zarządzanie ryzykiem w cyberbezpieczeństwie

Procesy zarządzania ryzykiem cyberbezpieczeństwa są częścią strategii zarządzania ryzykiem korporacyjnym (ERM) firmy Siemens. Głównym celem ERM jest umożliwienie firmie Siemens identyfikowania i minimalizowania potencjalnych zagrożeń bezpieczeństwa w oparciu o międzynarodowe standardy.

Proces zarządzania ryzykiem cybernetycznym firmy Siemens koncentruje się na raportowaniu i zarządzaniu ryzykiem w następujących obszarach:

• Klasyfikacja i ochrona zasobów IT, dokumentów i informacji;

• Analiza zagrożeń i ryzyka dla produktów, rozwiązań i usług;

• Obsługa wyjątków w przypadku tymczasowych odstępstw od wymagań; oraz

• Zarządzanie ryzykiem dostawców w zakresie cyberbezpieczeństwa, jak opisano poniżej.

trust-center-cybersecurity-risk-management-is1015220836-mhero-1280x720

Zarządzanie ryzykiem dostawców w zakresie cyberbezpieczeństwa

Ryzykiem związanym z cyberbezpieczeństwem należy zarządzać w całym łańcuchu dostaw. Siemens podchodzi do tego tematu holistycznie, w tym IT, OT i PSS, w celu zamawiania poziomych i pionowych komponentów, produktów i usług.

Główne działania mające na celu poprawę poziomu cyberbezpieczeństwa w całym łańcuchu dostaw obejmują:

• przejrzystość w zakresie narażenia na ryzyko w cyberprzestrzeni w całym łańcuchu dostaw;

• Systematyczne praktyki zarządzania ryzykiem wspierane przez metodologię oceny dostawców zewnętrznych oraz odpowiednie narzędzia i szablony dotyczące umownych wymogów w zakresie cyberbezpieczeństwa dla dostawców;

• Aktywny udział w różnych społecznościach eksperckich;

• Regularne szkolenia i kampanie uświadamiające dla różnych grup docelowych i przypadków użycia.