SDL的安全性

bet77365体育在线投注 在SDL,我们了解信息安全对我们的客户至关重要。作为一个全球性组织,我们采用了美国国家标准与技术研究院网络安全框架(NIST CSF),为我们的信息安全管理系统(ISMS)提供结构。

bet77365体育在线投注 使用这个广为接受并得到行业认可的框架,可以为SDL提供一个可靠的基准,从中可以满足特定的客户要求,例如HITRUST合规性。这种方法使我们的许多产品,服务以及支持人员,流程和技术的ISO 27001:2013认证。可以在我们当前的ISO27001证书中找到更多详细信息。

bet77365体育在线投注 在此页面上,除了产品特定的安全相关文档外,我们还添加了一些高级信息安全策略。如果您还有其他与信息安全相关的疑问,请与我们联系

常见问题

请描述您对供应商/供应商的初步选择和风险评估过程。

SDL的采购流程要求新供应商在入职之前进行安全风险评估。根据许多标准,为供应商分配了风险类别,其中包括:要提供的商品/服务的重要性以及他们访问的信息或设施的敏感性。

SDL是否具有用于安全性的供应商管理程序?

是的,SDL的全球供应商安全管理政策规定了第三方供应商的安全要求

描述如何识别和管理IT系统中的信息安全漏洞,包括变更管理流程。

SDL每月对其面向公众的基础架构进行漏洞扫描。对弱点进行了风险评估,并根据《全球安全测试政策》采取了适当的缓解措施。信息安全团队的成员坐在全球IT变更顾问委员会上,以评估提议的变更对安全的影响。

描述如何在系统开发生命周期中保护应用程序的安全,包括如何开发和测试对应用程序的更改。

“ SDL的全球安全软件开发生命周期策略规定了如何安全地开发产品。从需求收集,设计,实施,验证和发布到每个开发步骤,安全功能都是其一部分。在发布之前先测试更改。”

您是否使用工具来跟踪事件,变更和问题?

是的,SDL使用Service Center和ServiceNow来跟踪工作流程,包括从发出的故障单到分配和解决的问题。根据事件/更改或问题的严重性来制定SLA

SDL是否有可接受的使用政策?

是。 SDL拥有IT安全性和可接受的使用政策

客户数据的保留政策是什么?

SDL仅在执行服务所必需的时间内以及在任何情况下均按合同约定保留客户数据。

有资产管理流程吗?

是的,SDL有一个专门的软件和资产管理(SAM)团队,并且在SDL网络上使用了名为Lansweeper和Flexera的资产工具。 Lansweeper会自动检测并记录SDL公司网络上的项目,包括所有者,资产类型,安装的软件,保修和配置等详细信息,所有资产都有分配的所有者。

有补丁程序管理流程吗?

是的,可以使用集中式修补应用程序将修补程序自动应用于端点。至少每年执行一次服务器更新补丁。通常,此修补程序将在例行的每月维护时段内执行,其他类型的补丁程序(如SQL,防病毒程序)则在需要时临时执行,但应在生产前的开发或登台系统上进行测试(如果存在)。

有变更管理流程吗?

是的,变更管理角色和职责由包括管理在内的CAB流程以及包括IT和任何SDL系统测试人员在内的相关利益相关者控制,所有系统变更都在实施和/或部署之前进行测试。紧急更改以与标准更改管理过程相同的方式执行,以确保记录,记录,测试,同意和实施更改。实施变更是发布管理的责任,但是整个过程是CAB的责任。

SDL是否已根据最小特权原则对逻辑访问请求实施了正式的批准流程?

是的,SDL具有逻辑访问策略,该策略指定了用于管理逻辑访问的进程。

是否有一项经过管理层批准,传达给相关员工和指定负责维护该计划的所有者的风险评估计划?

是的,SDL的风险评估计划归SDL执行人员所有,并传达给相关员工

描述SDL安全风险管理程序的关键要素

全球安全风险管理策略中概述了SDL的安全风险管理程序。这包含用于识别和管理安全风险的方法,包括:资产识别;影响分析;风险评估;识别和应用控制;和控制有效性的监控。定期评估风险,或者在发生可能影响SDL信息或资产的机密性,完整性或可用性的重大变化时评估风险。全球信息安全主管和信息安全指导委员会酌情对风险管理流程进行监督和治理。

SDL是否考虑数据隐私?

是的,SDL非常重视数据隐私。可在此处获得我们的隐私政策:www.0369726.com/about/privacy,以获取隐私信息

SDL是否具有ISO 27001认证?

SDL是否具有SOC 2 II型认证

是的,由SDL Cloud Operations托管的SDL软件在我们的SOC 2类型II报告中。该报告的执行摘要可应要求提供。

是否建立,发布并每年批准安全计划?

是。 SDL的信息安全计划由首席转型官拥有,并由行政级别的信息安全指导委员会全年进行管理,以确保其继续支持业务目标。

SDL是否有专门的信息安全所有者和/或负责信息安全的团队?

是。 SDL的首席转型官是信息安全的执行赞助商。由SDL全球信息安全负责人领导的小团队负责SDL信息安全管理系统的日常管理以及对安全要求的持续遵守。

是否存在经管理层批准并传达给所有人员的信息安全政策?

是的,SDL的信息安全政策已由执行发起人批准并签署以保证信息安全,并规定了高级安全要求,这些要求使SDL能够维护并持续开发其信息安全管理系统。

请列出您的信息安全政策。是否定期检查和更新此类政策,并且所有SDL人员都可以使用这些政策?

bet77365体育在线投注 “我们的政策至少每年进行一次审查。在NDA / MNDA审核期间,客户可以在现场查看内部文件或由客户远程查看内部文件。

bet77365体育在线投注











ISP100全球信息安全政策 ISP101全球风险管理政策(内部) ISP102全球安全测试策略(内部) ISP103全局逻辑访问策略(内部) ISP104业务连续性策略(内部) ISP105全球分类和处理政策(内部) ISP106全球信息安全事件管理策略(内部) ISP107全球物理安全策略(内部) ISP108隐私政策(内部) ISP109全球IT系统政策:上次审核和批准(内部) ISP110全球密码控制策略(内部) ISP111全球供应商安全管理策略(内部) ISP112全球安全软件开发生命周期策略(内部)

bet77365体育在线投注 我们的政策已在企业内部网上发布,并可供所有SDL员工使用,并且通过强制性的安全性和隐私意识以及培训定期将政策传达给SDL员工。 ”

您的组织是否提供网络安全保险?

SDL是否具有安全策略例外流程和策略?

SDL当前正在制定“全球安全例外策略”。该政策草案的一部分是政策例外流程,其中涉及正式的例外请求和批准前的风险评估。预计这项新政策将在2020年第一季度获得高级管理层的批准。

有违反信息安全政策和程序的员工有正式的纪律程序吗?

是的,全球信息安全团队将对所有违反我们信息安全政策的行为进行审查和调查,然后将其转交给管理层和相关的人力资源团队,以进行进一步的调查和采取必要的行动。制裁取决于事件的严重性,并可能导致纪律处分,甚至处以解雇。

SDL是否有流程来监视相关辖区的法规要求的变化并调整您的安全计划以确保合规?

SDL的法律部门监视适用于SDL的相关法律和法规要求。将在法律部门负责人和全球信息安全负责人之间讨论与信息安全有关的法规要求,并酌情对安全计划进行更改。

SDL是否有书面程序来响应政府或第三方对租户数据的请求?

任何此类合法请求将由我们的法律团队处理,并将考虑任何合同义务和法律要求。

SDL是否具有发布和传达的信息安全事件响应策略和过程?

是的,SDL的《全球信息安全事件管理政策》已发布,并且可供SDL Intranet上的所有员工访问,包括但不限于:监视和准备;鉴定;遏制;减轻;复苏;和后续行动。

SDL是否具有事件响应/数据泄露流程?

是的,SDL的全球信息安全事件管理策略指定了发生安全事件时需要采取的措施,并且隐私策略包含与涉及个人信息的事件有关的特定信息。

SDL是否具有用于识别事件及其常见攻击媒介的过程,以及用于在事件发生时进行检测的检测机制?

是的,SDL的网络供应商可以监控流量并在发生异常活动时提供警报,并且SDL在网络的关键区域使用IDS / IPS来检测和防止入侵。端点具有适当的预防/检测软件。

是否定期对所有员工和顾问进行信息安全意识培训?

是。信息安全意识培训是SDL人员,承包商和自由职业者入职过程的基本组成部分。此后,每年都会在专门的学习模块中为所有员工提供基于计算机的信息安全培训。此外,信息安全意识培训作为年度行为准则培训的一部分,并且通过我们的“思考安全”活动至少每两个月或更长时间(如果情况允许)进行提供。

SDL后台会检查员工吗?

是。所有新手都要经过身份和“工作权”检查。根据其在组织中的作用或国家义务,可以根据相关法律进行进一步的背景调查。

SDL背景会检查自由职业者吗?

SDL的自由职业者无需接受背景调查。但是,我们确实与自由职业者签订了供应商协议,其中包括最低限度的安全措施和保密性,客户可以按照合同约定,根据当地法律要求对自由职业者进行背景筛选。

SDL是否在员工入职和离职流程中考虑信息安全性?

是的,所有新手都必须完成强制性的信息安全意识培训和行为准则培训,其中还包括安全要素。在解雇时,提醒员工注意其岗后安全责任。所有资产均已收回,帐户被暂停,等待审核和删除。

SDL是否有数据销毁和媒体清除过程?

是的,SDL的全球分类和处理政策涵盖了数据破坏和媒体清除的领域。实施策略的特定过程由各自的技术所有者拥有和维护。