Back to Top

概览

我们认为,客户数据的安全性和隐私性是施恩禧业务价值的核心。施恩禧的各种产品、系统、服务和支持都注重安全性。我们按照领先的行业网络安全框架和最佳实践制定了各种方案、政策和程序。施恩禧的信息安全方案包括但不限于数据处理程序和分类标准。标准包括围绕数据使用、存储、保留、监控、安全销毁以及电子和纸质记录分类的适当控制措施。

治理与标准

施恩禧总裁兼首席执行官负责领导施恩禧网络安全委员会,监督所有业务职能部门的安全治理情况。由深入全公司的安全架构师、分析师、经理和管理员组成的团队,支持着与产品开发、制造和企业安全相关的安全活动。施恩禧的信息安全方案使得公司政策和流程与行业公认的框架和最佳实践保持一致。此类框架和实践包括但不限于:

我们的网络安全主题专家会参与全球标准制定组织的技术委员会,例如电气电子工程师学会(IEEE)和国际电工委员会(IEC)。施恩禧是美国国家电气制造商协会(NEMA)和加拿大电力联盟(EFC)的成员,并积极参与NEMA网络安全委员会和IIoT设备EFC网络安全委员会,随时掌握与网络安全和数据隐私相关的最新专题。

企业安全

施恩禧的各种系统由专业的全球运营团队管理,其职责包括制定运营规范以及执行维护、安全更新、漏洞管理、备份、日志记录、监控和事件管理。这些团队还会对网络和应用程序安全进行定期审查,包括是否正确分离系统管理职责。

施恩禧对云端或本地系统部署更新实施严格的协议,该协议定义了批准系统用于生产之前的正式测试、开发和验收流程。通过跨多个地理区域在云端系统和物理数据中心内部署分布式服务,我们可以实现复原能力、业务连续性和灾难恢复。

产品安全

施恩禧的产品开发活动遵循施恩禧安全开发生命周期(SDL),其中纳入了行业公认的最佳实践。SDL的主要组成部分有安全风险分析、威胁建模、代码分析和审查以及漏洞管理。施恩禧将SDL应用于其新产品、系统、服务、软件和云解决方案。

施恩禧在产品设计、开发和测试期间根据SDL采取以下行动:

  • 根据施恩禧的安全要求,对每个新项目和现有项目的每个重大变更进行安全风险分析。
  • 根据Open Web Application Security Project (OWASP) Top 10等框架,在开发过程中定期自动执行代码分析和手动执行代码审查。
  • 自动分析开源代码等第三方代码,以便识别和解决漏洞。
  • 针对嵌入式设备和云解决方案强化操作系统。
  • 定期实施和审查网络安全及防火墙规则。
  • 每次产品发布之前,由独立的内部小组进行测试。

施恩禧制定了政策和书面流程,用于识别我们产品中的漏洞并将漏洞告知我们的客户。此流程涉及审查行业数据资源,例如通用漏洞评分系统(CVSS)和美国国家信息安全漏洞库(NVD),从中获取有关已知漏洞的信息。施恩禧还会执行内部测试来识别漏洞。

供应链安全

为确保供应链的完整性,施恩禧会识别、减轻并在可行情况下消除潜在的安全风险。我们会定期从产品完整性、运输和数据安全性几方面评估、监控和衡量供应商。我们针对组件或服务供应商的标准条款和条件包括全面的信息安全和数据隐私部分,这些部分定义了供应商必须承担的网络安全义务。虽然NERC CIP标准的内容不断丰富、要求变得更加严格,施恩禧仍能让客户符合NERC CIP-013-1《网络安全:供应链风险管理》的规定。

培训与意识

施恩禧要求团队成员对涉及信息安全、通信和网络安全的具体政策负责。此外,施恩禧要求团队成员完成年度网络安全和数据隐私意识培训。施恩禧额外提供与角色相关的培训,鼓励团队成员获取外部安全认证。施恩禧安全专家持有行业认证,例如信息系统安全认证专家(CISSP)、安全软件生命周期认证专家(CSSLP)和GIAC意外事件认证处理师(GCIH)等认证。施恩禧还将网络安全意识和最佳实践纳入其内部沟通和活动中,向施恩禧团队成员强调网络安全在施恩禧业务运营中的重要价值。

team-member.jpg

数据安全与隐私

施恩禧要求所有团队成员理解并保持对客户、施恩禧和供应商数据的管理、处理、存储和销毁方式的控制。我们的供应商必须同意包含隐私条款的条款和条件。我们遵守《一般数据保护条例》(GDPR)和全球其他数据保护条例中概述的所有六项数据隐私原则,包括:

  • 合法、公平和透明
  • 目的限制
  • 数据最小化
  • 准确性
  • 存储限制
  • 完整性和保密性

如需了解施恩禧数据隐私政策的更多信息,请参阅我们的隐私声明

客户在安全方面的作用

在这个高度互联的世界中,网络安全是需要多方共同承担的责任,因为快速发展的数字环境可能会加剧内部和外部威胁。鉴于风险的危害性每天都在增加,我们积极与客户和供应商合作,创建端到端安全解决方案。施恩禧认为,必须在安装、维护和操作过程中对风险进行适当评估并予以适当关注。我们与客户合作,确保施恩禧批准的更新和补丁得到安全交付和认证。我们在产品手册中提供有关产品安全配置的说明。最后,我们与客户合作修复任何可疑漏洞或数据泄露。

安全事件响应

施恩禧会分配职责并制定程序来响应可疑的安全事件。我们会根据一组标准评估每个可疑的安全事件,确定其是否符合安全事件的条件。发生安全事件时,我们会立即采取缓解措施来有效地解决问题。施恩禧还会定期开展经验交流活动,以便改进和加强安全措施。