'%3e%3cpath%20fill='%23eee'%20d='M256%200h256v64l-32%2032l32%2032v64l-32%2032l32%2032v64l-32%2032l32%2032v64l-256%2032L0%20448v-64l32-32l-32-32v-64z'%20/%3e%3cpath%20fill='%23d80027'%20d='M224%2064h288v64H224Zm0%20128h288v64H256ZM0%20320h512v64H0Zm0%20128h512v64H0Z'%20/%3e%3cpath%20fill='%230052b4'%20d='M0%200h256v256H0Z'%20/%3e%3cpath%20fill='%23eee'%20d='m187%20243l57-41h-70l57%2041l-22-67zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67zm162-81l57-41h-70l57%2041l-22-67zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67Zm162-82l57-41h-70l57%2041l-22-67Zm-81%200l57-41H93l57%2041l-22-67zm-81%200l57-41H12l57%2041l-22-67Z'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
'%3e%3cpath%20fill='%23eee'%20d='M144%200h223l33%20256l-33%20256H144l-32-256z'%20/%3e%3cpath%20fill='%23496e2d'%20d='M0%200h144v512H0z'%20/%3e%3cpath%20fill='%23d80027'%20d='M368%200h144v512H368z'%20/%3e%3cpath%20fill='%23ffda44'%20d='M256%20277v10h12l10-22z'%20/%3e%3cpath%20fill='%23496e2d'%20d='M160%20242a96%2096%200%200%200%20192%200h-11a85%2085%200%200%201-170%200zm39%2017l-4%202c-2%202-2%206%201%208c15%2014%2034%2022%2054%2024v17h12v-17c20-2%2039-10%2054-24c3-2%203-6%201-8s-6-2-8%200a78%2078%200%200%201-53%2021c-19%200-38-8-53-21z'%20/%3e%3cpath%20fill='%23338af3'%20d='M256%20316c-14%200-28-5-40-13l6-9c20%2013%2048%2013%2068%200l7%209c-12%208-26%2013-41%2013'%20/%3e%3cpath%20fill='%23751a46'%20d='M256%20174c22%2011%2012%2033%2011%2034l-2-4c-5-11-18-18-31-18v11c6%200%2011%205%2011%2011c-7%207-9%2017-4%2026l4%208l-13%2023l29-7l18%2018v-11l11%2011l23-11l-35-21l-5-21l28%2016c4%2011%2012%2021%2023%2026c9-83-42-91-61-91z'%20/%3e%3cpath%20fill='%236da544'%20d='M222%20271c-15%200-33-12-38-40l11-2c4%2023%2018%2031%2027%2031q4.5%200%206-3c0-2%200-3-6-5c-3-1-7-2-10-5c-10-12%204-24%2011-30c1-1%202-2%201-3c0%200-2-2-5-2c-7%200-12-4-14-11c-2-6%202-13%208-17l5%2011c-2%200-2%202-2%204c0%200%201%202%203%202c7%200%2014%204%2016%209c1%203%202%209-5%2015c-7%207-11%2012-9%2015l5%201c5%202%2014%205%2013%2017c-1%208-8%2013-17%2013h-1z'%20/%3e%3cpath%20fill='%23ffda44'%20d='m234%20186l-12%2011v11l18-9c3-1%203-5%201-7z'%20/%3e%3ccircle%20cx='172'%20cy='275'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='189'%20cy='302'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='216'%20cy='323'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='297'%20cy='323'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='324'%20cy='302'%20r='8'%20fill='%23ffda44'%20/%3e%3ccircle%20cx='341'%20cy='275'%20r='8'%20fill='%23ffda44'%20/%3e%3crect%20width='34'%20height='22'%20x='239'%20y='299'%20fill='%23ff9811'%20rx='11'%20ry='11'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
'%3e%3cpath%20fill='%23eee'%20d='M167%200h178l25.9%20252.3L345%20512H167l-29.8-253.4z'%20/%3e%3cpath%20fill='%230052b4'%20d='M0%200h167v512H0z'%20/%3e%3cpath%20fill='%23d80027'%20d='M345%200h167v512H345z'%20/%3e%3c/g%3e%3c/svg%3e){kind=small}
DATENSICHERHEITS- UND IT-SICHERHEITSERKLÄRUNG
Die Systeme und Daten von ERBESSD INSTRUMENTS® (EI) sind durch ein umfassendes Informationssicherheitsprogramm geschützt, das im Sicherheitsmanagementsystem von ERBESSD INSTRUMENTS® (EISMS) beschrieben ist. Dedizierte Fachleute für Sicherheit, Datenschutz, Informationsgovernance und Compliance pflegen das Programm unter der Aufsicht des Vorstands in Zusammenarbeit mit der Unternehmensführung. Das Sicherheitsteam von ERBESSD INSTRUMENTS® führt Risikobewertungen durch, erstellt regelmäßige Risikoüberprüfungen und verfolgt Risiken mithilfe eines dokumentierten Risikoregisterprozesses.
Das Sicherheitsprogramm von ERBESSD INSTRUMENTS® unterstützt die folgenden Rahmenwerke: NIST Cybersecurity Framework, NIST SP 800-171 zum Schutz kontrollierter nicht klassifizierter Informationen in nicht-föderalen Informationssystemen und -organisationen, die EU-Datenschutz-Grundverordnung (DSGVO) und den California Consumer Privacy Act (CCPA).
ERBESSD INSTRUMENTS® hat Richtlinien etabliert, die Folgendes abdecken:
Richtlinien zur akzeptablen Nutzung
| - Fernzugriff | - Mobilgeräte |
| - Passwörter | - Drahtlose Kommunikation |
| - Nutzung digitaler Systeme | - Datenschutzrichtlinie |
Sicherheitsrichtlinien
| - Informationssicherheit | - Cloud-Dienste |
| - Meldung von Sicherheitsvorfällen | - Systembeschaffung und -bereitstellung |
| - Datensicherung | - Änderungsmanagement |
| - Informationssensitivität | - Lieferanten- und Drittanbieterbeziehungen |
| - Gebäudesicherheit und Rechenzentrumsbetrieb |
Zugriffskontrollen
Zugriffs- und Verarbeitungsfähigkeiten sind auf autorisierte Benutzer und autorisierte Geräte beschränkt. Autorisierten Benutzern wird eine eindeutige Benutzer-ID mit einem komplexen Passwort zugewiesen, die für die Anmeldung erforderlich ist. Passwörter müssen regelmäßig geändert werden. Für den Fernzugriff und den Zugriff auf Cloud-Systeme ist eine Zwei-Faktor-Authentifizierung erforderlich. Administrative Funktionen werden über separate privilegierte Konten abgewickelt.
Architektur
EI folgt Best Practices für die Bereitstellung und Wartung seiner Systeme sowie für die in EI-Rechenzentren und Cloud-Diensten gespeicherten Daten. Kritische Daten und Systeme werden in sekundären Rechenzentren repliziert und gesichert. Systeme werden sicher konzipiert und vor der Inbetriebnahme vom Sicherheitsteam überprüft.
Prüfung
Das Informationssicherheitsprogramm von EI wird regelmäßig, sowohl intern als auch extern, auf jährlicher Basis geprüft. EI überwacht und prüft seine Sicherheit, seinen Datenschutz und seine Informationsgovernance (Personen, Prozesse und Kontrollen), um die Einhaltung von Richtlinien und anwendbaren Sicherheits-/Datenschutzstandards zu gewährleisten. EI führt jährlich einen unabhängigen externen Penetrationstest durch und scannt regelmäßig seine externen und internen Netzwerke auf Schwachstellen.
Bewusstsein und Schulung
EI-Mitarbeiter, einschließlich Auftragnehmer mit EI-Systemzugangsdaten, absolvieren regelmäßig zugewiesene Schulungen zum Sicherheitsbewusstsein und nehmen an Phishing-Trainingsübungen teil. Sicherheitsbulletins und Ankündigungen werden das ganze Jahr über geteilt, um rechtzeitige Erinnerungen für Bewusstsein und Schulung zu liefern.
Geschäftskontinuität und Notfallwiederherstellung
EI pflegt einen Business-Continuity- und Notfallwiederherstellungsplan, der regelmäßig überprüft und getestet wird. Die Kontinuitäts- und Wiederherstellungsüberlegungen von EI umfassen den Einsatz von Hochverfügbarkeitssystemen, Backup-Diensten, Datenreplikation und redundanten Rechenzentren.
Datenkontrollen
Daten werden im Ruhezustand und bei der Übertragung verschlüsselt, logisch getrennt, und der Zugriff wird nur autorisierten Benutzern gewährt. Dateiüberwachungssysteme protokollieren und überwachen den Zugriff auf Daten, während Systeme zur Verhinderung von Datenverlust die Bewegung von Daten innerhalb und außerhalb von EI überwachen.
Datenschutz
EI ist dem Schutz und der Privatsphäre von Daten verpflichtet. Der Schutz und die Verwaltung der uns anvertrauten Daten gehören zu unseren höchsten Prioritäten. EI folgt einem Modell des Zugriffs mit minimalen Rechten und überprüft regelmäßig den Datenzugriff von Einzelpersonen. EI respektiert das Recht auf Privatsphäre von Einzelpersonen und wir arbeiten kontinuierlich daran, die Datenschutzvorschriften einzuhalten. Unsere Datenschutzrichtlinie kann hier eingesehen werden.
Endgerätesicherheit
Arbeitsstationen und Mobilgeräte sind mit vollständiger Festplattenverschlüsselung gesichert und erfordern ein Passwort, eine PIN oder Biometrie für den Zugriff. Arbeitsstationsinventare, Softwarebereitstellung und Sicherheitsrichtlinien werden durch das Enterprise-Konfigurationsmanagement gesteuert. Arbeitsstationen, Mobilgeräte und Server müssen beim Geräteverwaltungssystem von EI registriert werden. Arbeitsstationen und Server sind mit erweitertem Endgeräteschutz ausgestattet, der KI einsetzt, um bei der Bekämpfung von Bedrohungen zu helfen. IT-Geräte in den Büros von EI sind physisch gesichert.
Reaktion auf Vorfälle
Der Sicherheitsvorfallsreaktionsplan von EI schreibt vor, dass Sicherheitsereignisse bewertet und bei Bedarf eskaliert werden. Ein System zur Verwaltung von Sicherheitsinformationen und -ereignissen (SIEM) führt und analysiert Sicherheitsprotokolle. Dieses System wird rund um die Uhr überwacht. Protokolle werden regelmäßig von dediziertem Sicherheitspersonal auf verdächtige Aktivitäten und ungewöhnliches Verhalten analysiert. Mitgliedschaften in rechtlichen, cyber- und Peer-Organisationen sind vorhanden, um einen zeitnahen Informationsaustausch und Reaktionsaktivitäten zu ermöglichen. EI pflegt eine enge Arbeitsbeziehung mit seinen Lieferanten, Strafverfolgungsbehörden und verwalteten Sicherheitsdienstleistern für zusätzliche Bedrohungsinformationen, Analyse und Reaktion.
Perimetersicherheit
EI schützt Daten, Server und Endgeräte in EI- und öffentlichen Netzwerken mit erstklassigen Sicherheitskontrollen. Diese Kontrollen umfassen Next-Generation-Firewalls, Next-Generation-Antivirus/-Antimalware, Web-Sicherheit, E-Mail-Sicherheit und Intrusion-Detection-Systeme. Dies ermöglicht es EI, bösartige Netzwerkangriffe zu verhindern, den Zugriff auf verdächtige oder bösartige Sites zu blockieren, bösartige E-Mails oder Anhänge zu verhindern und Zero-Day-Angriffe abzumildern.
Lieferantenmanagement
ERBESSD INSTRUMENTS® bewertet potenzielle Lieferanten anhand einer Reihe von Kriterien, um angemessene Sicherheitsstandards zu gewährleisten, bevor einem Lieferanten Systemzugang gewährt oder Systeme in Betrieb genommen werden. Verträge und Datenverarbeitungsvereinbarungen werden vor der Unterzeichnung von den Teams für Informationssicherheit, Datenschutz und Recht geprüft. Die Sicherheitslage der wichtigsten Lieferanten wird regelmäßig überprüft.