网络安全和数据隐私

  • 网络安全

  • 数据隐私

网络安全是指保护计算机、服务、移动设备、电子系统、网络和数据免受恶意攻击的实践。网络犯罪并非新概念。日益增强的连接性、远程工作、对技术的依赖和自动化,这些都增加了攻击的风险。此外,疫情导致工作方式发生变化,为网络犯罪分子创造了更多的机会。 

RWS 深知,我们的网络安全防范能力必须不断提高,以应对不断变化的风险。 

RWS 的战略安全立场由信息安全指导委员会 (ISSC) 确定,该委员会由首席技术官担任主席,他/她是安全事宜的执行发起人。该团队包括来自所有部门和指定业务部门的相关方,他们将就信息安全管理系统 (ISMS) 的持续改进进行协作,还帮助推动我们的集成计划,提高意识并支持一致的基于风险的信息安全方法。此外,ISSC 还对信息安全风险进行监督和管理。 

RWS 正在采用 NIST 网络安全框架,为信息安全管理系统 (ISMS) 提供一个通俗易懂的结构,并统筹我们的工作。这帮助我们的托管产品解决方案、受监管行业部门、IP 服务部门及其支持服务、人员、流程和技术获得了全球认可的 ISO27001:2013 认证。RWS 的云运营和语言服务职能还持有 SOC2 证书。ISMS 提供了一个强大的基准,使 RWS 能够灵活地进一步开发必要的控制措施,以满足各种行业特定的信息安全合规要求(如果确定符合业务利益)。我们不断努力改进和扩大认证 ISMS 的范围,确保实施国际公认的信息安全控制措施并委托外部机构进行验证,使 RWS 和我们的客户受益。

我们认识到安全风险始终存在,因此在持续整合各项工作的过程中实施一系列信息安全策略至关重要,以为许多领域的所有 RWS 职能提供高级安全指导,包括但不限于:风险管理、物理安全、隐私和事故管理。他们制定了 RWS 支持业务目标的方法,同时确保采用一致的风险管理方法。 

根据已批准的策略和流程分析安全风险,可识别威胁,考量威胁发生的可能性,并评估它们对业务目标的任何潜在影响。这种结构化方法可为决策者提供信息,使他们能够确定缓解措施是否适当,如果适当,应如何开展。例如,停止活动,实施技术控制措施或更新流程以将风险降低到可接受水平。资产/风险负责人负责选择适当的缓解措施或控制措施,安全团队仅提供建议和指导。如果资产负责人无法妥善解决风险,可以将其上报至管理链的下一级。我们使用风险管理流程记录和管理安全风险,这项工作由首席财务官负责,并每年在董事会上汇报。 

RWS 采用“深度防御”的安全立场,并明白定期测试安全控制措施非常重要。因此,我们定期对内部和外部基础设施进行漏洞扫描,并应部分客户的要求,定期对面向公众的基础设施进行渗透测试。这样就可以识别漏洞,并对其进行分析,以确定最适当的缓解措施。 

英国的网络安全漏洞调查发现,83% 的企业在过去 12 个月内遭遇网络钓鱼攻击,这是最常见的攻击类型。RWS 也经常受到此类攻击,虽然我们的技术控制措施可以阻止大多数垃圾邮件和恶意邮件,但仍不可避免某些钓鱼邮件突破防御。我们意识到这可能是最薄弱的环节,因此我们维护并持续改进安全意识制度,为员工提供识别此类威胁所需的信息,从而降低风险。除了通过学习管理系统 MyLX 提供定期消息和安全意识培训外,RWS 还使用外部提供商提供安全培训、知识评估和测试,以确定可能需要额外培训的地方,跟踪培训的授课和参与情况,并测试其有效性。

我们承认实施网络防御费用不菲,但我们知道,我们必须继续提高防御能力,以支持业务发展。我们的安全路线图采用经济高效且平衡的持续改进方法,以提供适当的保护,确保我们的防御能力足以应付已知的威胁,但又不至于过度。例如,RWS 几乎完成了多因素认证 (MFA) 的实施,以便安全地访问我们的虚拟专用网络。此外,我们了解并非所有网络攻击都能被阻止,因此聘请了外部合作伙伴提供全天候检测和响应服务,以便尽快解决事故,从而充分降低对业务的影响。

RWS 确保我们遵守相关司法管辖区的数据保护法。RWS 的总部位于英国,采用欧盟 GDPR 和《2018 年英国数据保护法》作为数据保护基准。我们制定了一套全面的政策,反映适用的隐私法,并明确侧重于保护机密商业信息 (CBI) 和个人身份信息 (PII) 的流程、程序和实践。 

RWS 在设计上意识到客户对隐私的要求,因此在 RWS 软件中提供功能,使客户能够遵守数据保护法规定的义务。RWS 在提供本地化服务或通过 SaaS 授予软件许可证时将代表客户处理个人数据。客户收集数据并将其传输到 RWS 进行处理。客户数据在 RWS 环境中进行翻译、传输和存储,完成后将根据内部删除策略或客户的规定予以删除。 

同样,当 RWS 授予 Web 内容管理软件许可证时,客户将确定数据收集和保留的参数。RWS 根据与客户在保密协议、合同和数据处理协议中约定的指示处理客户数据。 

RWS 不代表客户对消费者客户进行详细的剖析。客户提供的数据绝不会被出售或出租。如果对于履行服务为必需,RWS 将与关联公司和经批准的第三方分包商披露数据;我们制定了适当的数据处理协议来管理这些传输。在 2020/21 财年,没有敏感信息(包括 PII 和 CBI)被披露或未经授权移动。因此,没有任何客户受到任何此类事件的影响。