RWS 的安全性

在 RWS,我们深知信息安全对客户非常重要。作为一个跨国组织,我们采用美国国家标准与技术研究所制定的网络安全框架 (NIST CSF) 来构建信息安全管理系统 (ISMS)。 

RWS 使用这个获得行业广泛认可的框架为满足特定客户的要求(例如 HITRST 合规性)打下了牢固的基础。通过这种方法,我们的许多产品、服务以及支持人员、流程和技术都获得了 ISO27001:2013 认证。有关更多详细信息,请参阅我们当前的 ISO27001 证书。 

在此页面上,除了产品特定的安全相关文档之外,我们还添加了一些高级信息安全政策。如果您对信息安全有任何疑问,请联系我们

常见问题

/

RWS 的采购流程要求新供应商在入职前接受安全风险评估。我们根据一系列标准为供应商分配风险类别,包括:供应商所提供商品/服务的关键性以及所访问信息或设施的敏感性。

RWS

有,RWS 的全球供应商安全管理政策规定了第三方供应商需遵守的安全要求

IT

RWS 每月对面向公众的基础设施进行漏洞扫描。根据全球安全测试政策,对漏洞进行风险评估并采取适当的缓解措施。信息安全团队的一名成员参与全球 IT 变更咨询委员会,以评估拟议的变更对安全性的影响。

“RWS 的全球安全软件开发生命周期政策规定了如何安全地开发产品。安全性自始至终融入到每个开发步骤,从需求收集、设计、实施、验证到发布。所有更改在发布前都已经过测试。”

使

是的,RWS 同时使用服务中心和 ServiceNow 来跟踪从提出需求申请到分配人员和解决问题的整个工作流。根据事件/变更或问题的严重程度应用 SLA

RWS 使

有。RWS 有 IT 安全和接受使用政策

RWS 仅在对于履行服务必要长的时间内和合同中约定的任何情况下保留客户数据。

有,RWS 有专门的软件和资产管理 (SAM) 团队,在 RWS 网络上使用名为 Lansweeper 和 Flexera 的资产工具。Lansweeper 会自动检测并记录 RWS 公司网络上的项目,包括负责人、资产类型、安装的软件、保修和配置等详细信息,所有资产都有相应的负责人。

有,补丁将通过集中管理的补丁应用程序自动应用到端点。每年至少使用更新为服务器打一次补丁。通常,补丁将在例行的每月维护窗口期间执行,其他类型的补丁(如 SQL、反病毒程序)将在需要时临时执行,但在执行前应在开发或模拟系统(如果有此类系统)上进行测试。

有,变更管理角色和职责通过 CAB 流程管理,其中包括管理人员以及相关方(包括 IT 和任何 RWS 系统测试人员),任何系统变更在实施和/或部署之前都已经过测试。紧急变更的执行流程与标准变更管理流程相同,确保变更被妥善记录、测试、商定和实施。实施变更是发布管理人员的职责,但整个流程由 CAB 负责。

RWS 访

是的,RWS 有逻辑访问政策,规定了用于管理逻辑访问的流程。

有,RWS 的风险评估计划由 RWS 执行层负责,并传达给相关员工

RWS

全球安全风险管理政策概述了 RWS 的安全风险管理计划。其中包含识别和管理安全风险的方法,包括:资产识别、影响性分析、风险评估、控制措施的识别和应用,以及控制措施有效性的监控。我们会定期评估风险,或者在发生可能影响 RWS 信息或资产的保密性、完整性或可用性的重大变化时进行评估。风险管理流程由全球信息安全主管和信息安全指导委员会酌情监督和管理。

RWS

是的,RWS 非常重视数据隐私。有关隐私信息,请访问 www.rws.com/cn/about/privacy

RWS ISO 27001

有,客户可以在 www.rws.com/cn/security 上查看我们的 ISO 27001 认证

RWS SOC 2 Type II

有,RWS 云运营托管的 RWS 软件在我们的 SOC 2 Type II 报告范围内。可应要求提供报告的执行摘要。

有。RWS 的信息安全计划由首席改革官负责,全年由执行级信息安全指导委员会管理,以确保继续支持业务目标。

RWS /

有。RWS 的首席改革官是信息安全的执行发起人。一支由 RWS 全球信息安全主管领导的小型团队负责管理 RWS 的信息安全管理系统并确保其持续满足安全要求

有,RWS 的信息安全政策由执行发起人批准和签署以确保信息安全,并规定了高级安全要求,使 RWS 能够维护和持续开发信息安全管理系统。

RWS

“我们至少每年审查政策一次。在 NDA / MNDA 审计期间,客户可以在现场或远程查看内部文档。 

ISP100 全球信息安全政策
ISP101 全球风险管理政策(内部)
ISP102 全球安全测试政策(内部)
ISP103 全球逻辑访问政策(内部)
ISP104 业务连续性政策(内部)
ISP105 全球分类和处理政策(内部)
ISP106 全球信息安全事件管理政策(内部)
ISP107 全球物理安全政策(内部)
ISP108 隐私政策(内部)
ISP109 全球 IT 系统政策:上次审核和批准(内部)
ISP110 全球密码控制政策(内部)
ISP111 全球供应商安全性管理政策(内部)
ISP112 全球安全软件开发生命周期政策(内部) 

我们的政策发布在公司内部网上,并向所有 RWS 员工提供,政策通过强制性安全和隐私意识培训定期传达给 RWS 员工。”

RWS

RWS 目前正在制定“全球安全例外政策”。政策例外流程是该政策草案的一部分,包括正式的例外申请和在批准前执行的风险评估。预计这项新政将于 2020 年第一季度获得高级管理层的批准。

有,任何违反信息安全政策的行为将由全球信息安全团队进行审查和调查,随后将其转交给管理层和相关人力资源团队,以便在必要时进一步调查和采取行动。处罚取决于事件的严重程度,并可能招致纪律处分,情节严重者将予以解雇。

RWS

RWS 的法律部门会监控适用于 RWS 的相关法律和法规要求。与信息安全相关的法规要求将由法律部门主管与全球信息安全主管进行讨论,并酌情对安全计划进行变更。

RWS

任何此类合法请求将由我们的法律团队处理,并将考虑任何合同义务和法律要求。

RWS

有,RWS 已发布全球信息安全事件管理政策,所有员工均可通过 RWS 内部网访问,包括但不限于:监控和准备、识别、遏制、缓解、恢复和跟进。

RWS /

有,RWS 的全球信息安全事件管理政策规定了发生安全事件时需要采取的措施,隐私政策则包含与涉及个人信息的事件相关的具体信息。

RWS

有,RWS 的网络供应商会监控流量,并在发生异常活动时发出警报,同时 RWS 在网络的关键区域部署 IDS/IPS 来检测和防止入侵。端点装有适当的预防/检测软件。

是的。信息安全意识培训是 RWS 人员、承包商和自由译员入职流程的重要组成部分。此后,我们每年通过专门的学习模块向所有员工提供基于计算机的信息安全培训。此外,作为年度行为准则培训的一部分,并通过“考虑安全性”活动,至少每两个月提供一次信息安全意识培训,如果情况需要,则更频繁地提供培训。

RWS

是的。所有新入职员工都要接受身份和“工作适合性”调查。根据员工的岗位或国家义务的要求,我们可能会根据相关法律进行进一步的背景调查。

RWS

RWS 的自由译员不受标准背景调查的约束。但是,我们与自由译员签订了供应商协议,其中包括须遵守的最低安全措施,客户可根据合同约定要求对自由译员进行保密和背景筛查,但须遵守当地法律。

RWS

是的,所有新入职员工都需要完成强制性信息安全意识培训和行为准则培训(也包括安全要素)。解雇时,提醒员工在离职后应履行的安全责任。所有资产均被收回,账户被中止,等待审查和删除。

RWS

有,RWS 的全球分类和处理政策涵盖了数据销毁和媒体消毒事宜。该政策的具体流程由各自的技术负责人实施和维护。