Sicherheit
Informationssicherheit und Compliance
Die Informationssicherheit liegt uns am Herzen, daher arbeiten wir kontinuierlich daran, unsere Prozesse und Dienstleistungen an den besten Praktiken und Richtlinien auszurichten.
Monks hat ein globales Managementsystem für Informationssicherheit eingerichtet, das sich an der Norm ISO27001 orientiert und in verschiedenen Niederlassungen rund um den Globus zertifiziert wird. Im Folgenden finden Sie die Ergebnisse unserer Konformitätsprüfung sowie den Fahrplan für die Verbesserung unseres Reifegrades.
Errungenschaften
Unser Prozess und Fahrplan.
-
-
ISO27001:2022
Unser globales Informationssicherheits-Managementsystem wurde nach der Norm ISO27001 zertifiziert. Diese Zertifizierung bedeutet, dass Monks ein strenges Sicherheitsprogramm in Übereinstimmung mit der Norm ISO27001:2022 implementiert hat und aufrechterhält, einen systematischen Ansatz für die Verwaltung sensibler Informationen verfolgt und Kontrollen zum Schutz vor unbefugtem Zugriff, Missbrauch, Offenlegung oder Zerstörung implementiert hat. Diese Zertifizierung gibt unseren Kunden, Interessengruppen und Partnern die Gewissheit, dass wir angemessene Maßnahmen zum Schutz ihrer Daten ergriffen haben.
ISO 27001 umfasst Kontrollen in 14 Abschnitten: Informationssicherheitsrichtlinien, Organisation der Informationssicherheit, Personalsicherheit, Anlagenverwaltung, Zugangskontrolle, Kryptographie, physische und umgebungsbezogene Sicherheit, Betriebssicherheit, Kommunikationssicherheit, Systembeschaffung, -entwicklung und -wartung, Lieferantenbeziehungen, Management von Informationssicherheitsvorfällen und Informationssicherheitsaspekte des Business Continuity Management.
-
-
-
TISAX
Mit der TISAX-Zertifizierung (Trusted Information Security Assessment Exchange) haben wir uns den Informationssicherheitsstandards der Automobilindustrie verpflichtet und sind somit in der Lage, sensible Daten Ihrer Kunden zu verarbeiten.
Die TISAX-Bewertung deckt ein breites Spektrum von Themen der Informationssicherheit ab, darunter Zugangskontrolle, Datenschutz, Incident Management, Business Continuity und physische Sicherheit. Die TISAX-Zertifizierung bietet einen standardisierten und anerkannten Ansatz für die Bewertung der Informationssicherheit in der Automobilindustrie, der dazu beiträgt, die allgemeine Sicherheitslage der in diesem Sektor tätigen Unternehmen zu verbessern. Außerdem erleichtert sie den Austausch sensibler Informationen zwischen Unternehmen, indem sie eine vertrauenswürdige Plattform für den Datenaustausch bietet.
-
-
-
UK Cyber Security Essentials
Die Niederlassungen von Monks in Großbritannien sind im Rahmen des britischen Cyber Essentials-Programms zertifiziert. Dabei handelt es sich um eine Reihe von Richtlinien, die von der britischen Regierung entwickelt wurden, um Unternehmen und Organisationen dabei zu helfen, sich vor gängigen Cyber-Bedrohungen zu schützen. Die Richtlinien basieren auf fünf Grundprinzipien: Sichern Sie Ihre Internetverbindung, sichern Sie Ihre Geräte und Software, kontrollieren Sie den Zugriff auf Ihre Daten und Dienste, schützen Sie sich vor Viren und anderer Malware und halten Sie Ihre Geräte und Software auf dem neuesten Stand.
-
-
-
ProcessUnity (ehemals CyberGRX) Tier 2 Bericht
Monks hat die ProcessUnity Tier 2-Bewertung erfolgreich abgeschlossen und damit eine angemessene Sicherheitslage innerhalb dieses Rahmens für das Risikomanagement von Drittanbietern nachgewiesen.
-
-
-
Sicherheitskontrollen
Wir haben Sicherheitsvorkehrungen getroffen, um Sicherheitsrisiken zu vermeiden und zu minimieren. Diese Schutzmaßnahmen umfassen vier Hauptbereiche: organisatorische Sicherheit, interne Sicherheit, Sicherheit der Infrastruktur und Datenschutz. Erfahren Sie mehr über diese Kontrollen im Detail.
-
Organisatorische Sicherheit
Festgelegte und überprüfte Sicherheitsrichtlinien
Unser Rahmen für die Informationssicherheit orientiert sich an der Norm ISO27001 und besteht aus mehr als 20 Richtlinien und zusätzlichen Standards und Verfahren, die mindestens einmal jährlich überprüft werden.
Managementsystem für Informationssicherheit
Wir unterhalten ein globales ISMS in Übereinstimmung mit der Norm ISO27001, das kontinuierliche Prüfungen und Verbesserungen gewährleistet.
Cybersecurity-Risikomanagement
Wir betreiben ein kontinuierliches Management von Cybersicherheitsrisiken, indem wir Risiken, die sich auf den Datenschutz auswirken könnten, identifizieren, bewerten und behandeln.
Team für Informationssicherheit
Ein globales Team widmet sich voll und ganz der Cybersicherheit, der Einhaltung von Vorschriften zur Informationssicherheit, der Governance und dem Risikomanagement.
Durchgeführte Hintergrundüberprüfungen der Mitarbeiter
Hintergrundüberprüfungen werden entsprechend der lokalen Gesetzgebung und der Kritikalität der Rollen unter Berücksichtigung des Datenzugriffs und -umgangs der Mitarbeiter durchgeführt.
Schulungen zum Sicherheitsbewusstsein werden durchgeführt
Das Unternehmen verlangt von seinen Mitarbeitern, dass sie die obligatorische Sicherheitsschulung absolvieren, die laufend aufrechterhalten und aktualisiert wird. Neu eingestellte Mitarbeiter erhalten während der Einarbeitung eine Sicherheitsschulung und werden über bewährte Verfahren informiert.
Vertraulichkeitsvereinbarung wird anerkannt
Zum Zeitpunkt der Einstellung bzw. des Onboardings verlangt das Unternehmen von Auftragnehmern und Mitarbeitern die Unterzeichnung einer Vertraulichkeitsvereinbarung, in der sie ihre Verpflichtung zur Wahrung der Vertraulichkeit sensibler Informationen bekräftigen. Auch mit Dritten werden NDAs unterzeichnet.
-
Interne Sicherheitsverfahren
Schwachstellen-Management
Bei Monks verwalten wir technische Schwachstellen, indem wir einen Prozess für kontinuierliche Upgrades und Updates in unserer Infrastruktur und an den Endpunkten einführen. Regelmäßige Analysen (und notwendige Korrekturen) in unseren Netzwerken und Geräten werden durchgeführt.
Richtlinien zur Reaktion auf Vorfälle festgelegt
Das Unternehmen verfügt über eine Richtlinie für die Reaktion auf Vorfälle und ein Verfahren zur Steuerung des Managements von Sicherheitsvorfällen. Die definierten Prozesse umfassen Schritte zur Protokollierung, Verfolgung, Lösung und Kommunikation von Sicherheits- und Datenschutzvorfällen an die zuständigen Stellen. Es werden Lehren gezogen, um zukünftige Vorfälle zu verhindern.
Verbesserungsmöglichkeiten für das Vorfallmanagement werden ermittelt, aufgezeichnet und anschließend weiterverfolgt.
Zugriffskontrolle
Berechtigungen werden den Nutzern auf einer Need-to-know-Basis gewährt. Privilegien werden nur den Mitarbeitern gewährt, die mit Verwaltungsaufgaben betraut sind, und der Lebenszyklus des Benutzers wird genau verfolgt. Regelmäßige Zugriffsüberprüfungen werden durchgeführt, um sicherzustellen, dass die Benutzer über die richtigen Zugriffsrechte verfügen.
Durchsetzung von Passwortrichtlinien
Das Unternehmen verlangt die Einhaltung seiner Richtlinie für die Konfiguration von Passwörtern auf Systemkomponenten, die in den Geltungsbereich fallen. Darüber hinaus legt die Richtlinie spezifische Anforderungen an die Komplexität und Länge von Passwörtern sowie deren regelmäßige Aktualisierung fest, um sicherzustellen, dass zuverlässige Sicherheitsmaßnahmen vorhanden sind.
Backup-Methodik
Um die wertvollen Informationen vor Verlust zu schützen, werden je nach Risiko, Auswirkung und Geschäftsanforderungen Backup-Methoden eingeführt.
Management von Lieferanten
Das Unternehmen unterhält formelle Vereinbarungen mit Anbietern und Dritten, die Vertraulichkeits- und Datenschutzverpflichtungen für jede Einheit beinhalten.
Das Risiko von Drittanbietern wird verwaltet, um sicherzustellen, dass diese Anbieter die Informationen von Monks während unserer Geschäftsbeziehung gut behandeln.
Verfahren für das Änderungsmanagement
Ein ordnungsgemäß kontrolliertes Änderungsmanagement wird in produktiven Umgebungen durchgeführt, um sicherzustellen, dass kritische Änderungen angemessen, effektiv und ordnungsgemäß autorisiert sind und in einer Weise durchgeführt werden, die unerwartete Auswirkungen minimiert.
Definierte Managementrollen und Verantwortlichkeiten
Monks hat die Rollen und Verantwortlichkeiten in Bezug auf die Informationssicherheit korrekt identifiziert und zugewiesen, um eine korrekte Aufgabentrennung und Verantwortlichkeit zu gewährleisten.
Physische Zugangskontrollen
In den Einrichtungen sind Sicherheitsabgrenzungen definiert, und es werden Kontrollen eingeführt, um den Zugang auf einer Need-to-know-Basis zu genehmigen. Für den allgemeinen Zugang, sensible Bereiche und Serverräume werden verschiedene Perimeter festgelegt. Es gibt ein Zugriffsmanagementverfahren, mit dem Privilegien entsprechend gewährt und entzogen werden.
Sicherer Lebenszyklus der Entwicklung
Wir implementieren einen sicheren Softwareentwicklungs-Lebenszyklus (SSDLC), in dem wir bewährte Sicherheitspraktiken auf der Grundlage der OWASP Top 10 und anderer allgemein anerkannter Standards sowie Sicherheitskontrollen wie Code-Analysen definieren. Darüber hinaus schulen wir unsere Entwickler und technischen Experten kontinuierlich in den besten Sicherheitsverfahren.
Cybersecurity-Versicherung aufrechterhalten
Das Unternehmen verfügt über eine Cybersicherheitsversicherung, um die Auswirkungen von Zwischenfällen zu mildern.
-
Datenschutz
Datenklassifizierung
Das Unternehmen verfügt über eine Richtlinie zur Informationssensibilität, um sicherzustellen, dass die Daten ordnungsgemäß klassifiziert, gesichert und auf befugtes Personal beschränkt werden.
Datenverschlüsselung
Sensible Daten werden während der Übertragung und im Ruhezustand verschlüsselt, wenn sie in unseren Systemen gemäß unserem Verschlüsselungs- und Hashing-Standard verarbeitet werden. Die Festplatten der Endgeräte werden durch MDM-Richtlinien verschlüsselt, und externe Festplatten, die für Geschäftszwecke verwendet werden, sind verschlüsselt.
Richtlinie zur Datenaufbewahrung eingeführt
Das Unternehmen verfügt über eine formelle Richtlinie zur Datenaufbewahrung, die auf Vorschriften und internen Standards basiert.
Kundendaten
Wir schützen Kundendaten im Rahmen unserer Richtlinien, die eine Trennung, Klassifizierung, Verschlüsselung, Aufbewahrung und Zugriffskontrolle vorsehen.
-
Sicherheit der Infrastruktur
Intrusion Detection System und Überwachung
IDS- und DDoS-Präventionsfunktionen sind in der lokalen und der Cloud-Infrastruktur implementiert. Endpunkt-Firewalls werden über MDM durchgesetzt. Darüber hinaus überwacht ein SOC die vor Ort installierten Kerngeräte, die EDR-Lösung und die Cloud-Umgebungen.
Beschränkter Zugriff auf die Produktionsinfrastruktur
Das Unternehmen beschränkt den privilegierten Zugang zu Betriebssystemen, Datenbanken, Produktionsnetzwerken und Verschlüsselungsschlüsseln auf autorisierte Benutzer, die einen geschäftlichen Bedarf haben.
Fernarbeit
Fernarbeit wird in Monks in Übereinstimmung mit unserer Sicherheitsrichtlinie für Fernarbeit eingeführt, um eine sichere Umgebung für unsere Daten und Prozesse zu gewährleisten. Technische Maßnahmen und die Sensibilisierung der Benutzer werden eingesetzt, um dieses Ziel zu erreichen.
Entzug des Zugangs bei Beendigung
Das Unternehmen führt sorgfältige Kündigungsverfahren durch, um den rechtzeitigen Entzug des Zugriffs für gekündigte Mitarbeiter in Übereinstimmung mit den Service Level Agreements (SLAs) sicherzustellen.
Verfahren zur Zugangskontrolle eingeführt
Wir implementieren Zugangskontrollen für alle unsere Umgebungen - physisch und logisch - und wenden dabei Maßnahmen an, die dem aktuellen Stand der Technik in Bezug auf Bedrohungen entsprechen, die zu einem unbefugten Zugang führen könnten. Die Kontrollmaßnahmen werden in regelmäßigen Abständen überprüft, um sie zu aktualisieren und ihre Genauigkeit zu erhalten.
Verwendetes Log-Management
Das Unternehmen zeichnet Protokolle auf und setzt sie in Beziehung zueinander, um Ereignisse zu erkennen, die sich möglicherweise auf die Fähigkeit des Unternehmens auswirken könnten, seine Sicherheitsziele zu erreichen.
Netzwerksegmentierung implementiert
Das Netzwerk des Unternehmens ist logisch segmentiert, um kritische Dienste und Daten zu trennen und Kundendaten zu schützen.
Eingesetzte Anti-Malware-Technologie
Wir implementieren eine Anti-Malware-Lösung (Antivirus der nächsten Generation [NGAV], Endpoint Detection and Response [EDR], Cyber Threat Intelligence, Managed Threat Hunting und Sicherheitshygiene) in allen unseren Geräten, die so konfiguriert ist, dass sie automatisch aktualisiert wird.
-
Das Monks Informationssicherheitsteam ist bei allen sicherheitsrelevanten Angelegenheiten oder Fragen über security@mediamonks.com zu erreichen
Lass uns die Zukunft jetzt verwirklichen.
Danke! Wir werden uns in Kürze bei dir melden.
Behalte deine E-Mail im Auge. Einer unserer Monks wird sich bald mit dir in Verbindung setzen.
EinreichenVereinbaren Sie einen Termin für eine Demo, um mit uns über Marketing und KI zu sprechen.
Danke! Wir werden uns in Kürze bei Ihnen melden.
Behalten Sie Ihre E-Mail im Auge. Einer unserer Monks wird sich bald mit Ihnen in Verbindung setzen.
EinreichenRequest a Meeting
Thanks! We'll be in touch shortly to discuss scheduling.
Keep an eye on your email. One of our monks will reach out to you shortly.
Book a MeetingLass unser digitales Herz höher schlagen
Abonniere unseren Newsletter mit Inspirationen zu den neuesten Trends, Projekten und vielem mehr.
Monks benötigt deine Kontaktinformationen, um dich über unsere Produkte und Dienstleistungen zu informieren. Du kannst dich jederzeit von diesen Mitteilungen abmelden. Informationen darüber, wie du dich abmelden kannst, sowie über unsere Datenschutzpraktiken und unser Engagement zum Schutz deiner Daten findest du in unseren Datenschutzrichtlinie.