信息安全与合规

成就

我们的流程和路线图

• ISO27001:2022

• TISAX

• 英国网络安全基本要素

• 流程统一二级报告

• 安全控制

• ISO27001:2022

  • ISO27001:2022

    我们的全球信息安全管理系统已通过ISO27001 标准认证。该认证意味着 Monks 已按照 ISO27001:2022 标准实施并维护严格的安全计划，拥有管理敏感信息的系统方法，并已实施控制措施，以防止未经授权的访问、滥用、披露或销毁。该认证为我们的客户、利益相关者和合作伙伴提供了保证，即我们已采取适当措施保护他们的信息。

    ISO 27001 包含 14 个部分的控制措施：信息安全政策、信息安全组织、人力资源安全、资产管理、访问控制、密码学、物理和环境安全、运营安全、通信安全、系统采购、开发和维护、供应商关系、信息安全事件管理以及业务连续性管理的信息安全方面。

• TISAX

  • TISAX

    我们致力于遵守汽车行业的信息安全标准，通过TISAX（可信信息安全评估交换）认证，我们可以处理来自客户的敏感信息。

    TISAX 评估涵盖广泛的信息安全主题，包括访问控制、数据保护、事故管理、业务连续性和物理安全。TISAX 认证为汽车行业的信息安全评估提供了标准化的公认方法，有助于改善该行业企业的整体安全状况。它还通过提供一个可信的数据共享平台，促进公司之间敏感信息的交流。

• 英国网络安全基本要素

  • 英国网络安全基本要素

    Monks 英国办事处通过了英国网络基本要素计划认证，该计划是由英国政府制定的一套指导方针，旨在帮助企业和组织保护自身免受常见的网络威胁。该指南基于五项关键原则：确保互联网连接安全、确保设备和软件安全、控制数据和服务访问权限、防止病毒和其他恶意软件入侵、保持设备和软件最新。

• 流程统一二级报告

  • ProcessUnity（前 CyberGRX）二级报告

    Monks 已成功完成ProcessUnity第 2 级评估，证明在此第三方风险管理框架内具有充分的安全态势。

• 安全控制

  • 安全控制

    我们制定了保障措施，以避免并最大限度地降低任何安全风险。这些保护措施涵盖四个主要方面：组织安全、内部安全、基础设施安全和数据保护。详细了解这些控制措施。

  • 组织安全

    制定和审查安全政策

    我们的信息安全框架符合 ISO27001 标准，其中包括 20 多项政策以及其他标准和程序，每年至少对这些政策和程序进行一次审查。

    信息安全管理系统

    我们的全球信息安全管理系统符合 ISO27001 标准，确保持续审计和改进。

    网络安全风险管理

    我们持续管理网络安全风险，识别、评估和处理可能影响数据保护的风险。

    信息安全团队

    一支全球团队专门负责网络安全、信息安全合规、治理和风险管理。

    进行员工背景调查

    考虑到员工的数据访问和处理情况，根据当地法律和角色的重要性进行背景调查。

    实施安全意识培训

    公司要求员工完成强制性安全意识培训，并对培训内容进行持续维护和更新。新员工在入职时将接受安全培训和最佳实践。

    确认保密协议

    在聘用或入职时，公司要求承包商和员工签署保密协议，确认他们对敏感信息保密的承诺。与第三方也会签署保密协议。

  • 内部安全程序

    漏洞管理

    在蒙克斯，我们对技术漏洞进行管理，对基础设施和端点实施持续升级和更新。 对我们的网络和设备进行定期分析（和必要的修复）。

    制定事件响应政策

    公司制定了事件响应政策和程序，以指导安全事件管理。确定的流程包括记录、跟踪、解决安全和隐私事件并与相关方沟通的步骤。确定吸取的经验教训，以防止未来发生事故。

    确定、记录和跟进事件管理的改进机会。

    访问控制

    根据需要向用户授予权限。权限只授予被指派担任管理角色的员工，并在用户生命周期内密切跟进。定期进行访问审查，以确保用户拥有正确的访问权限。

    执行密码政策

    公司要求遵守其在范围内系统组件上配置密码的政策。此外，该政策还就密码的复杂性、长度和定期更新制定了具体要求，以确保采取强有力的安全措施。

    备份方法

    公司根据风险、影响和业务要求实施备份计划，以保护有价值的信息免遭丢失。

    供应商管理

    公司与供应商和第三方签订正式协议，其中包括针对每个实体的保密和隐私承诺。

    我们对第三方风险进行管理，以确保这些供应商在与 Monks 合作期间妥善保管信息。

    变更管理程序

    在生产环境中执行适当控制的变更管理，以确保关键变更适当、有效、得到适当授权，并以尽量减少意外影响的方式执行。

    确定管理角色和职责

    蒙克斯已正确确定和分配信息安全方面的角色和责任，以实现正确的职责分工和问责制。

    物理访问控制

    对设施的安全边界进行了界定，并实施了控制措施，以根据需要授权访问。为一般入口、敏感区域和服务器机房指定了不同的边界。此外，还制定了访问管理流程，以授予和撤销相应的权限。

    安全开发生命周期

    我们实施安全软件开发生命周期（SSDLC），根据 OWASP Top 10 和其他广泛认可的标准以及代码分析等安全控制方法，确定安全最佳实践。 我们还对开发人员和技术专家进行持续的安全最佳实践培训。

    维护网络安全保险

    公司购买了网络安全保险，以减轻事故的影响。

  • 数据保护

    数据分类

    公司制定了信息敏感性政策，以帮助确保数据得到适当分类、安全保护并仅限授权人员使用。

    数据加密

    在我们的系统中处理敏感数据时，会按照我们的加密和散列标准对传输和静态数据进行加密。端点磁盘通过 MDMs 政策进行加密，用于业务目的的外部磁盘也进行加密。

    制定数据保留政策

    公司根据法规和内部标准制定了正式的数据保留政策。

    客户数据

    我们根据政策保护客户数据，其中包括隔离、分类、加密、保留和访问控制。

  • 基础设施安全

    入侵检测系统和监控

    在内部部署和云基础设施上实施 IDS 和 DDoS 防范功能。端点防火墙通过 MDM 实施。此外，SOC 还对内部核心设备、EDR 解决方案和云环境进行监控。

    生产基础设施访问受限

    公司限制有业务需求的授权用户访问操作系统、数据库、生产网络和加密密钥。

    远程办公

    蒙克斯公司根据安全远程工作政策实施远程工作，以确保数据和流程的安全环境。为实现这一目标，我们采取了技术措施并提高了用户意识。

    终止时撤销访问权限

    公司严格执行终止程序，确保按照服务水平协议（SLA）及时撤销被终止员工的访问权限。

    建立访问控制程序

    我们对所有环境（物理和逻辑环境）实施访问控制，并根据可能导致未经授权访问的威胁的当前技术水平采取相应措施。我们会定期审查控制措施，以便对其进行更新，保持其准确性。

    利用日志管理

    公司记录并关联日志，以检测可能影响组织实现安全目标能力的事件。

    实施网络分段

    对公司网络进行逻辑分段，以隔离关键服务和数据，保护客户数据。

    采用反恶意软件技术

    我们在所有设备中实施反恶意软件解决方案（下一代杀毒软件 [NGAV]、端点检测和响应 [EDR]、网络威胁情报、托管威胁捕猎功能和安全卫生），并将其配置为自动更新。