RWS 的安全性
在 RWS,我们深知信息安全对客户非常重要。作为一个跨国组织,我们采用 ISO 27001 框架来构建信息安全管理系统 (ISMS)。
RWS 使用这个获得行业广泛认可的框架为满足客户的要求打下了牢固的基础。通过这种方法,我们的许多产品、服务以及支持人员、流程和技术都获得了 ISO27001:2013 认证。有关更多详细信息,请参阅我们当前的 ISO27001 证书。
在此页面上,除了产品特定的安全相关文档之外,我们还添加了一些高级信息安全政策。如果您对信息安全有任何疑问,请联系我们。
常见问题
请介绍一下你们对提供商/供应商的初步筛选和风险评估流程。
RWS 的采购流程要求新供应商在入职前接受安全风险评估。我们根据一系列标准为供应商分配风险类别,包括:供应商所提供商品/服务的关键性以及所访问信息或设施的敏感性。
RWS 是否有供应商安全管理计划?
有,RWS 的全球供应商安全管理政策规定了第三方供应商需遵守的安全要求。
请介绍一下你们如何识别和管理 IT 系统中的信息安全漏洞,包括更改管理流程。
RWS 每月对面向公众的基础设施进行漏洞扫描。根据全球安全测试政策,对漏洞进行风险评估并采取适当的缓解措施。信息安全团队的一名成员参与全球 IT 变更咨询委员会,以评估拟议的变更对安全性的影响。
请介绍一下你们如何在整个系统开发生命周期中保护应用程序,包括如何开发和测试应用程序的变更。
RWS 的集团安全软件开发生命周期政策规定了如何安全地开发产品。安全性自始至终融入到每个开发步骤,从需求收集、设计、实施、验证到发布。所有更改在发布前都已经过测试。
你们是否使用工具跟踪事件、变更和问题?
是的,RWS 同时使用服务中心和 ServiceNow 来跟踪从提出需求申请到分配人员和解决问题的整个工作流。根据事件/变更或问题的严重程度应用 SLA
RWS 是否有“接受使用政策”?
有。RWS 有 IT 安全和接受使用政策
客户数据保留政策有什么规定?
RWS 仅在对于履行服务必要长的时间内和合同中约定的任何情况下保留客户数据。
有资产管理流程吗?
有,RWS 有专门的软件和资产管理 (SAM) 团队,在 RWS 网络上使用名为 Lansweeper 和 Flexera 的资产工具。Lansweeper 会自动检测并记录 RWS 公司网络上的项目,包括负责人、资产类型、安装的软件、保修和配置等详细信息,所有资产都有相应的负责人。
有补丁管理流程吗?
有,补丁将通过集中管理的补丁应用程序自动应用到端点。每年至少使用更新为服务器打一次补丁。通常,补丁将在例行的每月维护窗口期间执行,其他类型的补丁(如 SQL、反病毒程序)将在需要时临时执行,但在执行前应在开发或模拟系统(如果有此类系统)上进行测试。
有变更管理流程吗?
有,变更管理角色和职责通过 CAB 流程管理,其中包括管理人员以及相关方(包括 IT 和任何 RWS 系统测试人员),任何系统变更在实施和/或部署之前都已经过测试。紧急变更的执行流程与标准变更管理流程相同,确保变更被妥善记录、测试、商定和实施。实施变更是发布管理人员的职责,但整个流程由 CAB 负责。
RWS 是否根据最低特权原则对逻辑访问请求实施正式的审批流程?
是的,RWS 有逻辑访问政策,规定了用于管理逻辑访问的流程。
是否有经管理层批准的风险评估计划,并传达给相关员工和维护计划的指定负责人?
有,RWS 的风险评估计划由 RWS 执行层负责,并传达给相关员工
请介绍一下 RWS 安全风险管理计划的关键要素
集团安全风险管理政策概述了 RWS 的安全风险管理计划。其中包含识别和管理安全风险的方法,包括:资产识别、影响性分析、风险评估、控制措施的识别和应用,以及控制措施有效性的监控。我们会定期评估风险,或者在发生可能影响 RWS 信息或资产的保密性、完整性或可用性的重大变化时进行评估。风险管理流程由安全治理、风险和合规经理以及信息安全指导委员会酌情监督和管理。
RWS 是否考虑数据隐私?
是的,RWS 非常重视数据隐私。有关隐私信息,请访问 www.rws.com/cn/about/privacy
RWS 有 ISO 27001 认证吗?
有,客户可以在 www.rws.com/cn/security 上查看我们的 ISO 27001 认证
RWS 有 SOC 2 Type II 认证吗?
有,RWS 云运营托管的 RWS 软件在我们的 SOC 2 Type II 报告范围内。可应要求提供报告的执行摘要。
有既定、已发布和每年批准的安全计划吗?
有。RWS 的信息安全计划由首席信息官负责,全年由执行级信息安全指导委员会管理,以确保继续支持业务目标。
RWS 是否有专门的信息安全负责人和/或负责信息安全的团队?
有。RWS 的首席信息官是信息安全的执行发起人。一支由 RWS 安全治理、风险和合规经理领导的小型团队负责管理 RWS 的信息安全管理系统并确保其持续满足安全要求。
是否有经过管理层批准,并传达给所有人员的信息安全政策?
有,RWS 的信息安全政策由执行发起人批准和签署以确保信息安全,并规定了高级安全要求,使 RWS 能够维护和持续开发信息安全管理系统。
请列出你们的信息安全政策。你们会定期审查和更新这些政策,并提供给全体 RWS 员工吗?
我们至少每年审查政策一次。在 NDA / MNDA 审计期间,客户可以在现场或远程查看内部文档。
RWS 集团 ISMS 信息安全政策
RWS 集团信息安全政策
RWS 集团安全风险管理政策(内部)
RWS 集团安全测试政策(内部)
RWS 集团逻辑访问政策(内部)
RWS 集团业务连续性政策(内部)
RWS 集团全球分类和处理政策(内部)
RWS 集团信息安全事件管理政策(内部)
RWS 集团物理安全政策(内部)
RWS 集团隐私政策(内部)
RWS 集团 IT 系统政策(内部)
RWS 集团密码控制政策(内部)
RWS 集团供应商安全性管理政策(内部)
RWS 集团安全软件开发政策(内部)
RWS 集团 ISMS 可接受使用政策(内部)
RWS 集团 ISMS 安全例外政策(内部)
我们的政策发布在公司内部网上,并向所有 RWS 员工提供,政策通过强制性安全和隐私意识培训定期传达给 RWS 员工。
你们公司有网络安全保险吗?
有
RWS 有安全政策例外流程和政策吗?
是的。RWS 有安全例外政策和流程。
对于违反信息安全政策和程序的员工,是否有正式的纪律处分程序?
有,任何违反信息安全政策的行为将由全球信息安全团队进行审查和调查,随后将其转交给管理层和相关人力资源团队,以便在必要时进一步调查和采取行动。处罚取决于事件的严重程度,并可能招致纪律处分,情节严重者将予以解雇。
RWS 是否有监控相关司法管辖区的法规要求变更,并调整安全计划以确保合规性的流程?
RWS 的法律部门会监控适用于 RWS 的相关法律和法规要求。与信息安全相关的法规要求将由法律部门主管与全球信息安全主管进行讨论,并酌情对安全计划进行变更。
RWS 是否有书面程序来响应政府或第三方的租户数据请求?
任何此类合法请求将由我们的法律团队处理,并将考虑任何合同义务和法律要求。
RWS 是否有已发布和传达的信息安全事件响应政策和程序?
有,RWS 已发布集团信息安全事件管理政策,所有员工均可通过 RWS 内部网访问,包括但不限于:监控和准备、识别、遏制、缓解、恢复和跟进。
RWS 是否有事件响应/数据泄露流程?
有,RWS 已发布集团信息安全事件管理政策,所有员工均可通过 RWS 内部网访问,包括但不限于:监控和准备、识别、遏制、缓解、恢复和跟进。
RWS 是否有识别事件及其常见攻击途径的流程,以及事件检测机制?
有,RWS 的网络供应商会监控流量,并在发生异常活动时发出警报,同时 RWS 在网络的关键区域部署 IDS/IPS 来检测和防止入侵。端点装有适当的预防/检测软件。
你们会定期为所有员工和顾问提供信息安全意识培训吗?
是的。信息安全意识培训是 RWS 人员、承包商和自由译员入职流程的重要组成部分。此后,我们每年通过专门的学习模块向所有员工提供基于计算机的信息安全培训。此外,作为年度行为准则培训的一部分,并通过频繁的“考虑安全性”活动,提供信息安全意识培训。
RWS 会对员工进行背景调查吗?
是的。所有新入职员工都要接受身份和“工作适合性”调查。根据员工的岗位或国家义务的要求,我们可能会根据相关法律进行进一步的背景调查。
RWS 会对自由译员进行背景调查吗?
RWS 的自由译员不受标准背景调查的约束。但是,我们与自由译员签订了供应商协议,其中包括须遵守的最低安全措施,客户可根据合同约定要求对自由译员进行保密和背景筛查,但须遵守当地法律。
RWS 在员工入职和解雇流程中是否考虑信息安全?
是的,所有新入职员工都需要完成强制性信息安全意识培训和行为准则培训(也包括安全要素)。解雇时,提醒员工在离职后应履行的安全责任。所有资产均被收回,账户被中止,等待审查和删除。
RWS 是否有数据销毁和媒体清理流程?
有,RWS 的集团分类和处理政策涵盖了数据销毁和媒体清理事宜。该政策的具体流程由各自的技术负责人实施和维护。