HID Origo 信息安全

HID Global 高度重视信息安全。 为保持客户信任,我们建立了一个全面的信息安全管理系统 (ISMS),以满足各种安全要求,始终提供值得信赖的身份安全服务。

安全人员

所有 HID 员工都必须完成信息安全和隐私意识培训。 对于可能处理敏感数据或客户数据的员工,将接受针对性的额外培训并获得政府安全认可(如需要)。 我们拥有一支由高技能安全专业人士组成的专业团队,其职能和职责包括:

ISMS 执行指导委员会

  • 满足 ISMS 的所有执行管理要求
  • 分配和授予信息安全相关的角色、责任和权限
  • 批准整体风险管理流程,包括风险评估方法、影响和可能性评估量表、风险接受标准、控制措施、剩余风险和接受的风险

业务部门指导委员会

  • 确保 ISMS 满足业务需求,为业务部门的产品和服务创造附加价值
  • 审查业务部门相关的风险管理流程
  • 审查 ISMS 政策、流程和程序

全球信息安全团队

  • 负责 ISMS 的整体实施、维护和改进
  • 根据已发布的策略、流程和程序调查、传达、记录和解决所有安全事件
  • 开发符合 HID Global 当前和未来业务需求的信息安全架构

政策

HID Global 制定了详细的内部信息安全和数据隐私政策。 所有人员必须确认已阅读、理解并同意遵守全球信息安全政策以及支持性政策和程序的条款。

评估

HID Global 致力于以分析驱动的方式积极保障网络安全。 我们的漏洞和威胁评估流程融入了持续的安全测试和改进。 我们会对所有 HID Origo 解决方案组件进行持续测试。此外,为最大限度确保安全,我们还会定期邀请外部安全审计人员进行安全审计。 目前进行中的应用程序和系统漏洞威胁评估包括:

  • 网络漏洞扫描
  • 与行业领先的独立第三方进行渗透测试和代码审查
  • 安全控制框架审查和测试

我们强烈建议客户采取一切可能的预防措施防止未授权访问。 如果发现漏洞,应联系 HID 全球技术支持直接向 HID Global 报告,非紧急情况下,应通过我们的安全中心向 HID Global 报告。

注意:事先未经授权,不得进行第三方漏洞和渗透测试。 我们负责确保系统平稳运行。 非受控测试可能对系统性能产生负面影响。

安全事件管理

HID Global 制定有安全事件管理政策和程序,会进行适当的根本原因分析并采取适当的纠正措施。 如果客户数据实际或合理怀疑遭到未授权披露,我们将在法律允许的范围内及时通知受影响的客户。 如果检测到安全事件,全球信息安全团队将采取必要措施,按照规定的程序评估、测试和解决问题:

  • 调查和诊断
  • 如果怀疑机密数据泄露或丢失,将报告上级
  • 采取纠正措施
  • 测试和验证
  • 如果发生上报,则对事件根本原因分析进行评估

我们如何打造安全的产品

我们拥有基于 SAFe(规模化敏捷框架)的敏捷软件开发生命周期流程,并将安全最佳实践整合到了各个环节。 以下是持续集成和部署程序的一些步骤

开发

源代码的静态代码分析和审计检查

测试

  • 应用程序安全测试和网络安全扫描
  • 安全测试结果审批

部署

  • 敏感数据屏蔽
  • 安全标准及实施审批
  • 架构和安全性的治理合规性检查
  • 生产和非生产环境的环境隔离

监控

  • 访问控制策略监控和审查
  • 防火墙策略实施和异常审查
  • 定期漏洞评估
  • 日志分析工具实施