HID Global 高度重视信息安全。 为保持客户信任,我们建立了一个全面的信息安全管理系统 (ISMS),以满足各种安全要求,始终提供值得信赖的身份安全服务。
安全人员
所有 HID 员工都必须完成信息安全和隐私意识培训。 对于可能处理敏感数据或客户数据的员工,将接受针对性的额外培训并获得政府安全认可(如需要)。 我们拥有一支由高技能安全专业人士组成的专业团队,其职能和职责包括:
ISMS 执行指导委员会
- 满足 ISMS 的所有执行管理要求
- 分配和授予信息安全相关的角色、责任和权限
- 批准整体风险管理流程,包括风险评估方法、影响和可能性评估量表、风险接受标准、控制措施、剩余风险和接受的风险
业务部门指导委员会
- 确保 ISMS 满足业务需求,为业务部门的产品和服务创造附加价值
- 审查业务部门相关的风险管理流程
- 审查 ISMS 政策、流程和程序
全球信息安全团队
- 负责 ISMS 的整体实施、维护和改进
- 根据已发布的策略、流程和程序调查、传达、记录和解决所有安全事件
- 开发符合 HID Global 当前和未来业务需求的信息安全架构
政策
HID Global 制定了详细的内部信息安全和数据隐私政策。 所有人员必须确认已阅读、理解并同意遵守全球信息安全政策以及支持性政策和程序的条款。
评估
HID Global 致力于以分析驱动的方式积极保障网络安全。 我们的漏洞和威胁评估流程融入了持续的安全测试和改进。 我们会对所有 HID Origo 解决方案组件进行持续测试。此外,为最大限度确保安全,我们还会定期邀请外部安全审计人员进行安全审计。 目前进行中的应用程序和系统漏洞威胁评估包括:
- 网络漏洞扫描
- 与行业领先的独立第三方进行渗透测试和代码审查
- 安全控制框架审查和测试
我们强烈建议客户采取一切可能的预防措施防止未授权访问。 如果发现漏洞,应联系 HID 全球技术支持直接向 HID Global 报告,非紧急情况下,应通过我们的安全中心向 HID Global 报告。
注意:事先未经授权,不得进行第三方漏洞和渗透测试。 我们负责确保系统平稳运行。 非受控测试可能对系统性能产生负面影响。
安全事件管理
HID Global 制定有安全事件管理政策和程序,会进行适当的根本原因分析并采取适当的纠正措施。 如果客户数据实际或合理怀疑遭到未授权披露,我们将在法律允许的范围内及时通知受影响的客户。 如果检测到安全事件,全球信息安全团队将采取必要措施,按照规定的程序评估、测试和解决问题:
- 调查和诊断
- 如果怀疑机密数据泄露或丢失,将报告上级
- 采取纠正措施
- 测试和验证
- 如果发生上报,则对事件根本原因分析进行评估
我们如何打造安全的产品
我们拥有基于 SAFe(规模化敏捷框架)的敏捷软件开发生命周期流程,并将安全最佳实践整合到了各个环节。 以下是持续集成和部署程序的一些步骤
开发
源代码的静态代码分析和审计检查
测试
- 应用程序安全测试和网络安全扫描
- 安全测试结果审批
部署
- 敏感数据屏蔽
- 安全标准及实施审批
- 架构和安全性的治理合规性检查
- 生产和非生产环境的环境隔离
监控
- 访问控制策略监控和审查
- 防火墙策略实施和异常审查
- 定期漏洞评估
- 日志分析工具实施