Nozomi Networks Trust Center

Das Unternehmen hat eine umfassende Reihe von Sicherheitsrichtlinien entwickelt, die ein breites Spektrum von Themen abdecken. Diese Richtlinien werden allen Mitarbeitern und Auftragnehmern, die Zugang zu den Informationen von Nozomi Networks haben, mitgeteilt und zur Verfügung gestellt.

Eine der wichtigsten Komponenten der Personalsicherheit bei Nozomi Networks ist das Security Awareness Training Programm. Alle Mitarbeiter müssen dieses Training bei ihrer Einstellung und danach jährlich absolvieren. Darüber hinaus bietet das Sicherheitsteam regelmäßige Aktualisierungen des Sicherheitsbewusstseins über verschiedene Kanäle an.

Die Überprüfung der Mitarbeiter ist ein weiterer wichtiger Aspekt der Sicherheitspraktiken von Nozomi Networks. Das Unternehmen führt bei allen neuen Mitarbeitern Hintergrundüberprüfungen in Übereinstimmung mit den örtlichen Gesetzen durch. Diese Überprüfungen sind auch für Auftragnehmer erforderlich und umfassen die Überprüfung von Strafrecht, Ausbildung und Beschäftigung.

Alle neu eingestellten Mitarbeiter müssen Geheimhaltungs- und Vertraulichkeitsvereinbarungen unterzeichnen, um sensible Informationen zu schützen.

Nozomi Networks hat strenge Anforderungen für die Aufnahme und das Ausscheiden von Mitarbeitern, um den angemessenen Zugang (und den Entzug) zu den Informationswerten sicherzustellen.

Die Endgeräte, die mit den Systemen von Nozomi Networks verbunden sind, unterliegen strengen Kontrollen, insbesondere diejenigen, die Zugang zu sensiblen Informationen haben. Dies ist ein wesentlicher Bestandteil des gesamten IT-Sicherheitsrahmens.

Die kontinuierliche Überwachung protokolliert alle Datenbankzugriffe und sendet die Protokolle an ein zentrales System. Administrative Zugriffe, die Verwendung von privilegierten Befehlen und andere Zugriffsaktivitäten werden protokolliert und aufbewahrt. Die Protokolldaten sind vor Manipulationen und unberechtigtem Zugriff geschützt.

Server und endpoint wie Laptops und Desktops werden durch den Einsatz einer Reihe von Schutztools vor Malware, bösartigem Code und unsicheren Anwendungen geschützt und überwacht.

Der Zugang zu Büros, Computerräumen und Arbeitsbereichen mit sensiblen Informationen ist nur befugtem Personal gestattet. Die Mitarbeiter verwenden Zugangskarten, um die Büros zu betreten, und führen ein Besucherprotokoll. Es gibt Überwachungskameras und Sicherheitsmaßnahmen zur Überwachung der Gebäude. Es werden physische Sicherheitsprüfungen durchgeführt.

Die Richtlinie zur akzeptablen Nutzung von Technologie enthält die Richtlinien für die Nutzung von Technologieressourcen bei Nozomi Networks. Sie betont verantwortungsbewusstes und sorgfältiges Verhalten, um Unternehmenswerte vor Verlust, Kompromittierung oder Beschädigung zu schützen. Die Richtlinie deckt verschiedene Aspekte ab, wie z. B. Datenmanagement, Nutzung von E-Mail, Computern, Softwareinstallationen, Mobiltelefonen, Internetzugang, öffentlichem WLAN, VPN, Kommunikationsdiensten, Phishing-/Betrugs-E-Mails, Dropbox, Wechselmedien, Konten und Geheimnissen, Passwörtern, cloud und generativen KI-Modellen. Die Nichteinhaltung der Richtlinie kann zu Disziplinarmaßnahmen bis hin zur Kündigung des Arbeitsverhältnisses führen.

Die Zugriffskontrollrichtlinie legt Anforderungen für die Authentifizierung, Autorisierung und Abrechnung (AAA) fest, um die Sicherheit der Vermögenswerte und Informationsverarbeitungsanlagen Nozomizu gewährleisten. Sie schreibt vor, dass der Zugriff auf autorisiertes Personal beschränkt ist, basierend auf den Prinzipien der geringsten Privilegien und der Notwendigkeit der Kenntnis. Die Richtlinie umfasst die Verwaltung des Benutzerzugriffs, Systeme und Anwendungen, die Zugriffskontrolle sowie den Zugriff auf Netzwerke und gehostete Dienste. Sie enthält auch Bestimmungen zu Audit-Kontrollen, zur Registrierung und Abmeldung von Benutzern, zur Verwaltung privilegierter Zugriffsrechte und zur regelmäßigen Überprüfung von Zugriffsrechten. Die Richtlinie gilt für alle Nozomi und Auftragnehmer Nozomi sowie für alle Personen, die Zugriff auf die Ressourcen und das Netzwerk Nozomihaben.

Das Dokument zur KI-Richtlinie enthält Leitlinien für die Entwicklung, Implementierung, Nutzung und Überwachung von KI- und maschinellen Lerntechnologien (ML) innerhalb von Nozomi Networks. Es betont die verantwortungsvolle und ethische Entwicklung von KI-/ML-Systemen und gewährleistet die Einhaltung gesetzlicher Standards wie dem EU-KI-Gesetz. Die Richtlinie gilt für alle KI-/ML-Systeme, die in die Software und DiensteNetworks Nozomi Networksintegriert sind, sowie für KI-Tools von Drittanbietern, die innerhalb des Unternehmens verwendet werden. Zu den wichtigsten Grundsätzen gehören Fairness, Transparenz, Datenschutz und Sicherheit. Die Richtlinie gilt für alle Mitarbeiter, Auftragnehmer und Drittanbieter und zielt darauf ab, Innovationen zu ermöglichen und gleichzeitig die gesetzlichen und regulatorischen Anforderungen einzuhalten.

Die Business Continuity Policy beschreibt den Rahmen und die Anforderungen für den Business Continuity Plan (BCP)Networks Nozomi Networks, der eine konsistente Verfügbarkeit und Bereitstellung von Produkten, Betriebsabläufen und Dienstleistungen gewährleistet und gleichzeitig die Sicherheit der Mitarbeiter bei Katastrophen oder Störungen gewährleistet. Die Richtlinie betont das Engagement der Führungskräfte, Rollen und Verantwortlichkeiten, Risikobewertung, Kommunikationsplan, Kontinuitäts- und Wiederherstellungsziele, Notfallwiederherstellungsplan, funktionalen Business Continuity Plan, Übungen und Tests, Leistungsbewertung, kontinuierliche Verbesserung und die Einhaltung gesetzlicher und vertraglicher Verpflichtungen.

Die Change-Management-Richtlinie beschreibt die Verantwortlichkeiten und Verfahren für die Verwaltung von Änderungen an den InformationsressourcenNetworks Nozomi Networks, darunter physische und virtuelle Netzwerkgeräte, Softwareprodukte, interne Informationssysteme und vom Kunden bereitgestellte Anwendungen. Sie betont, wie wichtig es ist, Änderungen zu identifizieren, zu verfolgen, zu planen, zu testen und zu genehmigen, während gleichzeitig potenzielle Risiken bewertet und Details an die relevanten Stakeholder kommuniziert werden. Die Richtlinie enthält auch Ausweichverfahren für den Abbruch und die Wiederherstellung nach fehlgeschlagenen Änderungen und schreibt vor, dass alle Ausnahmen, die die Sicherheit betreffen, vom zuständigen Manager geprüft und genehmigt werden müssen. Diese Richtlinie gilt für alle Mitarbeiter und Auftragnehmer, die an der Entwicklung, Verwaltung und Unterstützung dieser Ressourcen beteiligt sind.

Die Richtlinie zum Umgang mit Daten enthält die Leitlinien für die Verwaltung und den Schutz von Daten bei Nozomi Networks. Sie umfasst die Klassifizierung, Entsorgung und Aufbewahrung von Daten und stellt sicher, dass alle Daten, unabhängig davon, ob sie physisch oder virtuell gespeichert sind, sicher behandelt werden. Die Richtlinie schreibt die Verschlüsselung sensibler Daten, regelmäßige Audits und eine ordnungsgemäße Kennzeichnung vor. Außerdem legt sie die Aufbewahrungsfristen für verschiedene Arten von Daten und die sichere Entsorgung von Aufzeichnungen und Speichermedien fest. Die Richtlinie gilt für alleNetworks und Auftragnehmer Nozomi Networks und betont die Bedeutung des Datenschutzes, um unbefugten Zugriff oder Verstöße zu verhindern.

Die Verschlüsselungsrichtlinie beschreibt die kryptografischen Kontrollen und Schlüsselverwaltungsverfahren zum Schutz sensibler Informationen bei Nozomi Networks. Sie schreibt die Verwendung modernster kryptografischer Lösungen für gespeicherte und übertragene Daten vor, basierend auf internationalen Standards wie NIST SP 800-131a und zugelassenen Algorithmen wie AES für Vertraulichkeit und SHA-256 für Integrität. Die Richtlinie gilt für verschiedene Arten von Informationen, darunter Kundendaten, personenbezogene Daten, Passwörter, geistiges Eigentum und Compliance-Aufzeichnungen. Sie legt außerdem fest, dass Verschlüsselungsmechanismen den regulatorischen und gesetzlichen Anforderungen entsprechen und von der IT-Abteilung oder dem CTO genehmigt werden müssen.

Die Personal-Sicherheitsrichtlinie beschreibt die Verfahren und Richtlinien für die Verwaltung der Einstellung, Schulung und Kündigung von Mitarbeitern und Auftragnehmern bei Nozomi Networks. Sie umfasst Hintergrundüberprüfungen, vertragliche Vereinbarungen und obligatorische Schulungen zur Informationssicherheit für alle Mitarbeiter. Die Richtlinie beschreibt auch die Verantwortlichkeiten von Mitarbeitern, Führungskräften, Compliance- und IT-Abteilungen bei der Sicherstellung der rechtzeitigen Absolvierung von Schulungen und der Durchsetzung von Zugriffsbeschränkungen bei Nichteinhaltung. Darüber hinaus behandelt sie den Kündigungsprozess, einschließlich der sofortigen Sperrung des Zugriffs auf Unternehmensinformationen und -einrichtungen sowie der Rückgabe von Unternehmenseigentum. Die Richtlinie ist klassifiziert und vertraulich.

Die Informationssicherheitsrichtlinie beschreibt das EngagementNetworks Nozomi Networksfür die Entwicklung, Bereitstellung und den Betrieb von Cybersicherheits- und Transparenzlösungen für industrielle Steuerungssysteme mit einem Höchstmaß an Sicherheit, Integrität und Verfügbarkeit. Die Richtlinie zielt darauf ab, Unternehmensinformationen, personenbezogene Daten und Kundendaten vor Verlust, unbefugtem Zugriff und Offenlegung zu schützen. Um dies zu erreichen,Networks Nozomi Networks ein Informationssicherheits-Managementsystem (ISMS) gemäß der Norm ISO 27001:2022 implementiert. Das ISMS umfasst anwendbare Richtlinien, Prozesse und messbare Kontrollen, die für die Geschäftsfunktionen relevant sind, und berücksichtigt Kundenanforderungen, vertragliche Vereinbarungen und die Bedürfnisse interessierter Parteien. Die Richtlinie betont das Engagement der Führungskräfte, regelmäßige Risikobewertungen und kontinuierliche Verbesserungen, um das Vertrauen der Stakeholder zu erhalten und die Geschäftsziele zu unterstützen.

Das Dokument „Office Management Procedure“ (Verfahren zur Büroverwaltung) beschreibt die Anforderungen für den Zugang von Gästen, die Ausgabe von Ausweisen und die Zugangskontrolle zum Computerraum bei Nozomi Networks. Es legt fest, dass sich alle Gäste bei ihrer Ankunft beim Büroleiter melden müssen und dass ihre Besuchsdaten in einem Besucherprotokoll erfasst werden. Der Büroleiter ist für die Verwaltung des Zugangs zu den Büros und die Ausgabe von Ausweiskarten an Mitarbeiter und mehrtägige Besucher verantwortlich. Der IT-Manager kontrolliert den physischen Zugang zum Computerraum und stellt sicher, dass nur autorisiertes Personal Zutritt erhält. Das Dokument enthält auch Verweise auf das Verfahren zur Bürosicherheit – Ausgabe von Ausweisen und betont die Bedeutung der Aufrechterhaltung eines sicheren Zugangskontrollsystems.

Die Richtlinie zur Betriebssicherheit beschreibt die Maßnahmen zur Gewährleistung der Sicherheit, Verfügbarkeit und Integrität der InformationsressourcenNetworks Nozomi Networks. Sie umfasst die Kontrolle kritischer Systeme, die Kontrolle der Systemumgebung, Überwachung und Protokollierung, Sicherung und Wiederherstellung, Schwachstellenmanagement und sichere Konfiguration. Die Richtlinie schreibt vor, dass alle mit dem Systembetrieb befassten Mitarbeiter die dokumentierten Verfahren für Änderungen, Softwareinstallationen und Patches einhalten müssen. Außerdem betont sie die Bedeutung der Trennung von Betriebsumgebungen, der Aktivierung von Protokollierungs- und Überwachungsfunktionen, regelmäßiger Backups, Schwachstellenbewertungen und der Implementierung robuster Zugriffskontroll- und Netzwerksicherheitsmaßnahmen. Die Richtlinie gilt für alle Mitarbeiter und Auftragnehmer.

Die Richtlinie zur physischen Sicherheit gewährleistet die physische Sicherheit allerNetworks und Informationsverarbeitungszentren von Nozomi Networks . Sie umfasst ausgewiesene Sperrbereiche, physische Zugangsaufzeichnungen, Zugangskontrolle, Gerätesteuerung, Besucherkontrolle, Clear-Desk-Richtlinie und Vorfallmanagement. Die Richtlinie schreibt vor, dass Zugangskontrollen implementiert und aufrechterhalten werden, Zugangsaufzeichnungen geführt werden, Geräte geschützt werden, Besucher begleitet werden und Vorfälle umgehend untersucht und gelöst werden. Die Richtlinie gilt für alleNetworks und AuftragnehmerNetworks Nozomi Networks .

Die Datenschutzrichtlinie beschreibt das EngagementNetworks Nozomi Networkszum Schutz personenbezogener Daten und zur Einhaltung der einschlägigen Datenschutzgesetze. Sie umfasst die Erhebung, Verwendung und Sicherung personenbezogener Daten und betont Grundsätze wie Datenqualität, Zweckbindung, Verwendungsbeschränkung, Sicherheitsvorkehrungen, Offenheit, individuelle Beteiligung und Rechenschaftspflicht. Die Richtlinie beschreibt auch die Rechte des Einzelnen, darunter das Recht auf Information, Zugang, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch sowie Rechte im Zusammenhang mit automatisierten Entscheidungsprozessen und Profiling. Insgesamt zielt die Richtlinie darauf ab, Transparenz zu wahren und Vertrauen bei den Interessengruppen aufzubauen, indem sie international anerkannte Standards für den Datenschutz einhält.

Die Qualitätspolitik von Nozomi Networks , das Unternehmen als weltweit führenden Anbieter von fortschrittlichen Lösungen zum Schutz von Betriebstechnologie (OT) und industriellen Steuerungssystemen (ICS) vor Cyber-Bedrohungen zu etablieren. Um dies zu erreichen,Networks Nozomi Networks ein Qualitätsmanagementsystem (QMS) gemäß den Normen ISO 9001:2015 implementiert. Dieses System stellt sicher, dass Prozesse so verwaltet werden, dass sie den Anforderungen von Kunden und Stakeholdern entsprechen, unabhängig von der Größe und Präsenz des Unternehmens. Alle Mitarbeiter und Auftragnehmer sind für die Einhaltung des QMS und der geltenden Gesetze und Vorschriften verantwortlich. Das Unternehmen verpflichtet sich zu kontinuierlicher Verbesserung, indem es Ziele festlegt, Ergebnisse überprüft und bei Bedarf Korrekturmaßnahmen ergreift.

Die Richtlinie zum Umgang mit Sicherheitsvorfällen beschreibt die Verfahren zur Behandlung von Vorfällen im Bereich der Informationssicherheit bei Nozomi Networks. Sie gilt für alle Mitarbeiter, Auftragnehmer, Systeme, Produkte, Dienstleistungen und alle vom Unternehmen verwalteten Informationen. Die Richtlinie betont die Verantwortung der Mitarbeiter und Auftragnehmer, vertrauliche Informationen zu schützen, Cyber-Bedrohungen zu melden und sich an Maßnahmen zur Eindämmung zu beteiligen. Das Vorfallmanagement umfasst die Erkennung, Eindämmung, Untersuchung, Beseitigung, Wiederherstellung und die gewonnenen Erkenntnisse. Die Reaktion auf Vorfälle erfolgt nach dokumentierten Verfahren und Berichtsmethoden, die dem Standard NIST 800-61 entsprechen. Die Vertraulichkeit wird während des gesamten Prozesses gewahrt, wobei die Geschäftsleitung befugt ist, bestimmte Informationen an Dritte weiterzugeben.

Die Richtlinie zur Systementwicklung, -beschaffung und -wartung beschreibt die Verfahren und Standards für die Entwicklung, Beschaffung und Wartung von Systemen, Software und Anwendungsdiensten bei Nozomi Networks. Sie betont die Einbeziehung von Informationssicherheitsanforderungen in allen Phasen der Planung, Entwicklung und Bereitstellung neuer Produkte, Dienste oder Systeme. Die Richtlinie schreibt eine formale Entwicklungsmethodik vor, die sich an Branchenstandards wie ITIL, DevOps und Agile orientiert und Phasen wie Anforderungserfassung, Systemdesign, Implementierung, Test, Bereitstellung, Betrieb und Wartung umfasst. Darüber hinaus behandelt sie den End-of-Life-Prozess für IT-Anwendungen und die Kriterien für die Systembeschaffung, um die Sicherheit und die Einhaltung von Vorschriften und Branchenstandards zu gewährleisten.

Die Telearbeitsrichtlinie enthält die Leitlinien für Mitarbeiter und Auftragnehmer, die von anderen Standorten als einem bestimmtenNetworks Nozomi Networks aus arbeiten. Sie umfasst Zulassungskriterien, Arten von Telearbeitsvereinbarungen, Bereitschaftsbewertung, Telearbeitsrichtlinien, Bereitstellung von Ausrüstung, Sicherheitsmaßnahmen und Arbeitsunfallversicherung. Die Richtlinie betont die Bedeutung der Aufrechterhaltung einer sicheren und ablenkungsfreien Arbeitsumgebung, des Schutzes von Unternehmensvermögen und -informationen sowie der Einhaltung spezifischer Sicherheitsprotokolle. Sie legt außerdem fest, dass Telearbeiter durch eine Arbeitsunfallversicherung für arbeitsbedingte Verletzungen abgesichert sind.

Wir beginnen damit, das Risiko zu identifizieren und zu verstehen, wie es mit den Dienstleistungen und dem Unternehmen von Nozomi Networks zusammenhängt.

Anschließend bewerten oder ordnen wir das Risiko ein, um einen ganzheitlichen Überblick über die potenzielle Gefährdung des gesamten Unternehmens zu erhalten.

Auf der Grundlage der Bewertung behandeln wir die Risiken nach dem entsprechenden Risikobehandlungsverfahren.

Schließlich überwachen und überprüfen wir kontinuierlich die Risiken, um alle Risikofaktoren genau im Auge zu behalten.