在 Blue Yonder,我们致力于保护您的数据,因此我们的网络安全计划、相关安全实践和政策均基于美国国家标准与技术研究院(NIST)的网络安全框架(CSF)和国际标准化组织(ISO)标准。Blue Yonder 网络安全由以下团队组成:网络安全意识、培训与教育、网络安全治理、风险与合规、网络安全威胁与漏洞管理、网络安全架构与工程以及网络安全运营。
- 安全最佳实践
组织安全
安全意识
Blue Yonder 确保所有员工完成年度网络安全意识和数据隐私培训,其中包括对新兴风险的认识。该培训强化了保护数据和确保家庭和工作场所信息系统安全的最佳实践。
访问管理
在 Blue Yonder,我们支持通过正式流程来管理如何根据授权个人履行其工作职责所需的访问级别来授予其访问权限。访问权限按角色和最小特权原则提供。我们的控制措施包括多因素认证要求、使用唯一 ID 和强密码。我们将继续监测访问管理流程和控制措施的有效性。
治理和风险管理
我们对我们的安全性、隐私和合规控制进行独立验证。Blue Yonder 采用基于风险的方法进行网络安全风险管理,我们的方法支持规划、缓解和应对措施。我们的正式风险管理计划使我们能够通过评估和了解它们可能产生的影响来应对我们资产和资源所面临的威胁。我们还维护正式的供应商管理计划,包括供应商安全审查,以确保符合我们的网络安全目标。
数据保护
Blue Yonder 制定了《网络安全政策》、《访问控制政策》、《可接受使用政策》和《信息分类标准》,以规范组织在数据保护方面的责任和做法。我们一直致力于提升产品开发标准,并定期监控安全控制措施的有效性。我们的常规做法是对所有信息系统资产进行盘点、跟踪和管理。我们在各种环境中应用各种行业标准的加密技术,以确保静态数据和传输中数据的安全。
产品/应用程序安全
安全的软件开发是将风险降至最低的首要考虑因素。我们要求所有开发人员每年参加以最新安全最佳实践为重点的培训课程。在设计阶段,我们使用基于风险的威胁建模来识别潜在的安全问题。我们的应用程序分析包括多层次的测试,其中包括代码级别(静态分析)和应用程序级别(动态分析)的内部安全测试。通过进行内部测试和管理外部渗透测试,我们可以有效应对潜在威胁。此外,Blue Yonder 实施了结构化的开源扫描 (OSS) 管理流程。安全最佳实践已纳入我们的开发生命周期,因为这些措施旨在定期识别、管理、评估、缓解和/或修复漏洞。
漏洞管理
Blue Yonder 按照既定政策和程序中规定的频率进行漏洞扫描和修补。我们确保漏洞评估、补丁管理和威胁防护技术以及预定的监控程序旨在识别、评估、缓解和保护已识别的安全威胁、病毒及其他恶意代码。
安全运营中心(SOC)
Blue Yonder 拥有各种技术控制措施,适用于检测网络、端点和应用程序的潜在事件。Blue Yonder 制定基于 NIST 标准的安全事件响应计划来管理对安全事件的响应,并且至少每年进行一次测试。组织使用不同的数据中心位置,并利用集中式安全信息和事件管理(SIEM)解决方案来汇总和关联日志(来自系统文件、安全文件等),以便更深入地了解环境的安全性。通过 24x7 全天候威胁检测功能,可持续监控日志。