在 Blue Yonder,我們致力於保護您的數據,因此我們的網路資安計畫、相關的資安實作和政策都是基於美國國家標準與技術研究院 (NIST)、網路資安框架 (CSF) 和國際標準化組織 (ISO) 的標準。Blue Yonder Cybersecurity 由下列團隊組成:網路安全意識、訓練與教育、網路安全治理、風險與合規、網路安全威脅與漏洞管理、網路安全架構與工程和網路安全營運。
組織資安
資安意識
Blue Yonder 確保所有員工完成年度網路安全意識和數據隱私權培訓,其中包括對新興風險的認識。該培訓強化了保護數據並確保家中和 工作中資訊系統安全的最佳實務。
存取管理
在 Blue Yonder,我們透過正式流程管理授權人員的存取權限,依據其執行職務所需的權限等級授予相應存取權限。存取權是根據角色和最低權限原則來配置的。我們的控制措施包括多因素驗證要求、使用唯一識別碼及強密碼。我們持續監控存取管理流程與控制措施的有效性。
治理與風險管理
我們會接受第三方獨立驗證,以審查我們的資安、隱私權與合規控制措施。Blue Yonder 採用以風險為基礎的網路安全風險管理方法,我們的方法論支援規劃、緩解與反制措施。 我們具備完善的風險管理計畫,能透過評估並瞭解潛在影響,來因應對資產和資源可能的威脅。我們也維持完善的供應商管理計畫,包括供應商資安檢閱,以確保符合我們的網路資安目標。
數據保護
Blue Yonder 制定了網路安全政策、存取控制政策、可接受使用政策和資訊分類標準,這些政策規範了本組織保護數據的責任和實作。我們持續專注於改善我們的產品開發標準,並定期監控我們的資安控制措施的有效性。我們的實作是盤點、追蹤和管理我們所有的資訊系統資產。我們在整個環境中使用各種產業標準的加密技術,以保護靜態數據與傳輸中數據的安全。
產品/應用程式資安
安全的軟體開發是最重要的考量,以最大程度地降低風險。我們要求所有開發人員每年參加培訓會議,重點是最新的資安最佳實務。在設計階段,我們採用基於風險的威脅建模方法來識別潛在的安全問題。我們的應用程式分析包含多層測試,包括程式碼層級(靜態分析)和應用程式層級(動態分析)的內部資安測試。透過進行內部測試和管理我們的外部滲透測試,我們可以有效地解決潛在的威脅。此外,Blue Yonder 實施了結構化的開源掃描 (OSS) 管理流程。資安最佳實務已納入我們的開發生命週期,因為這些措施目的在定期識別、管理、評估、減輕和/或修復漏洞。
漏洞管理
Blue Yonder 依據既定政策和程序中規範的頻率,進行漏洞掃描與修補。Blue Yonder 確保漏洞評估、修補程式管理和威脅防護技術及排定的監控程序,目的在識別、評估、緩解並防禦已知安全威脅、病毒及其他惡意程式碼。
資安運營中心 (SOC)
Blue Yonder 擁有各種技術控制,適用於偵測網絡、端點和應用程式上潛在的事件。 Blue Yonder 維護基於 NIST 標準的資安事件回應計畫來管理對資安事件的回應,並且至少每年進行一次測試。該組織使用不同的數據中心地點,並利用集中式資安資訊與事件管理 (SIEM) 解決方案來整合並關聯各類日誌(包含系統檔案、安全檔案等),藉此深化對環境安全態勢的洞見。透過全天候威脅偵測能力,日誌持續受到監控。
