Informationssicherheitsrichtlinie

Actian ist ein Geschäftsbereich von HCLSoftware, der ein Portfolio an softwarebasierten Angeboten der nächsten Generation für Unternehmen mit flexiblen Nutzungsmodellen entwickelt und bereitstellt, das traditionelle On-Premises , Cloud PaaS-, SaaS- und gebündelte Managed Services umfasst.

Actian verpflichtet sich zum Schutz kritischer Informationsressourcen durch die Implementierung und Aufrechterhaltung eines Informationssicherheits-Managementsystems (ISMS), um sicherzustellen, dass die geltenden Informationssicherheitsziele erreicht werden und das ISMS in der Lage ist, sich an interne und externe Veränderungen anzupassen.

Das Ziel des ISMS ist es, die Informationsressourcen von Actian und seinen Kunden vor identifizierten Bedrohungen zu schützen, unabhängig davon, ob diese intern oder extern, vorsätzlich oder unbeabsichtigt sind.

Die Ziele der Informationssicherheit sind:

  • Wahren Sie die Vertraulichkeit der Informationen, sodass nur befugte Personen Zugriff darauf haben.
  • Die Integrität der Informationen sicherstellen.
  • Sorgen Sie dafür, dass Informationen so verfügbar sind, dass nur autorisierte Personen bei Bedarf auf die Informationen, Vermögenswerte und Systeme zugreifen können.

Actian orientiert sich an der ISO/IEC 27001:2022 als grundlegendem Sicherheitsstandard und erweitert diesen auf andere Sicherheitsstandards, beispielsweise SOC 2 Typ II.

Actian verfügt über eine etablierte Governance-Struktur für die Informationssicherheit, um verwalten ISMS effektiv und effizient verwalten , einschließlich:

  • Identifizierung von Informationsressourcen.
  • Management von Risiken auf ein akzeptables Niveau durch die Konzeption, Umsetzung und Pflege von Risikobehandlungsplänen.
  • Kommunikation der Ziele der Informationssicherheit und der Leistungen bei der Erreichung dieser Ziele.
  • Entwicklung von Programmen zur Sensibilisierung für Sicherheitsfragen und Training .
  • Einhaltung lokaler Gesetze und Vorschriften sowie vertraglicher Verpflichtungen, die für die Informationssicherheit relevant sind.

Diese Informationssicherheitsrichtlinie wird durch spezifische interne Richtlinien in den folgenden Bereichen des Sicherheitsmanagements unterstützt:

  • Risikomanagement– Risiken werden in einem Standard-Lebenszyklus verwaltet, wobei der Status in regelmäßigen Abständen an die Geschäftsleitung gemeldet wird.
  • Personalwesen– Umfasst Kontrollen in Bezug auf Unternehmenskultur, obligatorische jährliche Schulungen, Kommunikation, Leistungsbewertungsprozess und Kündigungsverfahren.
  • Physische und umgebungsbezogene Sicherheit– Umfasst die Sicherheit des Gebäudeumfelds sowie sichere Schutzmechanismen für interne Büros, Infrastruktur, Rechenzentren/Serverräume.
  • Lieferantenmanagement– Umfasst die Risikobewertung von Lieferanten und formelle Vereinbarungen mit Details zu allen erforderlichen SLAs für das gelieferte Produkt oder die gelieferte Dienstleistung.
  • Business Continuity Management– Enthält Details zur Unterstützung von backup, Business Recovery und Kontinuität.
  • Interne Revision und Compliance– Ein engagiertes Team verwalten Revision und das Compliance-Management.
  • Asset Management –Ein formal verwaltetes Register für alle Assets in den Umgebungen von HCLSoftware. Jedes Asset verfügt über einen strukturierten Satz von Attributen als Definition.
  • Zugriffskontrollen– Umfasst die Definition eindeutiger Nutzer und formeller Passwortkontrollen.
  • Kryptografie– Verschlüsselungsstandards werden angewendet.
  • Kommunikationskontrollen [Netzwerke und Firewalls]– Enthält Details zu den festgelegten Schutzstufen und den eingeschränkten Kontrollen für solche wichtigen Ressourcen.
  • Systemerwerb, -entwicklung, -wartung– Der Erwerb, die Entwicklung und die Wartung von Produkten und Umgebungen werden gemäß den Richtlinien verwaltet.
  • Informationssicherheits-Vorfallmanagement– Sicherheitsvorfälle werden in einem strukturierten Lebenszyklus erfasst und verwaltet.
  • Patch-Management– Patches werden je nach Schweregrad der Sicherheitslücke innerhalb eines bestimmten Zeitraums installiert.
  • Sicherheitsüberwachung und Protokollierung– Protokolle werden vom speziellen Security Operation Center (SOC)-Team gesammelt und überprüft, um Warnmeldungen zu unbefugten Aktivitäten zu identifizieren.
  • Schwachstellenscan / Penetrationstests– Unabhängige Penetrationstests werden mindestens einmal pro Jahr durchgeführt.
  • Gesundheitscheck von Umgebungen/Geräten– Dieser basiert auf den CIS-Benchmark-Kontrollen.