Programm für Cybersicherheit und Datenschutz
Mirion wird die geltenden gesetzlichen, behördlichen und gegenseitig vereinbarten vertraglichen Verpflichtungen, die für Mirion gelten, einhalten; Mirion übernimmt jedoch keine Verpflichtungen, einen Kunden mit den geltenden gesetzlichen und behördlichen Verpflichtungen, die für den Kunden gelten können, in Einklang zu bringen.
Übersicht über das Informationssicherheitsprogramm
Mirion hat ein zentralisiertes Informationssicherheitsprogramm eingeführt, das aus der Unternehmenspolitik von Mirion stammt und von dieser unterstützt wird. Das Informationssicherheitsprogramm von Mirion ist bestrebt, sich an dem Framework der ISO 27000-Serie als Unternehmensstandard auszurichten, verwendet jedoch bei Bedarf andere Frameworks und Kontrollen. Beispiele sind ISO 27001 Annex A-Kontrollen, NIST-Kontrollen, SOC 2-Kontrollen und NSNC Cyber Essentials-Praktiken.
Kategorie für Organisationskontrollen
- Cybersicherheitsrichtlinien und Verfahren
- Das Informationssicherheitsprogramm von Mirion enthält spezifische Unternehmensrichtlinien und Verfahren, die Sicherheitsziele, Anforderungen und Funktionen festlegen. Zu den Bereichen, die von solchen Richtlinien abgedeckt werden, gehören die akzeptable Verwendung von Informationsbeständen, Datenaufbewahrung und -sicherung sowie die Erkennung von Cybersicherheit und Vorfallreaktion.
- Audits von Drittanbietern
- Unser Unternehmen verwendet unabhängige Bewertungen von Drittanbietern, um Sicherheits- und Compliance-Kontrollen für bestimmte Produkte und Dienstleistungen zu testen.
- Penetrationstests von Drittanbietern
- Mirion führt jährlich unabhängige Penetrationstests auf Unternehmensebene durch und hilft dabei, ausnutzbare Schwachstellen zu identifizieren und zu mindern. Bestimmte Mirion-Produkte werden auch regelmäßigen zusätzlichen Penetrationstests unterzogen.
- Rollen und Verantwortlichkeiten
- Rollen und Verantwortlichkeiten im Zusammenhang mit unserem Informationssicherheitsprogramm und dem Schutz der Daten unserer Kunden werden definiert und dokumentiert.
- Zugriffskontrolle mit den wenigsten Rechten
- Mirion folgt dem Prinzip der geringsten Privilegien in Bezug auf das Identitäts- und Zugriffsmanagement.
- Vierteljährliche Zugriffsbewertungen
- Mirion führt vierteljährliche Zugriffsprüfungen für privilegierten Zugriff durch.
- Passwortanforderungen
- Die Mirion-Richtlinie legt Anforderungen für die Mindestpasswortkomplexität fest. Passwörter müssen eine Mindestmenge an Passwortanforderungen und die Komplexität für den Zugriff einhalten.
- Schadensbewältigung
- Mirion verwaltet Backups und Wiederherstellungspläne in Übereinstimmung mit internen Richtlinien und unterhält einen IT-Notfall-Wiederherstellungsplan, der kritische Systeme und Daten abdeckt.
- Lieferantenrisikomanagement
- Mirion cybersecurity führt regelmäßige Überprüfungen von Drittanbietern auf Cybersicherheitsrisiken durch. Die Bewertungen umfassen die Bewertung unabhängiger Auditberichte (z. B. SOC 2, ISO-Zertifizierung) und die Bewertung von Sicherheitsarchitektur und Integrationsüberlegungen.
Kategorie Personenkontrollen
- Trainierung des Sicherheitsbewusstseins
- Mirion verlangt von Mitarbeitern, Beratern und Auftragnehmern, dass sie jährliche Schulungen zum Cybersicherheitsbewusstsein absolvieren, die Industriestandardpraktiken und Themen der Informationssicherheit wie Phishing und Passwortmanagement abdecken. Mirion ergänzt die jährliche Schulung um zusätzliche Aktivitäten wie Angriffssimulationen, physische standortspezifische Sensibilisierungskampagnen und verbesserte themenspezifische Schulungen.
- Vertraulichkeit
- Alle Mitarbeiter müssen vor ihrem ersten Arbeitstag eine branchenübliche Vertraulichkeitsvereinbarung unterzeichnen und sich daran halten.
- Hintergrundprüfungen
- Führt Hintergrundprüfungen für alle Mitarbeiter in Übereinstimmung mit lokalen Gesetzen durch.
Kategorie physikalische Steuerungen
- Physische Zugriffskontrollen
- Mirion verwendet Begleit-, Schlösser- und ID-Karten, um den physischen Zugang zu Einrichtungen zu beschränken, in denen sich Informationssysteme befinden.
- Überwachung des physischen Zugriffs
- Mirion verwendet Vermittlungen, Surveillance-, Alarmsysteme und programmierbare ID-Karten, um den physischen Zugang zu geschützten Bereichen zu überwachen.
Kategorie für technologische Steuerungen
- Infrastruktursicherheit
- Mirion verwendet eine Kombination aus On-Premises-Hosting, IaaS-Cloud-Hosting und SaaS-Hosting für verschiedene Dienste. Hosting-Entscheidungen werden auf der Grundlage von technischen Anforderungen, betrieblichen Anforderungen und Daten-Compliance-Anforderungen getroffen.
- Verschlüsselungstechnologien
- Mirion setzt Technologien ein, um Daten bei der Übertragung und ruhende Daten zu verschlüsseln.
- E-Mail-Filterung
- Mirion setzt mehrere Tools für die E-Mail-Filterung ein, um die Interaktion mit schädlichen E-Mails zu vermeiden.
- Cybersicherheitsüberwachung
- Mirion verwendet eine Lösung für erweiterte Detektion und Reaktion (XDR) zur Erfassung von Telemetrie aus und zur Überwachung der von Mirion gesteuerten Informationssysteme. Die Überwachung von Mirion beträgt 24x7x365 und verwendet ein SIEM, um Telemetrie aus verschiedenen Arten von Endpunkt- und Netzwerksystemen zu korrelieren.
- Scannen von Schwachstellen
- Mirion verwendet mehrere branchenführende Schwachstellenerkennungs- und Scanlösungen, um Schwachstellen zu identifizieren und zu beheben. Schwachstellen werden mit einer risikobasierten Methodik behoben, die auf Schwachstellen mit dem höchsten Risiko abzielt.
- Vorfallantwort
- Mirion hat einen schriftlichen Vorfall-Reaktionsplan und ein engagiertes Team mit GCIH-zertifizierten Analysten, die diesem bei der Durchführung von Untersuchungen folgen.
- Nachverfolgung von Bedrohungsjagen
- Mirion hat einen Vertrag mit einem Dritten abgeschlossen, der monatliche Nachverfolgung von Bedrohungen anbietet. Cybersicherheitsanalysten von Mirion führen auch in Ausfallzeiten zwischen den Untersuchungsmaßnahmen zusätzliche Aktivitäten zur Nachverfolgung von Bedrohungen durch.
- Berechtigungen und Authentifizierung
- Mirion verwendet einen Verzeichnisdienst zur Unterstützung von Authentifizierung und Zugriffskontrolle. Der Zugriff auf Infrastruktur und andere sensible Werkzeuge ist auf autorisierte Mitarbeiter beschränkt, die ihn für ihre Rolle benötigen.
- Multifaktor-Authentifizierung
- Der Zugriff auf das Netzwerk von Mirion erfordert Multifaktor-Authentifizierung. Mirion ist dabei, Multifaktor-Authentifizierung und SAML-basierte Föderationsfunktionen für zusätzliche Produkte bereitzustellen.
- Durchsetzung der Passwortkomplexität
- Wo technisch machbar sind, werden Anforderungen an die Passwortkomplexität von unseren Authentifizierungssystemen durchgesetzt. Mirion verwendet auch einen Passwort-Manager der Enterprise-Klasse, um persönliche und freigegebene Passwörter zu speichern.