除了这些外部因素,我们还认识到良好治理体系的价值。它帮助我们确定优先次序并解决系统性问题。我们统一和组织内部规则,以便我们所做的一切都明确地朝着实现我们的使命和愿景的方向发展。定期讨论和清晰的报告线确保我们不会忽视业务的任何重要方面。
尽管如此,我们确保治理不只停留在纸面上。我们的执行团队成员积极参与,董事会在需要时介入,并且有内部委员会(如企业合规委员会或安全指导委员会)确保利益相关者积极参与。我们不只是每年举行正式会议,而是在工作组中积极合作并根据需要开会。
控制框架
我们的客户群遍布美国、欧洲和澳大利亚 通辽电话号码数据 我们昼夜不停地工作,以确保数据和基础设施安全达到最高标准。在不同的地区,相关标准往往有所不同,我们的团队会定期审查这些标准的发展情况以及对客户而言什么是最重要的。
总体上,我们致力于实施并保持遵守以下框架:
ISO/IEC 27001 的控制扩展涵盖了 ISO/IEC 27017 中定义的云安全方面
可信服务标准(由AICPA®制定),以 SOC 2 Type 2 报告形式提供保证
云控制矩阵(由CSA ® 提供),以CAIQ (STAR)形式提供保证
对于处于不同监管领域的客户,我们努力根据具有数据安全要求的特定法规提供他们所需的保障。我们针对以下行业要求制定了指导和响应:
通用数据保护条例(GDPR)
健康保险流通与责任法案 (HIPAA)
格雷姆-里奇-比利雷法案 (GLBA)
高等教育社区供应商评估工具包 (HECVAT)
此外,我们内部不断根据一系列标准进行自我评估。尽管这些标准通常不包含任何认证,但我们愿意讨论如何解决这些问题。这些标准包括:
美国国家标准与技术研究院 ( NIST ) 网络安全框架
全球开放式应用安全项目 ( OWASP ® ) 前 10 名
互联网安全中心 ( CIS® ) 基准
控制框架
风险管理
在 Kontent.ai,风险管理是我们安全计划的主要支柱之一,我们认为它对我们的运营至关重要。我们之前曾讨论过如何将其作为我们安全文化的一部分来处理。
企业风险监督由我们的企业合规委员会负责,该委员会由首席财务官担任主席,由各风险领域的代表组成。委员会活动报告由我们的首席执行官和董事会共同负责。
公司合规委员会
我们的风险管理基本内容包括以下几点:
资产清单和流程图,帮助我们追踪资产分类、关系和依赖关系
风险偏好声明,即对各类风险的风险偏好声明
业务影响分析,涵盖与业务连续性相关的风险
风险分析,评估风险的实际引擎
风险登记册,记录所有内容,风险所有者推动和记录风险处理行动
作为风险分类法,我们尽可能地利用风险量化。我们实施了信息风险因素分析 ( FAIR TM ),以美元价值清楚地阐明业务风险。经认证的风险从业人员培训并帮助所有团队分析风险,以保持已识别风险的一致性和相关性。
有一个明确的升级路径,并且只有组织的适当级别(例如副总裁级别、执行团队、首席执行官、董事会)才能决定处理具有一定严重程度的风险。
在需要时,我们会建立和监控关键风险指标 (KRI),并定期进行讨论。
受管控、风险意识强且合规
如上所述,GRC 是我们内部运营的重要组成部分。通过组织各级利益相关者的积极合作,我们确保迅速解决问题并制定合理的规则和政策。通过风险量化,我们可以使对话更加清晰,并根据风险做出重要决策。我们积极维护和审计内部和外部的标准、框架和监管要求。
