风险管理
本页面提供有关ProtoPie企业云环境风险管理程序的信息,包括风险的识别和评估以及实施控制措施以减轻风险。
ProtoPie 按照以下步骤,采用全面的风险管理方法:
- 识别 - 识别与相关类别潜在风险。
- 评估 - 评估确定的风险,了解风险水平并根据优先级采取行动。
- 实施 - 实施响应措施以控制和减轻这些风险的干扰。
风险识别和评估
服务中断
为确保不间断的服务,我们的数据储存在AWS的世界级数据中心,这些数据中心采用了强大的安全措施来减轻公用事业服务中断的风险,例如停电和网络中断。
以下是AWS数据中心的关键安全措施:
- 紧急断电:AWS的数据中心在易于访问的区域设有紧急断电装置。这些断电装置受到保护,确保只有授权人员才能启动紧急电源程序。
- 不间断电源(UPS):为了无缝处理电源损失,AWS的数据中心采用短期UPS系统。这些系统提供临时电源,以便顺利过渡到备用电源,确保信息系统的连续运行。
- 防水漏保护:采取措施保护信息系统免受水漏造成的损害。 AWS的数据中心采用易于访问、功能正常且已知关键人员的主断电或隔离阀门。这些阀门有助于防止水相关事件对系统完整性产生影响。
- 灭火和检测:AWS的数据中心配备消防灭火和检测设备/系统,并支持独立能源。这确保在火灾紧急情况下快速响应和有效遏制,最大程度地减少基础设施的潜在损害。
- 温度和湿度控制:AWS的数据中心定期监测和维护温度和湿度。这些措施确保环境条件保持在可接受的范围内,以保护设备并保持最佳性能。
环境风险
为确保客户数据的安全和完整性,我们利用由AWS提供的数据中心,这些数据中心位于世界级安全和弹性对抗环境威胁的地区,如洪水、龙卷风、地震和飓风。
客户可以选择存储数据的地理位置,但主要基于拥有数据的公司所在地,以符合数据处理协议(DPA)的要求。
威胁向量管理
为了有效地管理服务的主要威胁向量,我们已实施全面的措施:
- 持续监控:使用高级工具(如防火墙和AWS安全管理员)持续监控网络和系统。主动审查监控日志,以确定任何可疑活动或潜在威胁,采取迅速行动并维护安全环境。
- 渗透测试:为了识别漏洞并加强安全措施,我们进行年度渗透测试。这些测试能够识别系统和应用程序中的潜在弱点,并主动解决这些问题并加强我们的防御。
- ISO27001和27701审核:通过ISO27001和27701合规性的年度审核,遵守国际公认的信息安全管理和隐私实践标准。
- 个人信息保护:虽然目前没有特定的网络安全保险,但我们致力于遵守韩国个人信息保护法规定的指导方针。作为保护个人信息的风险缓解措施的一部分,并且已订阅由KB保险提供的个人信息保护责任保险政策。此项保险可帮助缓解与保护个人信息相关的潜在风险。
业务连续性
业务连续性是我们运营的重要组成部分,确保在灾难发生时维持关键功能,防止对关键服务的中断并使我们能够快速无缝地恢复,以尽快恢复完整功能。
业务连续性规划(BCP)
通过进行全面的BCP测试,评估我们计划的有效性并确定可能需要改进的领域。评估我们在发生中断或灾难时的准备情况,并确保在没有重大中断的情况下继续关键功能。
除了BCP测试外,还定期测试备份和冗余机制。这些测试每年进行一次,旨在验证备份系统的可靠性和功能性。
通过测试这些机制,在任何不可预见的事件或系统故障发生时都能恢复数据和服务。
应急计划开发
作为确保业务连续性的承诺的一部分,我们为信息系统开发了全面的应急计划。该计划概述了在发生可能影响我们业务的中断或事件时要遵循的步骤和程序。它作为快速恢复的路线图,有助于最小化对业务和客户的影响。
我们的业务连续性规划和灾难恢复程序(DRP)旨在减轻风险并维护关键服务的可用性。
我们优先考虑实施控制措施,以确保信息安全意识贯穿我们的组织和支持我们解决方案的第三方资源。
安全意识培训
员工和承包商在入职过程中接受IT安全意识培训和个人信息培训。这项培训为他们提供了必要的技能和知识,以有效应对干扰并确保业务连续性。它涵盖各种重要方面,例如:
- 安全意识的重要性
- 保护操作系统和互联网交易
- 密码安全
- 电子邮件安全和最佳实践
- 备份重要信息
- 移动设备安全
- 物理安全
- 社会工程
- 如何管理可移动介质的风险
- 网络安全事件报告
为所有访问我们解决方案的系统管理员执行年度的培训会议,以加强有效缓解安全风险所必需的知识和实践。
提供必要时的培训,让我们的人员掌握最新的程序和协议。
数据恢复
云解决方案配备了软件和独立于提供商的能力,用于恢复和恢复数据,不断评估和改进我们的实践,增强业务恢复过程。
对于不同级别的故障场景,我们可以承诺以下恢复时间目标(RTO)和恢复点目标(RPO):
- 1级故障:RTO在6小时内,RPO在6小时以下。
- 2级故障:RTO在24小时内,RPO在24小时以下。
- 3级故障:RTO在48小时内,RPO少于3天。
虚拟基础设施能力
客户可以选择下载和转移虚拟机映像到另一个云提供商,但可能存在某些限制。但是,不允许或不支持将机器映像复制到客户自己的离线存储位置。此外,我们还为客户提供了撤消对虚拟机所做更改或修改的能力,为其提供了灵活性和对其环境的控制。