CISTION信息安全策略

我们认真对待CISTION来安全。CISTIC一直在处理客户的非公共信息超过60年,并保持其保密性是我们文化的一体元素。

我们已经采取了各种措施来保护客户的信息,以确保Cinis信息资源的机密性,完整性和可用性,并确保我们的设施,网络和系统。这些措施是在CISTION的信息安全策略中定义的。由我们的首席信息安全官员领导,CISTION的信息安全办公室被指控开发,维护和监控遵守信息安全政策。信息安全管理程序基于ISO 27002框架。

信息安全策略适用于提供对CISTION的信息资源的个人和实体,包括第三方顾问,承包商和供应商。

我们将基于角色的访问控制的原则应用于CISTIC。访问客户信息仅限于那些角色需要此类访问的信息。在适当的编辑过程和程序旨在保护客户的信息。我们的标准操作程序包括要求将获得敏感信息的员工接受背景检查,签署机密性协议并在信息安全方面接受培训,以及道德和合规。

在过去的几年里,随着网络安全性尤为重要,我们对信息技术架构,政策,系统和实践进行了重大投资,以与我们的信息安全策略保持一致。我们的信息安全策略提供了信息安全的多维方法:

  • 应用程序在运行的应用程序(动态),应用程序代码(静态)以及环境中的主机上进行常规漏洞评估,以及使用行业标准工具。漏洞分类,并且在常规开发周期期间,优先考虑高度严重性调查结果并尽可能快地修复。关键应用是每年测试的渗透率。
  • 远程访问我们的网络需要多因素身份验证。
  • 应用程序遵循多层模型,该模型提供了在每层应用控制的机会,练习“深度防御”。我们的互联网面向门户网站托管在网络环境中,通过防火墙与我们的内部环境分开。互联网面向层通过加密协议(如SSL和TL)使用安全的通信。众所述的数据中心遵循行业标准实践,并提供其年度审计等年度审计,例如SoC II型。
  • 我们利用加密来保护传输到分配点的新闻稿信息。
  • 员工最终用户计算机安装了业界标准防病毒软件,定期更新和监控。电子邮件垃圾邮件过滤器在外围使用,以帮助防止内部病毒爆发和网络钓鱼活动。控制互联网浏览,已知的恶意外部网站被阻止并记录,以帮助预防内部病毒爆发和数据被盗。
  • 适用于美国和加拿大的所有在线成员中心用户是多步认证。

尽管有这些保护,CISTION认识到所有IT系统仍然容易受到攻击;因此,监测至关重要。我们的数据中心采用定期监测的入侵检测系统。安全运行指令中心(SOCC)监视周边24/7和异常行为被警告到计算机安全事件响应团队(CSIRT)。SOCC和CSIRT之后,正式的事件响应计划遵循。