数据保护与信息安全
保护客户和合作伙伴的数据是 Twist 的重要责任和首要任务。我们的客户和合作伙伴将可能成为其知识产权基础的机密信息托付给我们。对 Twist 而言,保护重要客户数据涉及实施强有力的安全措施,以保护敏感和机密信息免遭未经授权的访问、破坏和网络威胁,并使用加密、安全存储系统和严格的访问控制。我们制定了明确的数据处理政策,定期对员工进行安全最佳实践培训,并始终遵守甚至领先于相关的国家和国际数据保护法规。定期对系统进行安全审计和更新对解决新出现的漏洞至关重要
Twist 的信息安全计划与我们的质量、隐私和生物安全计划一样,都是建立在国际标准的基础上,并由该领域的专家进行监督和严格、持续的审查。
Twist 已通过 ISO 27001 认证,符合最新的 2022 年修订版标准。经认可的独立认证机构每年都会对 Twist 进行审核,以确保信息安全计划的所有工作环节——我们的员工、流程和技术——都符合或超过标准。我们的董事会负责监督公司最高层的所有工作。
人员
公司所有员工都接受过网络安全意识计划的培训,其中包括网络钓鱼和社交工程。该计划包括每年一次的培训、每季度一次的测试和每周一次的宣传活动,以保持我们团队对数字安全的高度关注。
我们对员工进行背景调查,明确划分角色和职责,在访问控制方面严格执行最少特权的理念,并在政策和运营中建立职责分工。
我们与合规专家、渗透测试人员、安全运营中心团队、网络安全专业律师事务所以及国家和全球机构合作,其中包括互联网安全中心 (CIS)、MITRE、美国计算机应急准备小组 (US-CERT)、网络安全和基础设施安全局 (CISA) 以及联邦调查局 (FBI)。
我们的执行领导团队(ELT)、审计委员会(AC)和产品审批委员会(PAC)都会定期听取有关公司网络安全状况的简报,并提供有关战略和优先事项的指导。
每半年向董事会简要介绍我们的网络安全状况和路线图以及成熟度。
流程
- 对 ISO 27001 进行年度审核和重新认证,以确保数据保护实践符合适用法律和网络安全最佳实践。
- 由首席信息官主持,信息安全小组进行年度风险评估。
- 由经认可的第三方机构进行年度渗透测试。
- 在我们的准则和服务中持续监察并减少漏洞。
- 每季度对所有重要应用程序进行访问控制审查。
- 处理网络安全事件或自然灾害的事件响应、业务连续性和灾难恢复政策和程序。
- 进行供应链的管理,其中包括供应商选择安全评估和供应商评估。
- 公司隐私政策和隐私保护措施符合适用的个人数据保护法律法规。
技术
生产基础设施位于 AWS SOC 审计的数据中心。
人工智能驱动的端点保护和网关安全。
身份信息生命周期管理。
单点登录、多因素身份验证和 VPN。
机密和特权访问管理。
利用 KMS 进行静态和传输中加密。
新一代防火墙技术、分段网络和基于证书的身份验证。
