Twist 的数据保护与信息安全

保护客户和合作伙伴的数据是 Twist 的重要责任和首要任务。我们的客户和合作伙伴将可能成为其知识产权基础的机密信息托付给我们。对 Twist 而言，保护重要客户数据涉及实施强有力的安全措施，以保护敏感和机密信息免遭未经授权的访问、破坏和网络威胁，并使用加密、安全存储系统和严格的访问控制。我们制定了明确的数据处理政策，定期对员工进行安全最佳实践培训，始终遵守甚至领先于相关的国家和国际数据保护法规。定期对系统进行安全审计和更新对解决新出现的漏洞至关重要。 

Twist 的信息安全计划与我们的质量、隐私和生物安全计划一样，都是建立在国际标准的基础上，并由该领域的专家进行监督和严格、持续的审查。

Twist 已通过 ISO 27001 认证，符合最新的 2022 年修订版标准。经认可的独立认证机构每年都会对 Twist 进行审核，以确保信息安全计划的所有工作环节 —— 我们的员工、流程和技术 —— 都符合或超过标准。我们的董事会负责监督公司最高层的所有工作。

人员 

• 公司所有员工都接受过网络安全意识计划的培训，其中包括网络钓鱼和社交工程。该计划包括每年一次的培训、每季度一次的测试和每周一次的宣传活动，以保持我们团队对数字安全的高度关注。
• 我们对员工进行背景调查，明确划分角色和职责，在访问控制方面严格执行最少特权的理念，并在政策和运营中建立职责分工。
•  我们与合规专家、渗透测试人员、安全运营中心团队、网络安全专业律师事务所以及国家和全球机构合作，其中包括互联网安全中心 (CIS)、MITRE、美国计算机应急准备小组 (US-CERT)、网络安全和基础设施安全局 (CISA) 以及联邦调查局 (FBI)。
• 我们的执行领导团队（ELT）、审计委员会（AC）和产品审批委员会（PAC）都会定期听取有关公司网络安全状况的简报，并提供有关战略和优先事项的指导。
• 每半年向董事会简要介绍我们的网络安全状况和路线图以及成熟度。

流程

• 对 ISO 27001 进行年度审核和重新认证，以确保数据保护实践符合适用法律和网络安全最佳实践。
• 由首席信息官主持，信息安全小组进行年度风险评估。
• 由经认可的第三方机构进行年度渗透测试。
• 在我们的准则和服务中持续监察并减少漏洞。
• 每季度对所有重要应用程序进行访问控制审查。
• 处理网络安全事件或自然灾害的事件响应、业务连续性和灾难恢复政策和程序。
• 进行供应链的管理，其中包括供应商选择安全评估和供应商评估。
• 公司隐私政策和隐私保护措施符合适用的个人数据保护法律法规。

技术

• 生产基础设施位于 AWS SOC 审计的数据中心。
• 人工智能驱动的端点保护和网关安全。
• 身份信息生命周期管理。
• 单点登录、多因素身份验证和 VPN。
• 机密和特权访问管理。
• 利用 KMS 进行静态和传输中加密。
• 新一代防火墙技术、分段网络和基于证书的身份验证。

Twist Bioscience 的生物安全

Twist Bioscience 是全球领先的合成 DNA 供应商，致力于推广对其产品进行负责任地使用。为此，公司投入了大量资源，制定并不断完善全面的生物安全计划。本计划包括参与国家和国际倡议，以增强研究人员用来评估特定 DNA 和蛋白质序列造成的潜在生物风险的算法、元数据和工具。

作为核心技术提供商，Twist 知晓推进生物安全的重要性，并努力为安全的生物技术环境做出贡献。公司已与政府、学术机构、国际非政府组织和其他 DNA 合成提供商进行接触和合作，制定一套一致的生物安全最佳实践。随着生物技术和合成生物学领域持续不断地发展，Twist 仍然积极撰写生物安全手册，以确保适当的保障措施到位。

国家和国际法规

为了遵守美国政府的所有指导和法规，Twist Bioscience 实施了严格的生物安全和出口控制筛查措施，以确保所有订单得到妥善执行。这些措施包括遵守美国政府 2023 年发布的《合成核酸提供者和使用者筛选框架指南》以及国际基因合成联盟制定的《统一筛选协议》。美国联邦管制病原项目（FSAP）是美国境内内控制某些合成 DNA 序列的主要监管框架。此外，由于 Twist Bioscience 在美国（俄勒冈州威尔逊维尔和加利福尼亚州南旧金山）生产所有产品，因此合成 DNA 的销售必须遵守美国商务部管理的《出口管理条例》（EAR），该条例规定，某些核酸序列在出口前可能需要许可证。

通过遵守这些监管框架，Twist Bioscience 可确保不会合成或向可能不负责任地使用这些 DNA 序列的组织运送一旦被滥用会带来重大风险的 DNA 序列。

序列和客户筛查

为了避免潜在危险的序列的合成，Twist Bioscience 实施了全面的筛查计划。 

所有订购的双链 DNA 序列都会经过筛查，以确定它们是否源自国内或国际控制持有的生物体或毒素。这些受控制的生物体或毒素包括水痘（导致天花）、禽流感危险菌株以及其他会给动物、植物或人类健康造成重大威胁的病原体。这些受控生物体和毒素受到严格管制，且拥有受到限制。

如果在筛查过程中检测到受控序列（或其一部分），Twist Bioscience 会联系客户，以验证客户身份和序列的预期用途、曾经发表的类似研究记录，并确保在发货前颁发任何所需的许可证。

而且，Twist Bioscience 使用各种政府名单（例如美国财政部特别指定国民名单、美国国务院拒绝参与方名单和商务部实体名单）来筛选每个客户，确保合成 DNA 不会出售给有潜在危险的个人或组织。除此之外，Twist 确认其销售的每个组织的有效性，并要求客户同意不转售 Twist Bioscience 生产的合成 DNA，除非他们已根据特定合同获得如此行事的许可。Twist Bioscience 仅向有效的商业地址寄送合成 DNA，不会向住宅地址或邮政信箱寄送。

人员配置

Twist Bioscience 委派人力资源确保其员工遵守生物安全计划中的所有政策和程序，并解决可能出现的任何问题。本团队包括贸易合规经理、筛查经理和生物安全响应团队。

报告

Twist Bioscience 与各种管理和行业组织携手，解决生物安全问题。这些组织包括联邦调查局 (FBI)、疾病控制和预防中心 (CDC)、美国商务部工业和安全局以及美国农业部动植物卫生检验局。不仅如此，Twist 是国际基因合成联盟 (IGSC) 的成员及现任主席，该联盟是一个由全球超过 25 家最大的合成 DNA 制造商组成的行业贸易团体。IGSC 成员可利用现有机制，相互通报收到的可疑订单，以防止从其他供应商订购危险 DNA 序列。

保存记录

在 Twist Bioscience，我们实施的内部政策达到或超过了 2023 年美国卫生与公众服务部《合成核酸提供者和使用者筛查框架指南》中关于保留每次订购的 DNA 序列生物安全筛查文件的建议。Twist 将这些文件保存至少八年。

红色团队

Twist Bioscience 通过聘请技术娴熟的顾问试图破坏其安全措施，对其生物安全计划的有效性提出了挑战，这种做法在网络安全领域通常被称为 “红队”。顾问们下的是真实订单，目的是欺骗筛查过程。尽管专家们做了这些尝试，但他们的混淆方法无一成功，这表明 Twist Bioscience 实施的生物安全计划非常可靠。

我们认识到生物安全是一个不断发展的领域，因此我们努力跟上最佳实践的步伐，并适应新出现的问题。我们相信，生命科学研究具有改善公共卫生和应急准备的潜力，我们鼓励灵活治理，以应对新的信息和不断变化的动态。

为确保我们的筛查协议达到或超过最佳实践，我们积极与顶尖专家合作并参与各种计划，如情报高级研究项目活动威胁的功能基因组和计算评估计划，以及支持国际生物安全与生物科学倡议 (IBBIS)。

虽然执行这些政策和程序需要投入时间和资源，但我们仍然致力于推动科学研究，造福社会。合成生物学具有改善人类健康和环境的潜力，我们很自豪能够提供高质量的合成 DNA，同时保持严格的生物安全检查，确保公共安全。