十大买球的正规网站致力于在十大买球的正规网站的实践、程序和解决方案中保证安全
人
Comscore拥有一支由持有认证信息安全经理(CISM)和认证信息系统安全专家(CISSP)认证的专业安全人员组成的专业团队. 团队的职责包括漏洞管理, 安全事件响应, 实施和管理信息保护技术.
过程
Comscore的发展, 监控, 并按照ISO 27001的最佳做法加强保安措施;
- 安全策略, 程序, 及标准-发展, 推荐, 落实企业信息安全政策, 技术标准, 的指导方针, 程序, 以及支持信息安全所必需的基础设施的其他元素.
- 安全意识—所有Comscore员工必须完成安全培训. 十大买球的正规网站还为软件开发人员提供有针对性的培训.
- 第三方安全审查——十大买球的正规网站对主要供应商进行第三方安全审查.
- 事件响应——Comscore的安全团队开发并管理安全事件响应流程.
- 灾难恢复-维护和加强灾难恢复计划和协调演习.
- 风险评估-执行风险评估并建议风险缓解项目.
技术
Comscore已实施并管理了以下几种信息保护技术:
- Web应用防火墙(WAF)
- 拒绝服务防护
- 传输中的数据加密
- 对个人和敏感数据进行加密
- 端点保护(AV),包括基于机器的学习
- 网络入侵检测系统(NIDS)
- 具有威胁情报的安全事件和事件管理(SIEM)系统
- 机器可读威胁情报(MRTI)
- 状态检查和下一代防火墙
- 第三方渗透测试
- 用于客户、合作伙伴和企业远程访问的虚拟专用网
- 定期应用程序安全测试和系统漏洞扫描
- 数据丢失保护(DLP)
常见问题
资讯保安政策
你有安全策略吗?
是的, Comscore根据ISO 27001最佳实践维护和更新了一些与安全相关的政策,如下所述.
你是否向员工传达你的政策?
是的, Comscore向所有员工/承包商提供其政策,十大买球的正规网站每年进行安全培训,其中包括对员工进行政策内容测试.
资讯保安组织
您的组织基于什么安全框架?
Comscore的安全计划基于ISO 27001:2013控制框架. 十大买球的正规网站的安全计划是作为SOX, MRC, SOC3的一部分进行审计的.
人力资源保障
你们会对员工和承包商进行背景调查吗?
你要求员工签署保密协议吗?
是的,在法律允许的情况下,通常是在雇佣之前.
是否为员工提供安全意识培训?
是的,Comscore已经制定了安全意识培训计划. 通过多管齐下的方式向Comscore员工传递安全意识. 初级培训是通过计算机培训完成的. 员工将在“入职”期间完成初始培训。. 培训通过Comscore学习管理系统(LMS)进行。. 通过时事通讯、海报和电子邮件提高人们的意识. 政策发布在内部SharePoint网站上.
资产管理
您是否支持资产管理流程?
是的.
是否有处理和/或销毁物理介质的程序(例如.g.、纸质文件、cd、dvd、磁带、磁盘驱动器等.)?
是的,根据Comscore的IT资产和媒体处置政策,该政策由十大买球的正规网站的外部审计师审查.
访问控制
是否使用强密码?
是的, Comscore有确定和执行密码强度的策略, 历史, 以及禁止共享用户密码和访问权限.
你支持什么网络访问控制?
十大买球的正规网站支持由状态检测防火墙支持的多层防火墙架构. 所有外部访问都由Internet DMZ作为中介. 根据授权的应用程序对内部网络的访问进行限制.
您的远程访问VPN是否受到双因素认证?
是的.
密码学
你对传输中的数据加密了吗?
是的,TLS或ipsec VPN用于保护传输中的数据. 十大买球的正规网站的政策要求对通过公共网络传输的数据进行加密.
您是否对静态数据进行加密?
是的,客户端设备需要全磁盘加密. 服务器端加密仅限于受监管的个人或敏感信息. 256位AES用于静态数据加密.
如何管理加密密钥?
十大买球的正规网站的加密密钥存储在符合FIPS的密钥库中,并由冗余支持, 故障安全架构.
物理和环境安全
如何确保第三方数据中心的安全?
Comscore对其数据中心提供商进行安全审查,同时也审查并依赖独立的第三方审计, 例如SOC 1, 2 or 3, 或ISO 27001.
访问Comscore的第三方数据中心是否受到限制和控制?
是的,对于Comscore可以访问的数据中心(1).e. AWS不允许现场访问其数据中心), Comscore限制关键人员的访问权限,并定期进行访问审查. Comscore定期审查第三方数据中心的访问情况. Physical access controls include but are not limited to: multi-level physical security architecture; card reader access control; mantraps; multi-factor authentication, including PIN 和 biometric; 24x7 monitoring/CCTV surveillance).
操作安全
Comscore部署了哪些操作技术来保护数据?
十大买球的正规网站实施和管理了多项信息保护技术:
- Web应用防火墙(WAF)
- 拒绝服务防护
- 传输中的数据加密
- 对个人和敏感数据进行加密
- 端点保护(AV),包括基于机器的学习
- 移动设备管理
- 网络入侵检测系统(NIDS)
- 具有威胁情报的安全事件和事件管理(SIEM)系统
- 机器可读威胁情报(MRTI)
- 状态检查和下一代防火墙
- 第三方渗透测试
- 用于客户、合作伙伴和企业远程访问的虚拟专用网
- 频繁扫描应用程序和系统漏洞
- 以数据为中心的审计和保护
- 数据丢失保护(DLP).
你会定期查看日志吗?
是的, Comscore使用安全事件和事件管理(SIEM)来聚合日志并检测环境中的安全威胁和异常.
通信安全
无线连接是否加密和认证?
是的,只有公司拥有和管理的设备才允许在公司无线局域网上使用. 所有其他设备都被限制在只允许访问Internet的孤立来宾网络中. 十大买球的正规网站使用行业标准无线加密(WPA2).
电子邮件交换是否加密??
是的,十大买球的正规网站的电子邮件网关在TLS上使用SMTP.
系统获取、开发和维护
在SDLC和QA过程中是否解决了安全性问题?
Comscore使用正式的安全开发生命周期流程来确保在整个开发过程中解决安全问题. Comscore的开发者也会接受开发者安全培训.
供应商关系
您将如何监督第三方/分包商以确保他们符合安全标准?
Comscore对其所有供应商进行全面的安全和隐私检查. 监控和评审是基于风险的.
您是否要求与供应商签订保密或不披露协议?
是的.
安全事故管理
事件报告政策和程序是否到位?
是的, Comscore的事件响应政策和程序确保事件得到及时调查, 包含, 矫正, 并向内部和外部报告, 适当的, 包括所需的监管通知, 须经所需批准. 十大买球的正规网站的流程正式定义了角色 & 责任, 事件严重性标准, 需要通知, 使用各种工具来检测妥协指标的方法. 事件协调器监督事件响应过程. 电脑保安事故及应变小组, 由技术应用和基础设施专家组成, 是否负责调查和补救事故.
业务连续性/灾难恢复
Comscore服务在发生灾难时是否可恢复?
数据被复制到备用设备和/或备份到磁带, 取决于恢复时间和恢复点目标. 记录灾难恢复计划,并通过桌面练习和年度并行测试定期进行测试. 备份包括每周完整备份和每日增量备份. 磁带存储在异地.
您有BC/DR计划吗?
是的,它由管理层定期评审、更新和批准.
合规