網路安全

安全是 Stryker 技術計劃的基本和主要層面，由我們的資訊長和資訊安全長 Alan Douville 領導，已在公司政策 11《全球隱私權與資料保護》中確立。 Alan 連同我們的資深領導團隊每季與我們的董事會開會，並且一年數次與公司法規遵循委員會開會，提供網路安全更新資訊。 Alan 取得資訊安全認證，以及領導公司安全小組委員會。

我們有一個全面的全球安全計畫，內容包含公司及產品安全，致力於達到和保持外部認證（包括全球 ISO 27001 及 Stryker 健康雲的 SOC 2 認證）。 Stryker 尚未訂立資訊安全風險預防政策。

我們的網路安全計劃採用深度防禦策略，由經驗豐富的網路安全專家團隊支援。 我們的團隊遵循領先的產業網路安全規範及方法，採用人工智慧和機器學習來提供最先進的全球網路安全保護。

我們與政府夥伴、網路安全產業夥伴及安全研究人員建立強大關係，在高度管制及控制的設施、資料和資產的基礎架構中提升我們網路安全設定檔。 我們的部分關鍵會員身分包括：

• Gartner 企業風險管理的機構研究委員會 (IRB) 及資訊安全長 (CISO) 的健康資訊分享和分析中心 (ISAC)
  
• 資訊安全長聯盟 (CISO Coalition)
  
• 重大關鍵製造業 (Critical Manufacturing Sector)
  
• 部門協調委員會
  
• 網路安全暨基礎設施安全局 (CISA)
  
• 國土安全部 (DHS)
  
• 反恐諮詢會議 (ATAC)
  
• 辛辛那提資訊安全長圓桌會議 (Cincinnati CISO Roundtable)
  
• Infragard 芝加哥醫療資訊分享和分析中心 (ISAC)
  

Stryker 的網路安全是一項多面向計劃。 我們的計劃包括一個一級和二級安全操作與網路融合中心 (Tier 1 and Tier 2 Security Operations and Cyber Fusion Center)，可全天候監測及偵測威脅活動，主動收集、分析及依據相關情報採取行動來防衛 Stryker，包括風險管理、合規保證、法規管理和稽核。 本計劃也包括從事數位產品安全和傳統產品安全的團隊以及一個全球安全事件應變計畫。

我們的計劃每季執行安全相關訓練，改善我們針對數位產品及公司基礎設施、資料防護及安全事件應變可提供涵蓋範圍的能力。 此外，我們的品質管理計劃包括產品和系統的內部及外部安全審查，以及安全和隱私納入設計。

我們的安全團隊持有大約 120 項安全、風險及法規遵循認證，包括：

• 2 項雲端安全專家 (CCSP)
  
• 1 項認證防護專家 (CPP)
  
• 33 項認證道德黑客 (CEH)
  
• 9 項認證資訊系統安全專家 (CISSP)
  
• 4 項認證資訊安全長 (C|CISO)
  
• 1 項認證資訊系統風險 (CRISC)
  
• 2 ISO 27001 (國際安全標準 [International Security Standards])
  
• 3 項認證資訊系統稽核員 (CISA)
  
• 2 項認證資訊系統管理員 (CISM)
  

我們已經實施每年強制安全教育，幫助員工了解安全風險及遵守我們的政策。 此外，我們頻繁將相關安全主題及政策的通訊提供給所有員工。 這些包括正式及意識訓練，例如通訊文章、直接電子郵件、海報、數位看板、市政廳及簡報。 我們針對與員工職責一致的特定主題，提供額外安全和資料保護訓練和意識。

我們針對與 Stryker 資料、網路、系統及產品結合在一起的所有第三方，執行網路安全及隱私評估。 我們使用一套我們的安全作業中心及外部工具的組合，幫助確保這些第三方符合安全要求。 我們採用標準產業威脅模型及隱私影響評估概念，幫助確保資料最少蒐集及適當資料防護已經到位。

我們執行與各供應商相關風險相稱的輔助審查。

產品安全是致力於我們全球產品的安全及防護。 產品安全是我們整體全球安全計劃的核心部分。

我們採用持續改善方法，著重在提升軟體開發生命週期及新技術能力，加強其中用於保護我們產品的深度防禦安全管控效力。

有關產品安全、公告和通知的詳細資訊，請按此 連結。

SYK CORP 2021-03-13