Iron Mountain Insight® 安全白皮书

執行摘要

安全性是我們客戶的主要考量。他們需要經過實證的解決方案，為自己及其客戶提供對抗駭客、惡意軟體和不安全操作的防範措施。此外，他們還需要擴展現有安全實務的解決方案，以符合重要的認證與合規性要求，提供精細的使用者存取控制權，以及簡單易用的稽核與追蹤功能。

Iron Mountain Insight® 整合端對端安全性策略，此策略涵蓋數位文件和中繼資料的儲存內容擷取。Iron Mountain 採用美國國家標準暨技術研究院 (NIST) 的網路安全框架 (CSF) 作為我們的企業安全架構。

我們提供安全的服務部署、具有終端使用者隱私權保護機制的資料儲存、服務之間的通訊，以及可職責分離的管理支援。 

基礎架構採漸進式層級設計，從代管資料中心的實體安全性開始，再到基礎架構上的硬體和軟體安全性，最後則是遵循合規規範 (ISO 27001 與 SOC 2 Type II) 之操作安全的技術限制和流程。 

IRON MOUNTAIN 安全概述

我們的安全實務以高企業標準為準則，並由致力於保護資訊與資產的業務導向團隊推動，讓您現在和未來都能安心無虞。 

Iron Mountain Insight® 為了保護客戶資訊，利用以下方式維持高度管理： 

• 僱用注重安全性，通過嚴格審查的工作人員 
• 制定和遵循嚴格的標準 
• 執行最佳實務，以符合不斷演變的產業與法規要求 

這些實務來自於我們設施、環境控制和電腦系統的實體設計及架構。我們與 Google 和 Amazon Web Services 等雲端合作夥伴合作，確保儲存在雲端的資訊能與儲存在實體建築和電腦系統中的資訊相同，具有穩固的機密性、完整性和可用性。

Iron Mountain Insight® 的安全合規性框架遵循 NIST 的識別、保護、偵測、回應和復原標準。

識別 

此功能有助於管理針對系統、人員、資產、資料和功能的網路安全風險的組織性理解。這包括： 

• 遵循 NIST 800-53/53A 標準的風險評估 
• 資訊安全管理系統 (ISMS)，以保護個人識別資訊 (PII) 
• 資產、風險與供應鏈管理

保護 

此功能係指確保可交付關鍵基礎架構服務的防護措施，並支援限制或遏制潛在網路安全事件影響的能力。這包括：

• Web 應用程式防火牆 (WAF) 和資料外洩防護 (DLP) 解決方案 
• 身分識別與存取管理 (IAM) 
• 定期滲透測試 
• 使用 AES256、TLS 1.2 / 3，針對未使用和傳輸中的資料進行加密 
• 適用於所有員工的資料保護、隱私與安全訓練

偵測 

此功能定義了識別網路安全事件是否發生的適當活動。這包括：

• 用於系統監控的安全性資訊與事件管理 (SIEM) 解決方案 
• 掃描所有環境、容器和程式碼 
• 所有使用者和管理員活動的完整稽核、系統和網路記錄檔

回應 

此功能包括在偵測到網路安全事件時採取行動的適當活動。這包括：

• 具備聯合清除資源的虛擬安全營運中心 (vSOC)，以進行安全性監控 
• 已定義且經核准的事件回應程序

復原 

此功能可找出維持還原計畫的適當活動，並恢復網路安全事件所損及的任何能力或服務。這包括： 

• 已定義且經核准的業務連續性、應變和災難恢復計畫 (24 小時內進行 RTO，1 小時內進行 RPO) 
• 定期測試和評估這些計畫

除了這個強而有力的安全基礎外，Iron Mountain Insight® 還提供額外的安全功能，可用來授予或限制平台內的內容存取權限。這些使用者控制項會套用在角色層級，並可根據內容中繼資料新增準則以進行強化，進一步限制對機密資訊的存取權。所有業務功能都會記錄，確保有完整的稽核線索可供使用。 

如需其他資訊，請聯繫我們。