Überwachung

Wir glauben, dass Twist eine erhebliche Verantwortung für den Schutz der digitalen Informationen unserer Kunden und Mitarbeiter trägt. Twist folgt den Leitlinien nationaler und internationaler Behörden und macht Cybersicherheit zu einem wichtigen Grundsatz unserer übergreifenden Geschäftstätigkeit. Unser Cybersicherheitsprogramm basiert ebenso wie unsere Qualitäts- und Biosicherheitsprogramme auf der Grundlage internationaler Standards und wird von Experten auf diesem Gebiet überwacht und einer strengen und kontinuierlichen Prüfung unterzogen.

Strategie

Der Kern unseres Cybersicherheitsprogramms ist unser Information Security Management System (ISMS). Als ISO 27001-zertifiziertes Unternehmen wird Twist jedes Jahr von einer akkreditierten, unabhängigen Zertifizierungsstelle geprüft, um sicherzustellen, dass alle funktionierenden Teile unseres ISMS – unsere Mitarbeiter, unsere Prozesse und unsere Technologie – dem Standard entsprechen. Unser Vorstand überwacht alle Cybersicherheitsbemühungen auf höchster Ebene des Unternehmens.

Mitarbeiter 

• Alle Beschäftigten des Unternehmens, ob Vollzeit- oder Teilzeitbeschäftigte, Berater oder Auftragnehmer, werden in unserem Cybersecurity Awareness-Programm geschult. Das Programm umfasst jährliche Schulungen, vierteljährliche Tests und eine wöchentliche Informationskampagne, um die digitale Sicherheit im Bewusstsein unseres Teams hochzuhalten.
• Unser Executive Leadership Team (ELT), Audit Committee (AC) und Product Approval Committee (PAC) werden alle regelmäßig über die Cybersicherheitslage des Unternehmens informiert und geben Hinweise zu Strategie und Prioritäten.
• Es werden Zuverlässigkeitsüberprüfungen der Mitarbeiter durchgeführt, Rollen und Verantwortlichkeiten werden klar abgegrenzt, ein striktes Prinzip des minimalen Zugangs („Principle of Least Privilege“) regelt die Zugriffsrechte und die Aufgabentrennung ist in unseren Richtlinien verankert.
• Externe Partnerschaften mit Compliance-Experten, Penetrationstestern, Security-Operation-Center-Teams, auf Cybersicherheit spezialisierten Anwaltskanzleien sowie nationalen und globalen Behörden, darunter das Center for Internet Security (CIS), MITRE, das United States Computer Emergency Readiness Team (US-CERT), die Cybersecurity and Infrastructure Security Agency (CISA) und das FBI.

Prozess 

• Jährliche Audits und Neuzertifizierung nach ISO 27001, um sicherzustellen, dass die Datenschutzpraktiken den geltenden Gesetzen und Best Practices für Cybersicherheit entsprechen.
• Jährliche Risikobewertung, durchgeführt vom ISMS-Team und gesponsert von einem ELT-Vertreter.
• Jährliche Penetrationsprüfungen durch eine akkreditierte Drittagentur.
• Kontinuierliches Prüfen auf und Beheben von Schwachstellen sowohl in unserem Code als auch bei unseren Diensten.
• Regelmäßige Überprüfungen der Zugangskontrolle für alle kritischen Systeme.
• Richtlinien und Verfahren für Reaktionen auf Vorfälle, Geschäftskontinuität und Notfallwiederherstellung zur Bewältigung von Cybersicherheitsvorfällen oder Naturkatastrophen.
• Supply-Chain-Management mit Lieferantenauswahl-Sicherheitsbewertungen und Lieferantenbewertungen.
• Datenschutzrichtlinien und -praktiken des Unternehmens, die den geltenden Datenschutzgesetzen und -vorschriften entsprechen, einschließlich der Datenschutz-Grundverordnung (DSGVO) und des California Consumer Privacy Act (CCPA).

Überprüfung von Sequenzen und Kunden

Um die Synthese potenziell gefährlicher Sequenzen zu vermeiden, hat Twist ein umfassendes Screening-Programm implementiert. Alle bestellten doppelsträngigen DNA-Sequenzen werden daraufhin untersucht, ob sie von einem Organismus oder Toxin stammen, dessen Besitz im In- oder Ausland kontrolliert wird. Zu diesen kontrollierten Organismen oder Toxinen gehören Pocken, gefährliche Stämme der Vogelgrippe und andere Krankheitserreger, die eine erhebliche Gefahr für die Gesundheit von Tieren, Pflanzen oder Menschen darstellen. Kontrollierte Organismen und Toxine unterliegen strengen Vorschriften, und ihr Besitz ist eingeschränkt.


Wenn beim Screening eine kontrollierte Sequenz (oder ein Teil davon) entdeckt wird, kontaktiert Twist den Kunden, um die Identität des Kunden, seinen Verwendungszweck für die Sequenzen und frühere Veröffentlichungsaufzeichnungen zu ähnlichen Forschungsarbeiten zu überprüfen und sicherzustellen, dass alle erforderlichen Lizenzen vor dem Versand ausgestellt werden.


Darüber hinaus verwendet Twist verschiedene behördliche Listen, wie z. B. die Specially Designated Nationals List des US-Finanzministeriums, die Denied Parties List des US-Außenministeriums und die Entity List des US-Handelsministeriums, um jeden Kunden zu überprüfen und sicherzustellen, dass synthetische DNA nicht an potenziell gefährliche Einzelpersonen oder Organisationen verkauft wird. Darüber hinaus bestätigt Twist die Gültigkeit jeder Organisation, an die sie verkauft, und verlangt, dass Kunden zustimmen, von Twist hergestellte synthetische DNA nicht weiterzuverkaufen, es sei denn, sie wurden im Rahmen eines bestimmten Vertrags dazu lizenziert. Schließlich versendet Twist synthetische DNA nur an gültige Geschäftsadressen und nicht an Wohnadressen oder Postfächer.

Unser Biosicherheitsprogramm umfasst die Teilnahme an nationalen und internationalen Initiativen zur Verbesserung von Algorithmen, Metadaten und Tools, die von Forschern zur Bewertung potenzieller biologischer Risiken verwendet werden, die von bestimmten DNA- und Proteinsequenzen ausgehen. Als wichtiger Technologieanbieter ist sich Twist der Bedeutung einer verbesserten Biosicherheit bewusst und ist bestrebt, zu einer sicheren Biotechnologieumgebung beizutragen. Das Unternehmen arbeitet mit Regierungen, akademischen Institutionen, internationalen Nichtregierungsorganisationen und anderen DNA-Synthese-Anbietern zusammen, um eine Reihe konsistenter Best Practices für die Biosicherheit zu entwickeln. Während sich der Bereich der synthetischen Biologie weiterentwickelt, arbeitet Twist weiterhin aktiv an der Erstellung des Biosicherheitsleitfadens, um sicherzustellen, dass geeignete Schutzmaßnahmen vorhanden sind.