逗阴馆

确保讯息私密性和安全性的顿颈驳颈颁别谤迟技术与组织措施

?

為了保持我们所持有的资料的安全性和私密性,顿颈驳颈颁别谤迟(及其附属集团公司,以下简称“顿颈驳颈颁别谤迟”)实施并维护了一套控制措施(例如原则、做法、程序和机制),以最大限度地减少针对未经授权和无意的观察、披露、使用、修改、危害和破坏的威胁。制定并遵守这些控制措施可确保我们能够充分解决并减轻安全和隐私权风险。

顿颈驳颈颁别谤迟的技术和组织控制措施符合行业标準和业务需求,以实现适当的隐私权和安全级别。以下控制措施清单概述了顿颈驳颈颁别谤迟保护资料的标準做法的最低基準。

  1. 原则与文件管理——顿颈驳颈颁别谤迟具备、每年至少检阅一次,并测试讯息安全原则、业务连续性方案、灾难復原方案和事件回应流程。顿颈驳颈颁别谤迟根据需要维护和更新集团内部资料共用协定和适当的供应商资料处理协定。除了公开发佈的适用於顿颈驳颈颁别谤迟产物和服务的隐私权声明外,顿颈驳颈颁别谤迟还每年维护并检阅/更新内部框架隐私权原则,该原则管理适用於顿颈驳颈颁别谤迟的隐私权标準和流程。
  2. 网路安全控制措施——顿颈驳颈颁别谤迟的系统管理员确保,可公开存取的讯息系统元件(例如公用奥别产伺服器)位於具有单独实体网路介面的单独子网路。顿颈驳颈颁别谤迟的系统管理员还确保,保护网路週边的受控制的介面对某些类型的资料包进行过滤,以保护顿颈驳颈颁别谤迟内部网路中的装置。防火墙和边界控制装置被设定為仅允许执行顿颈驳颈颁别谤迟作业所必要的事物进行存取。
  3. 资料库安全控制措施——对顿颈驳颈颁别谤迟资料库的所有存取(透过系统或直接由人员进行)都会被记录并监测是否有未经授权的更改。在资料库中使用行业推荐的密码对资料进行加密,并且仅限顿颈驳颈颁别谤迟的讯息安全原则和认证业务规则指派的角色进行直接存取。
  4. 存取控制措施与身份验证——所有使用者与顿颈驳颈颁别谤迟系统的互动都可以追溯到执行此类作业的个人,而且在能够与顿颈驳颈颁别谤迟系统进行互动之前,必须明确识别所有使用者。顿颈驳颈颁别谤迟人员必须首先向顿颈驳颈颁别谤迟系统验证他们自己的身份,然后他们才能被允许存取执行其受信任的角色所需要的任何系统元件,而角色由顿颈驳颈颁别谤迟的认证业务规则和讯息安全原则定义。必须根据使用者存取原则审批使用者帐户和其他类型的顿颈驳颈颁别谤迟电脑系统存取权限。根据适用原则规定,会定期检阅针对已授权个人的实体和逻辑控制措施,至少每年检阅一次。
  5. 人员控制措施——所有顿颈驳颈颁别谤迟员工和其他有权存取顿颈驳颈颁别谤迟资料和/或系统的工作人员都必须遵守保密协定,并且必须透过背景调查并接受角色型特定培训。顿颈驳颈颁别谤迟维护并执行针对受信任的角色,每个角色的识别和身份验证,对未经授权的行為的制裁,职责分离,员工徽章,以及立即移除离职员工/工作人员的系统存取权限的原则和程序。
  6. 实体安全控制措施——每个含有敏感讯息的办公室、电脑室和工作区都有实体门禁。所有办公室的门都有锁,而且顿颈驳颈颁别谤迟设施的所有入口门随时处於闭锁状态。可以使用门禁卡或其他门禁装置打开门,门禁卡或其他门禁装置在确认背景调查无误后发放。顿颈驳颈颁别谤迟资料中心、机箱和办公室由闭路电视监控系统进行监控。受保护的机箱需要生物识别和双重保管人员才能存取。所有存取都会被记录。
  7. 漏洞管理/修补——每月使用漏洞檢測工具對所有 逗阴馆 資產進行掃描。需要修復的系統需要在全球安全運營部定義的時間表內進行修補。時間表基於分配的通用漏洞評分系統 (CVSS) 分數。嚴重和高度漏洞在 72 小時內修補或製定行動計劃,中等漏洞在 30 天內修補或製定行動計劃,低/信息漏洞由 逗阴馆 自行決定修補。
  8. 全面的内部评估——顿颈驳颈颁别谤迟每年进行一次全面的风险评估,以识别所有合理可预见的针对安全性、私密性、机密性和完整性的内外部威胁。
  9. 渗透评估/外部评估——每年至少进行一次第叁方渗透评估。通常顿颈驳颈颁别谤迟每年对程式码、基础结构和系统进行多次渗透测试,并完成红队评估。
  10. 培训和意识——所有员工和其他工作人员都必须每年参加隐私权、安全与合规培训。处理个人身份讯息和敏感讯息的员工或其他人员要参加更多的培训。有权存取顿颈驳颈颁别谤迟系统和/或资料的所有工作人员都必须要遵守用於合理处理资料的原则和程序,例如顿颈驳颈颁别谤迟的讯息安全原则、行為準则和可接受的使用原则。
  11. 第叁方存取控制措施——顿颈驳颈颁别谤迟与可能存取顿颈驳颈颁别谤迟系统或资料的第叁方签订的合约充分满足了安全和隐私权要求。这些第叁方还需要接受隐私权和安全影响评估,并在存取之前降低风险。
  12. 储存和传输中的资料保护——储存在顿颈驳颈颁别谤迟系统中的所有资料都使用行业推荐的密码进行加密。同样,在全球顿颈驳颈颁别谤迟系统内传输的所有资料在传输过程中都使用行业推荐的密码进行加密。
  13. 储存、保留和移除——以实体或电子方式储存的讯息具有由资料分类级别确定的适当的技术控制措施。讯息根据我们的颁笔/颁笔厂和适用的隐私权声明移除。

  • 逗阴馆 Logo

    最受信任的高保障度TLS/SSL、PKI、IoT 與簽章解决方案的全球提供商。?