资讯安全管理系统
AEWIN科技资讯安全政策
AEWIN科技非常重视保护客户和投资者的利益。随着新兴技术的快速发展,公司可能面临外部恶意威胁和安全漏洞,这可能导致声誉损害和业务中断,从而影响客户和股东的权益。
为了应对这些风险,AEWIN科技已实施ISO 27001资讯安全管理系统(ISMS),建立资讯安全政策及相关程序,并将其传达给所有员工,以加强内部资讯安全治理,提高员工对资讯安全的意识。
资讯安全政策声明
AEWIN科技特此声明其资讯安全政策如下:
资讯安全目标
1.1 通过实施严格的访问控制,确保公司资讯资产的机密性,只允许授权人员访问。
1.2 确保资讯处理的完整性,防止未经授权的修改。
1.3 确保资讯系统和服务的持续运行和可用性。
1.4 确保所有资讯操作遵守适用的法律、法规和合同要求。
资讯安全控制措施
2.1 成立由总经理主持的资讯安全管理组织,监督ISMS的运作,识别内部和外部问题,并了解利益相关方对资讯安全的期望和要求。
2.2 管理层致力于维护资讯安全,持续改善资讯安全绩效,减少安全事件的发生,以保障客户利益。
2.3 定期审查和更新ISMS文件,并实施明确的管理控制以保护相关记录。
2.4 定期进行资讯资产清查、分类、影响分析和风险评估,以识别影响ISMS的风险并实施适当的风险处理措施。
2.5 为员工提供定期的资讯安全培训和意识提升计划。所有员工都有责任保护自己拥有、管理或使用的资讯资产。
2.6 部门经理应确保适当的职责和责任分离,以防止未经授权的修改或滥用可能影响客户的资讯、产品或服务。
2.7 对于需要访问公司资讯资产的供应商、承包商、临时工和访客,应进行适当的审查并签署资讯安全合规协议。
2.8 根据业务需求和可能影响客户利益的潜在事件建立业务持续性计划,并定期进行演练,以确保在中断事件发生时能迅速恢復。
2.9 建立资讯安全绩效指标并定期测量,以确保ISMS实施和控制过程的有效性。
2.10 确保受控区域和办公环境的安全,以防止资讯资产的盗窃或损坏。
2.11 持续加强网络和通信安全管理,以减少因黑客攻击、外部攻击和恶意软件可能影响正常运作而造成的风险。
2.12 所有产品开发、修改和维护活动应遵循ISO 27001的控制原则,并仅在交付前经过适当的评估、讨论、分析、授权、测试和验证后进行。
2.13 在发生资讯安全事件、漏洞或违反安全政策和程序的情况下,公司应遵循既定程序进行报告、影响分析、确认和实施纠正措施,以最小化损失。
2.14 遵守适用的内部和外部法律法规,建立必要的控制程序,定期进行资讯安全审计,并维持ISO 27001认证。
2.15 对于移动设备安全,员工需使用公司发放的笔记型电脑,并遵守公司管理政策,以减少与移动设备使用相关的风险。
政策审查
本政策应至少每年审查一次,并根据需要进行修订和公告。
