用友將網(wǎng)絡(luò)安全、數(shù)據(jù)安全及隱私保護作為公司運營底線,在制度與體系建設(shè)、安全能力建設(shè)、內(nèi)部安全治理、安全意識深化等方面開展重點工作,確保公司各項安全策略與目標有效落地,持續(xù)提升公司整體信息與隱私保護水平。
用友數(shù)據(jù)安全與隱私保護主要政策制度及覆蓋范圍:
主要政策制度
《用友集團數(shù)據(jù)管理制度》《用友集團個人信息保護管理規(guī)范》《用友集團運維安全管理規(guī)范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》覆蓋范圍
集團本部所有境內(nèi)組織數(shù)據(jù)安全
制定《產(chǎn)品安全與應(yīng)急響應(yīng)規(guī)范》,建立產(chǎn)品安全與與應(yīng)急響應(yīng)團隊,明確漏洞收集、評估、修復(fù)、披露等數(shù)據(jù)保護措施的規(guī)范要求,并納入產(chǎn)品全生命周期的管理。隱私保護
制定《用友集團個人信息保護管理規(guī)范》,對個人信息的收集、傳輸和存儲、使用等作出明確規(guī)定與承諾,進一步明確個人信息主體對其信息的刪除權(quán)、查詢和變更權(quán)、復(fù)制和轉(zhuǎn)移權(quán)、個人信息授權(quán)撤回權(quán),確保集團在個人信息與數(shù)據(jù)處理上的合規(guī)合法,防止個人信息泄露或非法使用,切實保障客戶利益。數(shù)據(jù)控制權(quán)限:
相關(guān)政策
《用友集團數(shù)據(jù)管理制度》內(nèi)容節(jié)選
“第601條 數(shù)據(jù)運營管理者要嚴格規(guī)范數(shù)據(jù)使用,建立數(shù)據(jù)使用申請與審批流程。數(shù)據(jù)使用者在申請使用數(shù)據(jù)時,需要在申請單中對使用原因和使用期限進行詳細說明。數(shù)據(jù)運營管理者應(yīng)根據(jù)其必要性和合理性進行審批。”數(shù)據(jù)泄露/事故的應(yīng)對:
相關(guān)政策
《用友集團數(shù)據(jù)管理制度》《用友集團個人信息安全管理規(guī)范》內(nèi)容節(jié)選
《用友集團數(shù)據(jù)管理制度》“第704條 數(shù)據(jù)運營管理者應(yīng)建立數(shù)據(jù)安全事件的應(yīng)急響應(yīng)機制,制定數(shù)據(jù)安全應(yīng)急預(yù)案,并每年進行一次應(yīng)急演練工作?!薄队糜鸭瘓F個人信息安全管理規(guī)范》”第602條 3、如個人信息安全事件已造成危害,應(yīng)及時將事件相關(guān)情況以郵件、電話、推送通知等方式告知受影響的個人信息主體,難以逐一告知個人信息主體時,應(yīng)采取合理、有效的方式發(fā)布有關(guān)的警示信息;如發(fā)生超過10萬人個人信息或者關(guān)系民生、公共利益的敏感個人信息泄露、損壞、丟失的安全事件,應(yīng)及時通過集團網(wǎng)絡(luò)安全部門將有關(guān)情況上報監(jiān)管機構(gòu)。”對信息安全系統(tǒng)的審計:
相關(guān)政策
《用友集團數(shù)據(jù)管理制度》《用友集團運維安全管理規(guī)范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》內(nèi)容節(jié)選
《用友集團數(shù)據(jù)管理制度》:數(shù)據(jù)安全監(jiān)管者需要對本級組織定期開展數(shù)據(jù)安全監(jiān)督檢查,形成檢查報告提交公司的相關(guān)監(jiān)管部門以供審計。第三方處理個人數(shù)據(jù):
相關(guān)政策
《用友集團個人信息保護管理規(guī)范》內(nèi)容節(jié)選
“第501條:1、如涉及個人信息委托處理,應(yīng)通過合作協(xié)議、合同條款等書面方式明確規(guī)定被委托方的責任與義務(wù)?!薄暗?04條:1. 如與其他第三方共同處理個人信息,應(yīng)當通過合同等形式與第三方共同確定應(yīng)滿足的個人信息安全要求,以及在個人信息安全方面自身和第三方的權(quán)利及應(yīng)分別承擔的義務(wù),并向個人信息主體明確告知?!?最小化個人信息收集:
相關(guān)政策
《用友個人信息保護管理規(guī)范》內(nèi)容節(jié)選
“第202條:1、收集個人信息的類型應(yīng)當與實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指沒有該等信息的參與,產(chǎn)品或服務(wù)的功能無法實現(xiàn)。不得超范圍收集個人信息。2、收集個人信息的方式應(yīng)采取對個人權(quán)益影響最小的方式?!?br> 拓展閱讀鏈接:《友空間最小用戶權(quán)限實例》(跳轉(zhuǎn)PDF)合作伙伴的合規(guī)管理:
相關(guān)政策
《用友個人信息保護管理規(guī)范》內(nèi)容節(jié)選
“第501條:2、如需委托第三方機構(gòu)處理公司收集的個人信息時,委托行為不應(yīng)超出已征得個人信息主體授權(quán)同意的范圍,相關(guān)業(yè)務(wù)部門應(yīng)與集團網(wǎng)絡(luò)安全部共同對被委托方進行評估,確保其具備足夠個人信息保護水平。包括不限于:安全資質(zhì)、個人信息保護規(guī)范/數(shù)據(jù)安全規(guī)范制度、能力及實踐等?!?ISO 27001
ISO/IEC 27001是目前國際上被廣泛接受和應(yīng)用的信息安全管理體系認證標準。該標準以風(fēng)險管理為核心,通過定期評估風(fēng)險和對應(yīng)的控制措施來有效保障組織信息安全管理體系的持續(xù)運行。ISO 27017
ISO/IEC 27017是針對云計算信息安全的國際認證。ISO/IEC 27017的通過,表明云服務(wù)提供商在信息安全管理能力達到了國際公認的優(yōu)秀實踐。ISO 27018
ISO/IEC 27018是專注于云中個人數(shù)據(jù)保護的國際行為準則。ISO/IEC 27018的通過,表明云服務(wù)提供商已擁有完備的個人數(shù)據(jù)保護管理系統(tǒng)。ISO 27701
ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統(tǒng)標準體系,為保護個人隱私提供指導(dǎo),包括組織應(yīng)如何管理個人信息,并協(xié)助證明遵守了世界各地的隱私法規(guī)。ISO 9001
ISO 9001是ISO 9000族標準所包括的一組質(zhì)量管理體系核心標準之一,用于證實組織具有提供滿足顧客要求和適用法規(guī)要求的產(chǎn)品的能力。ISO 20000
ISO/IEC 20000是針對信息技術(shù)服務(wù)管理領(lǐng)域的國際標準,提供設(shè)計、建立、實施、運行、監(jiān)控、評審、維護和改進服務(wù)管理體系的模型以保證服務(wù)提供商可提供有效的IT服務(wù)來滿足您的需求。ISO 45001
ISO 45001是針對職業(yè)建康安全管理體系的國際認證標準。該標準以風(fēng)險控制為核心,通過建立包含組織結(jié)構(gòu)、職責、培訓(xùn)、信息溝通、應(yīng)急準備與響應(yīng)等要素的管理體系,持續(xù)改進職業(yè)健康安全績效。ISO 14001
ISO 14001是目前國際上被廣泛接受和認可的環(huán)境管理體系認證標準。ISO 14001的通過,證明該組織在環(huán)境管理方面達到了國際水平,能夠確保對企業(yè)各過程、產(chǎn)品及活動中的各類污染物控制達到相關(guān)要求。CSA STAR
CSA STAR認證是由英國標準協(xié)會(BSI)和云安全聯(lián)盟(CSA)聯(lián)合推出的國際范圍內(nèi)的針對云安全水平的權(quán)威認證,旨在應(yīng)對與云安全相關(guān)的特定問題。CSA STAR以ISO/IEC 27001認證為基礎(chǔ),結(jié)合云端安全控制矩陣CCM的要求,運用BSI提供的成熟度模型和評估方法,綜合評估組織云端安全管理和技術(shù)能力。CMMI5
CMMI軟件能力成熟度集成模型評估認證體系覆蓋產(chǎn)品概念、計劃、研發(fā)、驗證、生產(chǎn)制造全生命周期流程,是衡量企業(yè)研發(fā)能力和項目管理能力的國際標準,其中,CMMI5為該體系對企業(yè)研發(fā)管理標準化、規(guī)范化、成熟度的最高級資質(zhì)認證。網(wǎng)絡(luò)安全等級保護(三級)
網(wǎng)絡(luò)安全等級保護是對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護,對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理,對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。可信云服務(wù)認證
可信云服務(wù)評估是由數(shù)據(jù)中心聯(lián)盟(DCA)組織、中國信息通信研究院(工信部電信研究院)測評的面向云計算服務(wù)和產(chǎn)品的權(quán)威評估體系??尚旁品?wù)評估的核心目標是建立云服務(wù)商的評估體系,為您選擇安全、可信的云服務(wù)商提供支撐,促進我國云計算市場健康、創(chuàng)新發(fā)展,提升服務(wù)質(zhì)量和誠信水平,逐步建立云計算產(chǎn)業(yè)的信任體系,被業(yè)界廣泛接受和信任。EAL3+
EAL3+級認證是中國信息安全測評中心基于國家標準《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》(GB/T18336-2008)對各類信息技術(shù)產(chǎn)品進行的安全測評認證。其根據(jù)安全保證的等級進行分級評估,通過對信息安全產(chǎn)品的生命周期,包括從技術(shù)、研發(fā)、管理、交付等多個部分進行全面的安全性評估和測試、驗證產(chǎn)品的保密性、完整性和可用性程度的一項專業(yè)測評。云服務(wù)(SAAS云)標準符合性證書+
該評估以《信息技術(shù)云計算云服務(wù)運營通用要求》等相關(guān)國家標準為依據(jù),是云服務(wù)/云計算領(lǐng)域目前國內(nèi)首個分級評估,從人員、流程、技術(shù)、資源和性能等五方面進行全方位的服務(wù)能力測評,從而確定參評企業(yè)所達到的能力等級。運行維護標準符合性證書(一級)
該評估以《信息技術(shù)服務(wù)運行維護服務(wù)能力成熟度模型》等相關(guān)國家標準為依據(jù),從運維服務(wù)能力管理、人員、資源、技術(shù)過程、應(yīng)急、交付、質(zhì)量等方面進行全方位的運行維護服務(wù)能力成熟度評估,從而確定參評企業(yè)所達到的能力等級。企業(yè)信用等級證書(AAA)
企業(yè)信用等級證書(AAA級)是中國軟件行業(yè)協(xié)會頒發(fā)的企業(yè)信用最高等級證書,主要考察企業(yè)的綜合素質(zhì)、企業(yè)競爭力、經(jīng)營狀況、管理能力、財務(wù)狀況、行業(yè)特性因素、信用記錄、供應(yīng)商和客戶狀況等多個方面,體現(xiàn)企業(yè)的綜合競爭力、抗風(fēng)險能力、資信狀況、軟實力和信譽度。系統(tǒng)集成企業(yè)能力標準符合性證書(壹級)
系統(tǒng)集成企業(yè)能力標準符合性證書是由國家標準化管理委員會等政府部門以及中國系統(tǒng)集成行業(yè)協(xié)會等行業(yè)組織發(fā)布的,以全面規(guī)范系統(tǒng)集成服務(wù)產(chǎn)品及其組成要素,指導(dǎo)實施標準化和可信賴系統(tǒng)集成服務(wù)的一系列標準,體現(xiàn)系統(tǒng)集成企業(yè)的服務(wù)能力和服務(wù)質(zhì)量。用友云提供的基礎(chǔ)設(shè)施足夠安全嗎?
用友云將基礎(chǔ)設(shè)施安全作為云安全中心的核心組成部分,合作的基礎(chǔ)設(shè)施服務(wù)商具備國際一流、非常完善的安全及隱私保護體系,均已獲得國內(nèi)外權(quán)威資質(zhì)認證(如等級保護、ISO27001、ISO27018等)。用友云如何保障云上我的數(shù)據(jù)的安全性?
用友云高度重視您的數(shù)據(jù)資產(chǎn),把數(shù)據(jù)保護作為用友云安全策略的核心。但是,值得強調(diào)的是,對于您使用云服務(wù)產(chǎn)生的內(nèi)容數(shù)據(jù),用友云只是其托管者,您對其擁有所有權(quán)和控制權(quán)。未經(jīng)授權(quán),用友云除執(zhí)行您的服務(wù)要求外不會訪問、使用或移動客戶數(shù)據(jù)。您需要負責各項具體的數(shù)據(jù)安全配置,對其保密性、完整性、可用性以及數(shù)據(jù)訪問的身份驗證和鑒權(quán)進行有效保障。用友云是否將我的數(shù)據(jù)轉(zhuǎn)移到其它地區(qū)或國家?
在沒有獲得您的明確同意或者存在其他法律義務(wù)要求的情況下,用友云不會將您的數(shù)據(jù)轉(zhuǎn)移到其他國家/區(qū)域。您若有將數(shù)據(jù)進行跨境轉(zhuǎn)移的需求且需用友云協(xié)助時,可聯(lián)系用友云,用友云將在與您協(xié)商一致后配合您進行數(shù)據(jù)轉(zhuǎn)移。加入“友安全”保障計劃
如果您還在為入侵檢測、入侵防御、病毒查殺、資產(chǎn)清點等安全防御問題一籌莫展,敬請加入“友安全”保障計劃! “友安全”保障計劃基于網(wǎng)絡(luò)攻擊檢測系統(tǒng),提供全面安全的托管服務(wù),實現(xiàn)終端安全防范,保護企業(yè)網(wǎng)絡(luò)核心資產(chǎn)。 助力網(wǎng)絡(luò)安全,護駕企業(yè)成功!