• 用友信任中心

    用友將網(wǎng)絡(luò )安全、數據安全及隱私保護作為公司運營(yíng)底線(xiàn),在制度與體系建設、安全能力建設、內部安全治理、安全意識深化等方面開(kāi)展重點(diǎn)工作,確保公司各項安全策略與目標有效落地,持續提升公司整體信息與隱私保護水平。

    隱私與數據安全政策

    用友數據安全與隱私保護主要政策制度及覆蓋范圍:

    • 主要政策制度

      《用友集團數據管理制度》《用友集團個(gè)人信息保護管理規范》《用友集團運維安全管理規范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》
    • 覆蓋范圍

      集團本部所有境內組織
    • 數據安全

      制定《產(chǎn)品安全與應急響應規范》,建立產(chǎn)品安全與與應急響應團隊,明確漏洞收集、評估、修復、披露等數據保護措施的規范要求,并納入產(chǎn)品全生命周期的管理。
      2022年4月正式發(fā)布

      制定《YonBIP 網(wǎng)絡(luò )與信息安全應急預案》,建立應急組織架構,按照安全事件分類(lèi),擬定網(wǎng)絡(luò )中斷、黑客攻擊、大規模病毒(含惡意軟件)攻擊、數據庫系統故障、設備硬件故障的處理流程。每年至少舉辦一次應急計劃培訓,至少開(kāi)展一次應急行動(dòng)演練。

      制定《互聯(lián)網(wǎng)出口安全管理辦法》,明確網(wǎng)絡(luò )區域和互聯(lián)網(wǎng)出口管理部門(mén)的職責劃分,明確開(kāi)通互聯(lián)網(wǎng)出口的流程與要求,遵循非必要不開(kāi)放原則,嚴控網(wǎng)絡(luò )安全出口管理中違規相關(guān)違規行為。
      2022年4月正式發(fā)布

      制定《集團內容安全管理規范》,在集團內部大力開(kāi)展內容安全治理,所有涉及用戶(hù)注冊、內容發(fā)布的系統都強制接入內容安全審核平臺,同時(shí)各業(yè)務(wù)部門(mén)配套審核人員進(jìn)行人工核驗,確保集團業(yè)務(wù)合規運營(yíng)。
      2022年9月正式發(fā)布

      制定《賬號、密碼安全管理辦法》,對賬號進(jìn)行分類(lèi)管理,規范各類(lèi)賬號的密碼設置要求。
      2022年7月正式發(fā)布

      制定《數據安全管理制度(試行)》,落實(shí)《數據安全法》,明確數據歸屬權、數據分級分類(lèi)以及數據生命周期管理的各項要求。
      2022年8月修訂發(fā)布

      制定《移動(dòng)應用安全管理規范》,規范移動(dòng) APP 上線(xiàn)的安全管控要求及流程。
      2022年10月正式發(fā)布
    • 隱私保護

      制定《用友集團個(gè)人信息保護管理規范》,對個(gè)人信息的收集、傳輸和存儲、使用等作出明確規定與承諾,進(jìn)一步明確個(gè)人信息主體對其信息的刪除權、查詢(xún)和變更權、復制和轉移權、個(gè)人信息授權撤回權,確保集團在個(gè)人信息與數據處理上的合規合法,防止個(gè)人信息泄露或非法使用,切實(shí)保障客戶(hù)利益。
      2022年8月正式發(fā)布

    數據控制權限:

    • 相關(guān)政策

      《用友集團數據管理制度》
    • 內容節選

      “第601條 數據運營(yíng)管理者要嚴格規范數據使用,建立數據使用申請與審批流程。數據使用者在申請使用數據時(shí),需要在申請單中對使用原因和使用期限進(jìn)行詳細說(shuō)明。數據運營(yíng)管理者應根據其必要性和合理性進(jìn)行審批?!?br> 公司為客戶(hù)提供了個(gè)人信息刪除渠道,同時(shí)如果個(gè)人信息主體發(fā)現公司違反法律法規規定、違反與個(gè)人信息主體的約定及認為公司不再有必要持有個(gè)人信息主體的的個(gè)人數據時(shí),公司會(huì )根據要求刪除個(gè)人數據。
      在滿(mǎn)足國家法律法規、行政法規及行業(yè)主管部門(mén)有關(guān)規定的、前提下,公司設置的個(gè)人信息存儲期限為實(shí)現處理目的所必要的最短時(shí)間。

    數據泄露/事故的應對:

    • 相關(guān)政策

      《用友集團數據管理制度》《用友集團個(gè)人信息安全管理規范》
    • 內容節選

      《用友集團數據管理制度》“第704條 數據運營(yíng)管理者應建立數據安全事件的應急響應機制,制定數據安全應急預案,并每年進(jìn)行一次應急演練工作?!薄队糜鸭瘓F個(gè)人信息安全管理規范》”第602條 3、如個(gè)人信息安全事件已造成危害,應及時(shí)將事件相關(guān)情況以郵件、電話(huà)、推送通知等方式告知受影響的個(gè)人信息主體,難以逐一告知個(gè)人信息主體時(shí),應采取合理、有效的方式發(fā)布有關(guān)的警示信息;如發(fā)生超過(guò)10萬(wàn)人個(gè)人信息或者關(guān)系民生、公共利益的敏感個(gè)人信息泄露、損壞、丟失的安全事件,應及時(shí)通過(guò)集團網(wǎng)絡(luò )安全部門(mén)將有關(guān)情況上報監管機構?!?

    對信息安全系統的審計:

    • 相關(guān)政策

      《用友集團數據管理制度》《用友集團運維安全管理規范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》
    • 內容節選

      《用友集團數據管理制度》:數據安全監管者需要對本級組織定期開(kāi)展數據安全監督檢查,形成檢查報告提交公司的相關(guān)監管部門(mén)以供審計。
      《用友集團運維安全管理規范》:各運維部門(mén)在日常運維過(guò)程中,需要保留各類(lèi)審批和執行記錄,公司的相關(guān)監管部門(mén)會(huì )定期審計各項辦法和細則的執行情況。
      《用友集團互聯(lián)網(wǎng)出口安全管理辦法》:公司的相關(guān)監管部門(mén)會(huì )定期審計開(kāi)通互聯(lián)網(wǎng)出口的系統,并形成審計報告。

    第三方處理個(gè)人數據:

    • 相關(guān)政策

      《用友集團個(gè)人信息保護管理規范》
    • 內容節選

      “第501條:1、如涉及個(gè)人信息委托處理,應通過(guò)合作協(xié)議、合同條款等書(shū)面方式明確規定被委托方的責任與義務(wù)?!薄暗?04條:1. 如與其他第三方共同處理個(gè)人信息,應當通過(guò)合同等形式與第三方共同確定應滿(mǎn)足的個(gè)人信息安全要求,以及在個(gè)人信息安全方面自身和第三方的權利及應分別承擔的義務(wù),并向個(gè)人信息主體明確告知?!?

    最小化個(gè)人信息收集:

    • 相關(guān)政策

      《用友個(gè)人信息保護管理規范》
    • 內容節選

      “第202條:1、收集個(gè)人信息的類(lèi)型應當與實(shí)現產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指沒(méi)有該等信息的參與,產(chǎn)品或服務(wù)的功能無(wú)法實(shí)現。不得超范圍收集個(gè)人信息。2、收集個(gè)人信息的方式應采取對個(gè)人權益影響最小的方式?!?br> 拓展閱讀鏈接:《友空間最小用戶(hù)權限實(shí)例》(跳轉PDF)

    合作伙伴的合規管理:

    • 相關(guān)政策

      《用友個(gè)人信息保護管理規范》
    • 內容節選

      “第501條:2、如需委托第三方機構處理公司收集的個(gè)人信息時(shí),委托行為不應超出已征得個(gè)人信息主體授權同意的范圍,相關(guān)業(yè)務(wù)部門(mén)應與集團網(wǎng)絡(luò )安全部共同對被委托方進(jìn)行評估,確保其具備足夠個(gè)人信息保護水平。包括不限于:安全資質(zhì)、個(gè)人信息保護規范/數據安全規范制度、能力及實(shí)踐等?!?
    國際權威認證
    • ISO 27001

      ISO/IEC 27001是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。該標準以風(fēng)險管理為核心,通過(guò)定期評估風(fēng)險和對應的控制措施來(lái)有效保障組織信息安全管理體系的持續運行。
    • ISO 27017

      ISO/IEC 27017是針對云計算信息安全的國際認證。ISO/IEC 27017的通過(guò),表明云服務(wù)提供商在信息安全管理能力達到了國際公認的優(yōu)秀實(shí)踐。
    • ISO 27018

      ISO/IEC 27018是專(zhuān)注于云中個(gè)人數據保護的國際行為準則。ISO/IEC 27018的通過(guò),表明云服務(wù)提供商已擁有完備的個(gè)人數據保護管理系統。
    • ISO 27701

      ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統標準體系,為保護個(gè)人隱私提供指導,包括組織應如何管理個(gè)人信息,并協(xié)助證明遵守了世界各地的隱私法規。
    • ISO 9001

      ISO 9001是ISO 9000族標準所包括的一組質(zhì)量管理體系核心標準之一,用于證實(shí)組織具有提供滿(mǎn)足顧客要求和適用法規要求的產(chǎn)品的能力。
    • ISO 20000

      ISO/IEC 20000是針對信息技術(shù)服務(wù)管理領(lǐng)域的國際標準,提供設計、建立、實(shí)施、運行、監控、評審、維護和改進(jìn)服務(wù)管理體系的模型以保證服務(wù)提供商可提供有效的IT服務(wù)來(lái)滿(mǎn)足您的需求。
    • ISO 45001

      ISO 45001是針對職業(yè)建康安全管理體系的國際認證標準。該標準以風(fēng)險控制為核心,通過(guò)建立包含組織結構、職責、培訓、信息溝通、應急準備與響應等要素的管理體系,持續改進(jìn)職業(yè)健康安全績(jì)效。
    • ISO 14001

      ISO 14001是目前國際上被廣泛接受和認可的環(huán)境管理體系認證標準。ISO 14001的通過(guò),證明該組織在環(huán)境管理方面達到了國際水平,能夠確保對企業(yè)各過(guò)程、產(chǎn)品及活動(dòng)中的各類(lèi)污染物控制達到相關(guān)要求。
    • CSA STAR

      CSA STAR認證是由英國標準協(xié)會(huì )(BSI)和云安全聯(lián)盟(CSA)聯(lián)合推出的國際范圍內的針對云安全水平的權威認證,旨在應對與云安全相關(guān)的特定問(wèn)題。CSA STAR以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,運用BSI提供的成熟度模型和評估方法,綜合評估組織云端安全管理和技術(shù)能力。
    • CMMI5

      CMMI軟件能力成熟度集成模型評估認證體系覆蓋產(chǎn)品概念、計劃、研發(fā)、驗證、生產(chǎn)制造全生命周期流程,是衡量企業(yè)研發(fā)能力和項目管理能力的國際標準,其中,CMMI5為該體系對企業(yè)研發(fā)管理標準化、規范化、成熟度的最高級資質(zhì)認證。

    ISO 27001

    ISO/IEC 27001是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。該標準以風(fēng)險管理為核心,通過(guò)定期評估風(fēng)險和對應的控制措施來(lái)有效保障組織信息安全管理體系的持續運行。

    ISO 27017

    ISO/IEC 27017是針對云計算信息安全的國際認證。ISO/IEC 27017的通過(guò),表明云服務(wù)提供商在信息安全管理能力達到了國際公認的優(yōu)秀實(shí)踐。

    ISO 27018

    ISO/IEC 27018是專(zhuān)注于云中個(gè)人數據保護的國際行為準則。ISO/IEC 27018的通過(guò),表明云服務(wù)提供商已擁有完備的個(gè)人數據保護管理系統。

    ISO 27701

    ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統標準體系,為保護個(gè)人隱私提供指導,包括組織應如何管理個(gè)人信息,并協(xié)助證明遵守了世界各地的隱私法規。

    ISO 9001

    ISO 9001是ISO 9000族標準所包括的一組質(zhì)量管理體系核心標準之一,用于證實(shí)組織具有提供滿(mǎn)足顧客要求和適用法規要求的產(chǎn)品的能力。

    ISO 20000

    ISO/IEC 20000是針對信息技術(shù)服務(wù)管理領(lǐng)域的國際標準,提供設計、建立、實(shí)施、運行、監控、評審、維護和改進(jìn)服務(wù)管理體系的模型以保證服務(wù)提供商可提供有效的IT服務(wù)來(lái)滿(mǎn)足您的需求。

    ISO 45001

    ISO 45001是針對職業(yè)建康安全管理體系的國際認證標準。該標準以風(fēng)險控制為核心,通過(guò)建立包含組織結構、職責、培訓、信息溝通、應急準備與響應等要素的管理體系,持續改進(jìn)職業(yè)健康安全績(jì)效。

    ISO 14001

    ISO 14001是目前國際上被廣泛接受和認可的環(huán)境管理體系認證標準。ISO 14001的通過(guò),證明該組織在環(huán)境管理方面達到了國際水平,能夠確保對企業(yè)各過(guò)程、產(chǎn)品及活動(dòng)中的各類(lèi)污染物控制達到相關(guān)要求。

    CSA STAR

    CSA STAR認證是由英國標準協(xié)會(huì )(BSI)和云安全聯(lián)盟(CSA)聯(lián)合推出的國際范圍內的針對云安全水平的權威認證,旨在應對與云安全相關(guān)的特定問(wèn)題。CSA STAR以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,運用BSI提供的成熟度模型和評估方法,綜合評估組織云端安全管理和技術(shù)能力。

    CMMI5

    CMMI軟件能力成熟度集成模型評估認證體系覆蓋產(chǎn)品概念、計劃、研發(fā)、驗證、生產(chǎn)制造全生命周期流程,是衡量企業(yè)研發(fā)能力和項目管理能力的國際標準,其中,CMMI5為該體系對企業(yè)研發(fā)管理標準化、規范化、成熟度的最高級資質(zhì)認證。
    國內權威認證
    • 網(wǎng)絡(luò )安全等級保護(三級)

      網(wǎng)絡(luò )安全等級保護是對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護,對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統中發(fā)生的信息安全事件分等級響應、處置。
    • 可信云服務(wù)認證

      可信云服務(wù)評估是由數據中心聯(lián)盟(DCA)組織、中國信息通信研究院(工信部電信研究院)測評的面向云計算服務(wù)和產(chǎn)品的權威評估體系??尚旁品?wù)評估的核心目標是建立云服務(wù)商的評估體系,為您選擇安全、可信的云服務(wù)商提供支撐,促進(jìn)我國云計算市場(chǎng)健康、創(chuàng )新發(fā)展,提升服務(wù)質(zhì)量和誠信水平,逐步建立云計算產(chǎn)業(yè)的信任體系,被業(yè)界廣泛接受和信任。
    • EAL3+

      EAL3+級認證是中國信息安全測評中心基于國家標準《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》(GB/T18336-2008)對各類(lèi)信息技術(shù)產(chǎn)品進(jìn)行的安全測評認證。其根據安全保證的等級進(jìn)行分級評估,通過(guò)對信息安全產(chǎn)品的生命周期,包括從技術(shù)、研發(fā)、管理、交付等多個(gè)部分進(jìn)行全面的安全性評估和測試、驗證產(chǎn)品的保密性、完整性和可用性程度的一項專(zhuān)業(yè)測評。
    • 云服務(wù)(SAAS云)標準符合性證書(shū)+

      該評估以《信息技術(shù)云計算云服務(wù)運營(yíng)通用要求》等相關(guān)國家標準為依據,是云服務(wù)/云計算領(lǐng)域目前國內首個(gè)分級評估,從人員、流程、技術(shù)、資源和性能等五方面進(jìn)行全方位的服務(wù)能力測評,從而確定參評企業(yè)所達到的能力等級。
    • 運行維護標準符合性證書(shū)(一級)

      該評估以《信息技術(shù)服務(wù)運行維護服務(wù)能力成熟度模型》等相關(guān)國家標準為依據,從運維服務(wù)能力管理、人員、資源、技術(shù)過(guò)程、應急、交付、質(zhì)量等方面進(jìn)行全方位的運行維護服務(wù)能力成熟度評估,從而確定參評企業(yè)所達到的能力等級。
    • 企業(yè)信用等級證書(shū)(AAA)

      企業(yè)信用等級證書(shū)(AAA級)是中國軟件行業(yè)協(xié)會(huì )頒發(fā)的企業(yè)信用最高等級證書(shū),主要考察企業(yè)的綜合素質(zhì)、企業(yè)競爭力、經(jīng)營(yíng)狀況、管理能力、財務(wù)狀況、行業(yè)特性因素、信用記錄、供應商和客戶(hù)狀況等多個(gè)方面,體現企業(yè)的綜合競爭力、抗風(fēng)險能力、資信狀況、軟實(shí)力和信譽(yù)度。
    • 系統集成企業(yè)能力標準符合性證書(shū)(壹級)

      系統集成企業(yè)能力標準符合性證書(shū)是由國家標準化管理委員會(huì )等政府部門(mén)以及中國系統集成行業(yè)協(xié)會(huì )等行業(yè)組織發(fā)布的,以全面規范系統集成服務(wù)產(chǎn)品及其組成要素,指導實(shí)施標準化和可信賴(lài)系統集成服務(wù)的一系列標準,體現系統集成企業(yè)的服務(wù)能力和服務(wù)質(zhì)量。

    網(wǎng)絡(luò )安全等級保護(三級)

    網(wǎng)絡(luò )安全等級保護是對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護,對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統中發(fā)生的信息安全事件分等級響應、處置。

    可信云服務(wù)認證

    可信云服務(wù)評估是由數據中心聯(lián)盟(DCA)組織、中國信息通信研究院(工信部電信研究院)測評的面向云計算服務(wù)和產(chǎn)品的權威評估體系??尚旁品?wù)評估的核心目標是建立云服務(wù)商的評估體系,為您選擇安全、可信的云服務(wù)商提供支撐,促進(jìn)我國云計算市場(chǎng)健康、創(chuàng )新發(fā)展,提升服務(wù)質(zhì)量和誠信水平,逐步建立云計算產(chǎn)業(yè)的信任體系,被業(yè)界廣泛接受和信任。

    EAL3+

    EAL3+級認證是中國信息安全測評中心基于國家標準《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》(GB/T18336-2008)對各類(lèi)信息技術(shù)產(chǎn)品進(jìn)行的安全測評認證。其根據安全保證的等級進(jìn)行分級評估,通過(guò)對信息安全產(chǎn)品的生命周期,包括從技術(shù)、研發(fā)、管理、交付等多個(gè)部分進(jìn)行全面的安全性評估和測試、驗證產(chǎn)品的保密性、完整性和可用性程度的一項專(zhuān)業(yè)測評。

    云服務(wù)(SAAS云)標準符合性證書(shū)+

    該評估以《信息技術(shù)云計算云服務(wù)運營(yíng)通用要求》等相關(guān)國家標準為依據,是云服務(wù)/云計算領(lǐng)域目前國內首個(gè)分級評估,從人員、流程、技術(shù)、資源和性能等五方面進(jìn)行全方位的服務(wù)能力測評,從而確定參評企業(yè)所達到的能力等級。

    運行維護標準符合性證書(shū)(一級)

    該評估以《信息技術(shù)服務(wù)運行維護服務(wù)能力成熟度模型》等相關(guān)國家標準為依據,從運維服務(wù)能力管理、人員、資源、技術(shù)過(guò)程、應急、交付、質(zhì)量等方面進(jìn)行全方位的運行維護服務(wù)能力成熟度評估,從而確定參評企業(yè)所達到的能力等級。

    企業(yè)信用等級證書(shū)(AAA)

    企業(yè)信用等級證書(shū)(AAA級)是中國軟件行業(yè)協(xié)會(huì )頒發(fā)的企業(yè)信用最高等級證書(shū),主要考察企業(yè)的綜合素質(zhì)、企業(yè)競爭力、經(jīng)營(yíng)狀況、管理能力、財務(wù)狀況、行業(yè)特性因素、信用記錄、供應商和客戶(hù)狀況等多個(gè)方面,體現企業(yè)的綜合競爭力、抗風(fēng)險能力、資信狀況、軟實(shí)力和信譽(yù)度。

    系統集成企業(yè)能力標準符合性證書(shū)(壹級)

    系統集成企業(yè)能力標準符合性證書(shū)是由國家標準化管理委員會(huì )等政府部門(mén)以及中國系統集成行業(yè)協(xié)會(huì )等行業(yè)組織發(fā)布的,以全面規范系統集成服務(wù)產(chǎn)品及其組成要素,指導實(shí)施標準化和可信賴(lài)系統集成服務(wù)的一系列標準,體現系統集成企業(yè)的服務(wù)能力和服務(wù)質(zhì)量。
    您可能關(guān)心的安全合規與隱私保護問(wèn)題
    • 用友云提供的基礎設施足夠安全嗎?

      用友云將基礎設施安全作為云安全中心的核心組成部分,合作的基礎設施服務(wù)商具備國際一流、非常完善的安全及隱私保護體系,均已獲得國內外權威資質(zhì)認證(如等級保護、ISO27001、ISO27018等)。
    • 用友云如何保障云上我的數據的安全性?

      用友云高度重視您的數據資產(chǎn),把數據保護作為用友云安全策略的核心。但是,值得強調的是,對于您使用云服務(wù)產(chǎn)生的內容數據,用友云只是其托管者,您對其擁有所有權和控制權。未經(jīng)授權,用友云除執行您的服務(wù)要求外不會(huì )訪(fǎng)問(wèn)、使用或移動(dòng)客戶(hù)數據。您需要負責各項具體的數據安全配置,對其保密性、完整性、可用性以及數據訪(fǎng)問(wèn)的身份驗證和鑒權進(jìn)行有效保障。
    • 用友云是否將我的數據轉移到其它地區或國家?

      在沒(méi)有獲得您的明確同意或者存在其他法律義務(wù)要求的情況下,用友云不會(huì )將您的數據轉移到其他國家/區域。您若有將數據進(jìn)行跨境轉移的需求且需用友云協(xié)助時(shí),可聯(lián)系用友云,用友云將在與您協(xié)商一致后配合您進(jìn)行數據轉移。

    加入“友安全”保障計劃

    如果您還在為入侵檢測、入侵防御、病毒查殺、資產(chǎn)清點(diǎn)等安全防御問(wèn)題一籌莫展,敬請加入“友安全”保障計劃! “友安全”保障計劃基于網(wǎng)絡(luò )攻擊檢測系統,提供全面安全的托管服務(wù),實(shí)現終端安全防范,保護企業(yè)網(wǎng)絡(luò )核心資產(chǎn)。 助力網(wǎng)絡(luò )安全,護駕企業(yè)成功!
    • 免費上門(mén)或線(xiàn)上產(chǎn)品演示
    • 專(zhuān)業(yè)客戶(hù)顧問(wèn)全程服務(wù)
    • 企業(yè)定制化解決方案
    • 全天候業(yè)務(wù)咨詢(xún)服務(wù)
    4444KK亚洲人成电影在线_亚洲人成网站在线播放小说_色欲AV永久无码精品无码_隔壁老王国产在线精品