用友將網(wǎng)絡(luò )安全、數據安全及隱私保護作為公司運營(yíng)底線(xiàn),在制度與體系建設、安全能力建設、內部安全治理、安全意識深化等方面開(kāi)展重點(diǎn)工作,確保公司各項安全策略與目標有效落地,持續提升公司整體信息與隱私保護水平。
用友數據安全與隱私保護主要政策制度及覆蓋范圍:
主要政策制度
《用友集團數據管理制度》《用友集團個(gè)人信息保護管理規范》《用友集團運維安全管理規范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》覆蓋范圍
集團本部所有境內組織數據安全
制定《產(chǎn)品安全與應急響應規范》,建立產(chǎn)品安全與與應急響應團隊,明確漏洞收集、評估、修復、披露等數據保護措施的規范要求,并納入產(chǎn)品全生命周期的管理。隱私保護
制定《用友集團個(gè)人信息保護管理規范》,對個(gè)人信息的收集、傳輸和存儲、使用等作出明確規定與承諾,進(jìn)一步明確個(gè)人信息主體對其信息的刪除權、查詢(xún)和變更權、復制和轉移權、個(gè)人信息授權撤回權,確保集團在個(gè)人信息與數據處理上的合規合法,防止個(gè)人信息泄露或非法使用,切實(shí)保障客戶(hù)利益。數據控制權限:
相關(guān)政策
《用友集團數據管理制度》內容節選
“第601條 數據運營(yíng)管理者要嚴格規范數據使用,建立數據使用申請與審批流程。數據使用者在申請使用數據時(shí),需要在申請單中對使用原因和使用期限進(jìn)行詳細說(shuō)明。數據運營(yíng)管理者應根據其必要性和合理性進(jìn)行審批?!?br> 公司為客戶(hù)提供了個(gè)人信息刪除渠道,同時(shí)如果個(gè)人信息主體發(fā)現公司違反法律法規規定、違反與個(gè)人信息主體的約定及認為公司不再有必要持有個(gè)人信息主體的的個(gè)人數據時(shí),公司會(huì )根據要求刪除個(gè)人數據。數據泄露/事故的應對:
相關(guān)政策
《用友集團數據管理制度》《用友集團個(gè)人信息安全管理規范》內容節選
《用友集團數據管理制度》“第704條 數據運營(yíng)管理者應建立數據安全事件的應急響應機制,制定數據安全應急預案,并每年進(jìn)行一次應急演練工作?!薄队糜鸭瘓F個(gè)人信息安全管理規范》”第602條 3、如個(gè)人信息安全事件已造成危害,應及時(shí)將事件相關(guān)情況以郵件、電話(huà)、推送通知等方式告知受影響的個(gè)人信息主體,難以逐一告知個(gè)人信息主體時(shí),應采取合理、有效的方式發(fā)布有關(guān)的警示信息;如發(fā)生超過(guò)10萬(wàn)人個(gè)人信息或者關(guān)系民生、公共利益的敏感個(gè)人信息泄露、損壞、丟失的安全事件,應及時(shí)通過(guò)集團網(wǎng)絡(luò )安全部門(mén)將有關(guān)情況上報監管機構?!?對信息安全系統的審計:
相關(guān)政策
《用友集團數據管理制度》《用友集團運維安全管理規范》《用友集團互聯(lián)網(wǎng)出口安全管理辦法》內容節選
《用友集團數據管理制度》:數據安全監管者需要對本級組織定期開(kāi)展數據安全監督檢查,形成檢查報告提交公司的相關(guān)監管部門(mén)以供審計。第三方處理個(gè)人數據:
相關(guān)政策
《用友集團個(gè)人信息保護管理規范》內容節選
“第501條:1、如涉及個(gè)人信息委托處理,應通過(guò)合作協(xié)議、合同條款等書(shū)面方式明確規定被委托方的責任與義務(wù)?!薄暗?04條:1. 如與其他第三方共同處理個(gè)人信息,應當通過(guò)合同等形式與第三方共同確定應滿(mǎn)足的個(gè)人信息安全要求,以及在個(gè)人信息安全方面自身和第三方的權利及應分別承擔的義務(wù),并向個(gè)人信息主體明確告知?!?最小化個(gè)人信息收集:
相關(guān)政策
《用友個(gè)人信息保護管理規范》內容節選
“第202條:1、收集個(gè)人信息的類(lèi)型應當與實(shí)現產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)。直接關(guān)聯(lián)是指沒(méi)有該等信息的參與,產(chǎn)品或服務(wù)的功能無(wú)法實(shí)現。不得超范圍收集個(gè)人信息。2、收集個(gè)人信息的方式應采取對個(gè)人權益影響最小的方式?!?br> 拓展閱讀鏈接:《友空間最小用戶(hù)權限實(shí)例》(跳轉PDF)合作伙伴的合規管理:
相關(guān)政策
《用友個(gè)人信息保護管理規范》內容節選
“第501條:2、如需委托第三方機構處理公司收集的個(gè)人信息時(shí),委托行為不應超出已征得個(gè)人信息主體授權同意的范圍,相關(guān)業(yè)務(wù)部門(mén)應與集團網(wǎng)絡(luò )安全部共同對被委托方進(jìn)行評估,確保其具備足夠個(gè)人信息保護水平。包括不限于:安全資質(zhì)、個(gè)人信息保護規范/數據安全規范制度、能力及實(shí)踐等?!?ISO 27001
ISO/IEC 27001是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。該標準以風(fēng)險管理為核心,通過(guò)定期評估風(fēng)險和對應的控制措施來(lái)有效保障組織信息安全管理體系的持續運行。ISO 27017
ISO/IEC 27017是針對云計算信息安全的國際認證。ISO/IEC 27017的通過(guò),表明云服務(wù)提供商在信息安全管理能力達到了國際公認的優(yōu)秀實(shí)踐。ISO 27018
ISO/IEC 27018是專(zhuān)注于云中個(gè)人數據保護的國際行為準則。ISO/IEC 27018的通過(guò),表明云服務(wù)提供商已擁有完備的個(gè)人數據保護管理系統。ISO 27701
ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統標準體系,為保護個(gè)人隱私提供指導,包括組織應如何管理個(gè)人信息,并協(xié)助證明遵守了世界各地的隱私法規。ISO 9001
ISO 9001是ISO 9000族標準所包括的一組質(zhì)量管理體系核心標準之一,用于證實(shí)組織具有提供滿(mǎn)足顧客要求和適用法規要求的產(chǎn)品的能力。ISO 20000
ISO/IEC 20000是針對信息技術(shù)服務(wù)管理領(lǐng)域的國際標準,提供設計、建立、實(shí)施、運行、監控、評審、維護和改進(jìn)服務(wù)管理體系的模型以保證服務(wù)提供商可提供有效的IT服務(wù)來(lái)滿(mǎn)足您的需求。ISO 45001
ISO 45001是針對職業(yè)建康安全管理體系的國際認證標準。該標準以風(fēng)險控制為核心,通過(guò)建立包含組織結構、職責、培訓、信息溝通、應急準備與響應等要素的管理體系,持續改進(jìn)職業(yè)健康安全績(jì)效。ISO 14001
ISO 14001是目前國際上被廣泛接受和認可的環(huán)境管理體系認證標準。ISO 14001的通過(guò),證明該組織在環(huán)境管理方面達到了國際水平,能夠確保對企業(yè)各過(guò)程、產(chǎn)品及活動(dòng)中的各類(lèi)污染物控制達到相關(guān)要求。CSA STAR
CSA STAR認證是由英國標準協(xié)會(huì )(BSI)和云安全聯(lián)盟(CSA)聯(lián)合推出的國際范圍內的針對云安全水平的權威認證,旨在應對與云安全相關(guān)的特定問(wèn)題。CSA STAR以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,運用BSI提供的成熟度模型和評估方法,綜合評估組織云端安全管理和技術(shù)能力。CMMI5
CMMI軟件能力成熟度集成模型評估認證體系覆蓋產(chǎn)品概念、計劃、研發(fā)、驗證、生產(chǎn)制造全生命周期流程,是衡量企業(yè)研發(fā)能力和項目管理能力的國際標準,其中,CMMI5為該體系對企業(yè)研發(fā)管理標準化、規范化、成熟度的最高級資質(zhì)認證。網(wǎng)絡(luò )安全等級保護(三級)
網(wǎng)絡(luò )安全等級保護是對國家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲、傳輸、處理這些信息的信息系統分等級實(shí)行安全保護,對信息系統中使用的信息安全產(chǎn)品實(shí)行按等級管理,對信息系統中發(fā)生的信息安全事件分等級響應、處置。可信云服務(wù)認證
可信云服務(wù)評估是由數據中心聯(lián)盟(DCA)組織、中國信息通信研究院(工信部電信研究院)測評的面向云計算服務(wù)和產(chǎn)品的權威評估體系??尚旁品?wù)評估的核心目標是建立云服務(wù)商的評估體系,為您選擇安全、可信的云服務(wù)商提供支撐,促進(jìn)我國云計算市場(chǎng)健康、創(chuàng )新發(fā)展,提升服務(wù)質(zhì)量和誠信水平,逐步建立云計算產(chǎn)業(yè)的信任體系,被業(yè)界廣泛接受和信任。EAL3+
EAL3+級認證是中國信息安全測評中心基于國家標準《信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評估準則》(GB/T18336-2008)對各類(lèi)信息技術(shù)產(chǎn)品進(jìn)行的安全測評認證。其根據安全保證的等級進(jìn)行分級評估,通過(guò)對信息安全產(chǎn)品的生命周期,包括從技術(shù)、研發(fā)、管理、交付等多個(gè)部分進(jìn)行全面的安全性評估和測試、驗證產(chǎn)品的保密性、完整性和可用性程度的一項專(zhuān)業(yè)測評。云服務(wù)(SAAS云)標準符合性證書(shū)+
該評估以《信息技術(shù)云計算云服務(wù)運營(yíng)通用要求》等相關(guān)國家標準為依據,是云服務(wù)/云計算領(lǐng)域目前國內首個(gè)分級評估,從人員、流程、技術(shù)、資源和性能等五方面進(jìn)行全方位的服務(wù)能力測評,從而確定參評企業(yè)所達到的能力等級。運行維護標準符合性證書(shū)(一級)
該評估以《信息技術(shù)服務(wù)運行維護服務(wù)能力成熟度模型》等相關(guān)國家標準為依據,從運維服務(wù)能力管理、人員、資源、技術(shù)過(guò)程、應急、交付、質(zhì)量等方面進(jìn)行全方位的運行維護服務(wù)能力成熟度評估,從而確定參評企業(yè)所達到的能力等級。企業(yè)信用等級證書(shū)(AAA)
企業(yè)信用等級證書(shū)(AAA級)是中國軟件行業(yè)協(xié)會(huì )頒發(fā)的企業(yè)信用最高等級證書(shū),主要考察企業(yè)的綜合素質(zhì)、企業(yè)競爭力、經(jīng)營(yíng)狀況、管理能力、財務(wù)狀況、行業(yè)特性因素、信用記錄、供應商和客戶(hù)狀況等多個(gè)方面,體現企業(yè)的綜合競爭力、抗風(fēng)險能力、資信狀況、軟實(shí)力和信譽(yù)度。系統集成企業(yè)能力標準符合性證書(shū)(壹級)
系統集成企業(yè)能力標準符合性證書(shū)是由國家標準化管理委員會(huì )等政府部門(mén)以及中國系統集成行業(yè)協(xié)會(huì )等行業(yè)組織發(fā)布的,以全面規范系統集成服務(wù)產(chǎn)品及其組成要素,指導實(shí)施標準化和可信賴(lài)系統集成服務(wù)的一系列標準,體現系統集成企業(yè)的服務(wù)能力和服務(wù)質(zhì)量。用友云提供的基礎設施足夠安全嗎?
用友云將基礎設施安全作為云安全中心的核心組成部分,合作的基礎設施服務(wù)商具備國際一流、非常完善的安全及隱私保護體系,均已獲得國內外權威資質(zhì)認證(如等級保護、ISO27001、ISO27018等)。用友云如何保障云上我的數據的安全性?
用友云高度重視您的數據資產(chǎn),把數據保護作為用友云安全策略的核心。但是,值得強調的是,對于您使用云服務(wù)產(chǎn)生的內容數據,用友云只是其托管者,您對其擁有所有權和控制權。未經(jīng)授權,用友云除執行您的服務(wù)要求外不會(huì )訪(fǎng)問(wèn)、使用或移動(dòng)客戶(hù)數據。您需要負責各項具體的數據安全配置,對其保密性、完整性、可用性以及數據訪(fǎng)問(wèn)的身份驗證和鑒權進(jìn)行有效保障。用友云是否將我的數據轉移到其它地區或國家?
在沒(méi)有獲得您的明確同意或者存在其他法律義務(wù)要求的情況下,用友云不會(huì )將您的數據轉移到其他國家/區域。您若有將數據進(jìn)行跨境轉移的需求且需用友云協(xié)助時(shí),可聯(lián)系用友云,用友云將在與您協(xié)商一致后配合您進(jìn)行數據轉移。加入“友安全”保障計劃
如果您還在為入侵檢測、入侵防御、病毒查殺、資產(chǎn)清點(diǎn)等安全防御問(wèn)題一籌莫展,敬請加入“友安全”保障計劃! “友安全”保障計劃基于網(wǎng)絡(luò )攻擊檢測系統,提供全面安全的托管服務(wù),實(shí)現終端安全防范,保護企業(yè)網(wǎng)絡(luò )核心資產(chǎn)。 助力網(wǎng)絡(luò )安全,護駕企業(yè)成功!