信息安全政策
信息安全的定义
在本政策中,信息安全是指系统地采取措施,保障本组织信息资产的保密性、完整性和可用性。它包括旨在保护信息免遭未经授权的访问、披露、篡改、破坏或干扰的实践和控制措施。总体目标是确保信息在本组织内整个生命周期的可靠性和安全性。
| 保密性 | 保持敏感信息的私密性,防止未经授权的访问。 |
| 诚信 | 确保数据准确、完整和可信。 |
| 可用性 | 确保在需要时可以获取信息和资源。 |
政策的目的
本信息安全政策旨在建立一个框架,以保护本组织信息资产的机密性、完整性和可用性。
信息安全管理系统的要求
根据法律要求、合同义务、利益相关者的期望和高级管理层的指示,确定我们的信息安全管理系统应保护的信息。此外,我们还进行风险评估,以确定我们的信息资产可能存在的漏洞和威胁。作为项目管理流程的一部分,对特定项目客户对信息安全的期望和合同协议进行评估和定义。因法律责任而产生的期望在立法清单中进行概述和监控。
范围
信息安全管理系统(ISMS)涵盖我们业务的方方面面,包括
- 业务发展 & 业务开发与销售
- 工程与验证
- 运营和质量保证
- 战略与营销
- 产品管理
- 人力资源和财务
- 办公室行政
- 信息技术活动,包括在这些职能范围内处理的信息的安全性
此外,该政策还扩展到外部依赖关系,包括
- 云提供商
- 第三方服务提供商和供应商
- 参与业务运营的合作伙伴和分包商
- 合规监管机构
所有员工、承包商和外部合作伙伴都必须遵守本政策中概述的原则,以维护我们信息资产的保密性、完整性和可用性。
这些流程和活动由下列地点负责管理。
| 地址-联合王国 | 沃里克科技园,11A 创新中心,沃里克 CV34 6UW,英国(总部) |
| 电话 | +44 1(926) 623039 |
| 网站 | http://eatron.com/ |
| 地址-土耳其 | Katar Cad.Reşitpaşa Mahallesi İTÜ Ayazağa Yerleşkesi Arı-6 Binası 2/49/110, Sarıyer İstanbul |
| 电话 | +90 (212) 2767686 |
| 网站 | http://eatron.com/ |
信息安全管理系统承诺
我们承诺保障信息的完整性、可用性和保密性,与我们组织的战略保持一致,并遵守国家或国际法规、法律和合同要求。我们的目标是防止财务/商业损失,保护我们的声誉,最大限度地减少安全事件对运营的干扰。为实现这些目标,我们承诺
- 为信息安全管理系统分配必要的资源。
- 提高全公司对安全要求的认识和遵守。
- 支持为信息安全管理系统的有效性做出贡献的个人。
- 培养持续改进的文化。
我们的目标
为了建立一个可持续的、不断改进的信息安全管理系统(ISMS),我们确定了以下目标:
- 根据法规和合同要求履行信息安全义务。
- 通过确保本组织及相关方的信息安全,减少财务/商业损失,维护本组织的声誉。
- 在逆境中保持业务连续性。
- 不断加强我们的 ISMS 系统。
为实现这些目标,我们将定期评估和审查与风险评估、内部/外部审计、技术合规性审查、事故记录和绩效衡量结果有关的行动。
ISMS 的作用和责任
信息安全人人有责,因此所有员工都需要了解并遵守相关政策,遵循相关流程,并报告可疑或实际的违规行为。运行 ISMS 的具体角色和责任已在组织角色和责任中定义和记录。
监测
该组织通过定期监测活动,确保持续遵守 ISMS 的政策和程序。这些活动包括管理审查、由经过培训的人员进行的内部审计以及由独立审计员进行的外部审计。通过定期评估既定规程的遵守情况,该组织可以确定需要改进的地方,并确保其信息安全措施的有效性。
不合规情况
任何疑似或实际违反信息安全政策的行为都必须立即报告给 ISMS 负责人或相关管理人员。收到报告后,将进行彻底调查,以确定根本原因。将根据公司的事件管理程序采取纠正措施,以解决问题并防止再次发生。
不遵守信息安全政策可能会导致组织纪律政策中规定的纪律处分。此类行动可能包括口头或书面警告、停职、解雇或法律行动,具体视违规行为的严重性和再次发生情况而定。