産(chǎn)品安(ān)全政策
武漢天喻軟件有(yǒu)限公(gōng)司
天喻文(wén)字【2023】10号
産(chǎn)品安(ān)全政策
随着電(diàn)信網絡和信息技(jì )術的不斷演進與發展,産(chǎn)品安(ān)全面臨的威脅和挑戰将日益嚴重。武漢天喻軟件有(yǒu)限公(gōng)司(以下簡稱“天喻軟件”)充分(fēn)理(lǐ)解網絡安(ān)全的重要性,同時我們也理(lǐ)解客戶對此的擔憂與高度關注。天喻軟件對此高度重視,并緻力于采取有(yǒu)效措施提升産(chǎn)品和服務(wù)的安(ān)全性,從而幫助客戶規避和減少安(ān)全方面的風險,以赢得各利益相關者的信賴。
網絡安(ān)全和隐私保護是天喻軟件的最高綱領,鑒于上述認識,天喻軟件在此承諾:天喻軟件在遵從所有(yǒu)适用(yòng)的國(guó)家和地區(qū)的安(ān)全法規政策、國(guó)際網絡安(ān)全标準,參考行業最佳實踐的基礎上,從政策、組織、流程、規範、技(jì )術、合規、生态等方面建立并管理(lǐ)完善、高可(kě)信、可(kě)持續的安(ān)全保障體(tǐ)系,并與有(yǒu)關政府、客戶及行業夥伴以開放透明的方式,共同應對産(chǎn)品安(ān)全方面的挑戰,全面滿足客戶的安(ān)全需求。
- 在組織方面,天喻軟件産(chǎn)品安(ān)全組織作(zuò)為(wèi)天喻公(gōng)司的最高網絡安(ān)全管理(lǐ)機構,負責決策和批準公(gōng)司總體(tǐ)産(chǎn)品安(ān)全戰略。首席安(ān)全官是天喻軟件産(chǎn)品安(ān)全組織的重要成員,負責領導團隊制定安(ān)全戰略,統一規劃、管理(lǐ)和監督研發、供應鏈、市場與銷售、工(gōng)程交付及技(jì )術服務(wù)等相關體(tǐ)系的安(ān)全組織和業務(wù),确保網絡安(ān)全保障體(tǐ)系在各體(tǐ)系、各區(qū)域、全流程的實施,積極推動與政府、客戶、合作(zuò)夥伴、員工(gōng)等各利益相關方的溝通。首席安(ān)全官直接向公(gōng)司總經理(lǐ)彙報。
- 在業務(wù)流程方面,安(ān)全保障活動融入研發、供應鏈、市場與銷售、工(gōng)程交付及技(jì )術服務(wù)等各主業務(wù)流程中(zhōng)。安(ān)全作(zuò)為(wèi)質(zhì)量管理(lǐ)體(tǐ)系的基本要求,通過管理(lǐ)制度和技(jì )術規範來确保其有(yǒu)效實施。天喻軟件通過内部審計和接受各國(guó)政府安(ān)全部門、第三方獨立機構的安(ān)全認證和審計等來監督和改進各項業務(wù)流程。天喻軟件在公(gōng)司級的業務(wù)流程基礎上,大膽地将安(ān)全周期管理(lǐ)(SDL – Security Development Lifecycle)集成于端到端的産(chǎn)品研發流程,以确保研發部署的全線(xiàn)安(ān)全質(zhì)量。
- 在人員管理(lǐ)方面,天喻軟件嚴格執行公(gōng)司長(cháng)期以來行之有(yǒu)效的人事和人員管理(lǐ)機制。天喻軟件全體(tǐ)員工(gōng)以及合作(zuò)夥伴都必須遵從公(gōng)司相關安(ān)全政策,接受安(ān)全培訓,使安(ān)全理(lǐ)念融入整個組織之中(zhōng)。天喻軟件對積極執行網絡安(ān)全保障政策的員工(gōng)給予獎勵,對違反的員工(gōng)給予處罰,違反相關法律法規的員工(gōng),還将依法承擔法律責任。
- 在安(ān)全技(jì )術能(néng)力方面,依托自身強大的安(ān)全研發能(néng)力,以數據保護為(wèi)核心,開發并采用(yòng)世界領先的安(ān)全技(jì )術,緻力于實現高可(kě)靠、智能(néng)化的安(ān)全防護和自動化的安(ān)全運維運營體(tǐ)系。同時,通過對現網安(ān)全态勢的大數據分(fēn)析,有(yǒu)目的地識别出天喻軟件産(chǎn)品存在的重要安(ān)全風險、威脅和攻擊,并采取防範、削減和解決措施;通過多(duō)維、立體(tǐ)、完善的安(ān)全防禦、監控、分(fēn)析和響應等技(jì )術體(tǐ)系支撐産(chǎn)品運維運營安(ān)全,實現對安(ān)全風險、威脅和攻擊的快速發現、快速隔離和快速恢複,讓客戶受益于天喻軟件先進技(jì )術帶來的便捷、安(ān)全與業務(wù)增值。
- 在安(ān)全合規方面,面向目标市場,天喻軟件積極與監管機構對話,理(lǐ)解他(tā)們的擔憂和要求,貢獻天喻軟件的知識和經驗,不斷鞏固天喻軟件在技(jì )術、服務(wù)和安(ān)全方面與相關法律法規的契合度。同時,天喻軟件也将法律法規的分(fēn)析結果共享給客戶,避免信息缺失導緻的違規風險,通過合同明确雙方的安(ān)全職責。天喻軟件一方面通過跨行業、跨區(qū)域的安(ān)全認證滿足監管機構要求,另一方面通過獲得重點行業、重點區(qū)域所要求的安(ān)全認證,建立并鞏固天喻軟件業務(wù)的客戶信賴度,最終在法律法規制定者、管理(lǐ)者、客戶三者間共建安(ān)全的環境。
- 在産(chǎn)品安(ān)全事件應急響應方面,産(chǎn)品安(ān)全事件應急響應是天喻軟件産(chǎn)品安(ān)全組織的關鍵工(gōng)作(zuò)之一。沒有(yǒu)産(chǎn)品是百分(fēn)之百的安(ān)全,為(wèi)了接受、處理(lǐ)和披露天喻軟件産(chǎn)品相關的安(ān)全漏洞,天喻軟件成立了産(chǎn)品安(ān)全事件響應團隊(Product Security Incident Response Team,簡稱“PSIRT”),緻力于把風險和漏洞的影響最小(xiǎo)化。天喻軟件鼓勵安(ān)全研究人員、行業組織、政府機構和供應商(shāng)主動将與天喻軟件産(chǎn)品相關的安(ān)全漏洞以保密且負責的方式,通過發送電(diàn)子郵件至以下地址以披露可(kě)疑漏洞的完整詳情,以便天喻軟件安(ān)全團隊可(kě)以驗證和再現問題:[[email protected]]。
對于所有(yǒu)遵守上述政策的安(ān)全研究人員,天喻軟件PSIRT将竭盡全力:
-
- 及時予以響應,确認接收到您的報告。
- 以嚴格保密的方式處理(lǐ)您的報告,未經您同意的情況下,絕不将您的個人詳細信息透露給第三方。
本政策适用(yòng)于武漢天喻軟件有(yǒu)限公(gōng)司及其關聯公(gōng)司。
天喻軟件承諾遵守如下安(ān)全法律法規,在本政策與新(xīn)增法律、法規發生沖突的情況下,以國(guó)家法律、法規為(wèi)準。
|
序号 |
法律法規 |
官方發布路徑 |
發文(wén)時間 |
|
1 |
網絡安(ān)全審查辦(bàn)法 |
2022.02 |
|
|
2 |
關鍵信息基礎設施安(ān)全保護條例 |
https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjYzYjkzNTAxN2I3YmNjNDk4NzdlMGI%3D |
2021.09 |
|
3 |
中(zhōng)華人民(mín)共和國(guó)個人信息保護法 |
2021.08 |
|
|
4 |
中(zhōng)華人民(mín)共和國(guó)數據安(ān)全法 |
2021.06 |
|
|
5 |
中(zhōng)華人民(mín)共和國(guó)密碼法 |
https://www.oscca.gov.cn/sca/xxgk/2019-10/27/content_1057225.shtml |
2019.10 |
|
6 |
中(zhōng)華人民(mín)共和國(guó)網絡安(ān)全法 |
2016.11 |
|
|
7 |
中(zhōng)華人民(mín)共和國(guó)反恐怖主義法 |
https://www.oscca.gov.cn/sca/xxgk/2015-12/27/content_1012648.shtml |
2015.12 |
|
8 |
中(zhōng)華人民(mín)共和國(guó)國(guó)家安(ān)全法 |
2015.07 |
|
|
9 |
中(zhōng)華人民(mín)共和國(guó)計算機信息系統安(ān)全保護條例 |
www.gov.cn/zhengce/2020-12/25/content_5575080.htm |
2011.01 |
|
10 |
信息安(ān)全等級保護管理(lǐ)辦(bàn)法 |
www.gov.cn/gzdt/2007-07/24/content_694380.htm |
2007.07 |
|
11 |
中(zhōng)華人民(mín)共和國(guó)電(diàn)子簽名(míng)法 |
https://www.oscca.gov.cn/sca/xxgk/2004-08/28/content_1012665.shtml |
2004.08 |
武漢天喻軟件有(yǒu)限公(gōng)司
二〇二三年三月九日
|
抄送:公(gōng)司管理(lǐ)層、各地辦(bàn)事處、各事業部(中(zhōng)心)、财務(wù)部 |
