组织及人员安全是纷享销客安全战略中的重要组成部分。
我们致力于确保组织内部和员工的安全,并采取一系列措施来预防和应对安全威胁。我们将持续改进和更新安全措施,以适应不断变化的威胁环境,并确保组织和员工的安全意识和培训得到充分关注和支持。
2.1 信息安全委员会
纷享销客组建了信息安全委员会,负责制定安全策略、设计与执行安全开发流程、落实各项安全措施,以及指导安全审计工作执行与听取安全审计汇报并针对性改进安全措施。
委员会由CTO直接领导,成员组成包括安全架构师、应用安全专家、系统和网络安全专家、安全开发专家及各业务线的安全负责人等。各成员均负责贯彻安全措施,通过定期沟通、检查、完善安全方面的工作,加强安全管理,有效抵御各类安全威胁,旨在为客户提供一个稳定、安全的工作环境,确保业务运营的顺畅与安全。
2.2 信息安全保障团队
2.2.1 安全专家团队
安全专家团队由安全架构师、应用安全专家、系统和网络安全专家、安全开发专家等专家团队组成,关注从设计到最终产品实施的整个开发、运营、维护过程,通过开发工具、优化流程、强化意识、安全培训等,保障安全生产。
主要职责包括:
1.协同业界顶尖的安全技术供应商,针对入侵检测与攻击防护的需求,进行全面的产品设计与开发,并负责持续的运营维护。提供全天候(7*24小时)的安全监控服务,执行定期的漏洞扫描与深度检测。
2.基于数据的重要性和敏感性,制定精细化的访问控制策略。运用先进的技术手段实施隔离措施,并构建一套完善的访问控制管理流程,确保数据的机密性、完整性和可用性。
3.深入分析业务系统的访问逻辑,严格审核所有访问请求。通过自动化工具实时监控可疑活动,如非授权的数据访问和操作,并进行实时审计。定期对安全策略的执行情况进行复查,确保其有效性。
4.在产品设计阶段,引入安全评审机制,确保功能需求符合安全标准。
·产品发布前,进行全面的安全测试,确保无安全隐患。
·产品发布后,持续进行安全回归测试,确保业务安全稳定运行。
5.结合公司内部的技术积累和外部专业安全机构的资源,定期对内部和外部应用进行深度漏洞检测与扫描。一旦发现安全漏洞,立即启动应急响应机制,确保在预期时间内完成漏洞修复。
6.遵循国际信息安全事件管理标准,根据数据安全性的危害程度定义安全事件类别和响应流程。建立全天候的自动与人工结合的监控识别、分析和处理信息安全事件的能力,确保在安全事件发生时能够迅速、有效地应对。
7.定期组织安全演练,模拟真实场景下的安全威胁,评估安全策略的可靠性和控制措施的适用性。通过演练发现潜在的安全风险,并持续改进安全策略。
8.针对员工开展定期的安全意识培训,涵盖个人信息安全准则、信息保护、数据安全认证和安全开发等领域。提高员工的安全意识,增强企业的整体安全防护能力。
9.积极参与国内外安全论坛与会议,跟踪业界前沿的安全技术动态。与外部安全专家、白帽子极客保持紧密的交流与合作,共享安全知识和经验,共同提升整个行业的安全水平。
2.2.2 安全审计团队
纷享销客为确保信息安全及合规性,设立了专门的安全审计团队。
该团队将对公司产品进行全面的监测、控制与处理,同时展开独立审查,以验证产品是否达到既定的信息安全体系与标准。
在此过程中,团队参考并遵循包括IS0 27001、IS0 27701以及《信息安全技术网络安全等级保护基本要求》等在内的多项国际与国内标准,确保公司业务的合规性。
2.3 安全人员管理
纷享销客为确保新入职员工符合公司的行为准则、保密规定、商业道德和信息安全政策,会在国家法律法规允许的范围内,采取一系列的措施进行背景调查。同时,新员工入职时,必须按照公司规定签署保密协议。
此外,纷享销客安全团队会针对不同岗位的员工,持续开展安全培训和宣导工作,内容涵盖网络安全基础知识、安全开发知识与最佳实践、基础安全意识以及公司安全规范条例等,旨在提升员工的安全意识与防范能力。
