用友信任中心

用友將網絡安全、數據安全及隱私保護作為公司運營底線,在制度與體系建設、安全能力建設、內部安全治理、安全意識深化等方面開展重點工作,確保公司各項安全策略與目標有效落地,持續提升公司整體信息與隱私保護水平。

隱私與數據安全政策

用友數據安全與隱私保護主要政策制度及覆蓋范圍:

  • 主要政策制度

    《用友集團數據管理制度》《用友集團個人信息保護管理規范》《用友集團運維安全管理規范》《用友集團互聯網出口安全管理辦法》
  • 覆蓋范圍

    集團本部所有境內組織
  • 數據安全

    制定《產品安全與應急響應規范》,建立產品安全與與應急響應團隊,明確漏洞收集、評估、修復、披露等數據保護措施的規范要求,并納入產品全生命周期的管理。
    2022年4月正式發布

    制定《YonBIP 網絡與信息安全應急預案》,建立應急組織架構,按照安全事件分類,擬定網絡中斷、黑客攻擊、大規模病毒(含惡意軟件)攻擊、數據庫系統故障、設備硬件故障的處理流程。每年至少舉辦一次應急計劃培訓,至少開展一次應急行動演練。

    制定《互聯網出口安全管理辦法》,明確網絡區域和互聯網出口管理部門的職責劃分,明確開通互聯網出口的流程與要求,遵循非必要不開放原則,嚴控網絡安全出口管理中違規相關違規行為。
    2022年4月正式發布

    制定《集團內容安全管理規范》,在集團內部大力開展內容安全治理,所有涉及用戶注冊、內容發布的系統都強制接入內容安全審核平臺,同時各業務部門配套審核人員進行人工核驗,確保集團業務合規運營。
    2022年9月正式發布

    制定《賬號、密碼安全管理辦法》,對賬號進行分類管理,規范各類賬號的密碼設置要求。
    2022年7月正式發布

    制定《數據安全管理制度(試行)》,落實《數據安全法》,明確數據歸屬權、數據分級分類以及數據生命周期管理的各項要求。
    2022年8月修訂發布

    制定《移動應用安全管理規范》,規范移動 APP 上線的安全管控要求及流程。
    2022年10月正式發布
  • 隱私保護

    制定《用友集團個人信息保護管理規范》,對個人信息的收集、傳輸和存儲、使用等作出明確規定與承諾,進一步明確個人信息主體對其信息的刪除權、查詢和變更權、復制和轉移權、個人信息授權撤回權,確保集團在個人信息與數據處理上的合規合法,防止個人信息泄露或非法使用,切實保障客戶利益。
    2022年8月正式發布

數據控制權限:

  • 相關政策

    《用友集團數據管理制度》
  • 內容節選

    “第601條 數據運營管理者要嚴格規范數據使用,建立數據使用申請與審批流程。數據使用者在申請使用數據時,需要在申請單中對使用原因和使用期限進行詳細說明。數據運營管理者應根據其必要性和合理性進行審批?!?br> 公司為客戶提供了個人信息刪除渠道,同時如果個人信息主體發現公司違反法律法規規定、違反與個人信息主體的約定及認為公司不再有必要持有個人信息主體的的個人數據時,公司會根據要求刪除個人數據。
    在滿足國家法律法規、行政法規及行業主管部門有關規定的、前提下,公司設置的個人信息存儲期限為實現處理目的所必要的最短時間。

數據泄露/事故的應對:

  • 相關政策

    《用友集團數據管理制度》《用友集團個人信息安全管理規范》
  • 內容節選

    《用友集團數據管理制度》“第704條 數據運營管理者應建立數據安全事件的應急響應機制,制定數據安全應急預案,并每年進行一次應急演練工作?!薄队糜鸭瘓F個人信息安全管理規范》”第602條 3、如個人信息安全事件已造成危害,應及時將事件相關情況以郵件、電話、推送通知等方式告知受影響的個人信息主體,難以逐一告知個人信息主體時,應采取合理、有效的方式發布有關的警示信息;如發生超過10萬人個人信息或者關系民生、公共利益的敏感個人信息泄露、損壞、丟失的安全事件,應及時通過集團網絡安全部門將有關情況上報監管機構?!?

對信息安全系統的審計:

  • 相關政策

    《用友集團數據管理制度》《用友集團運維安全管理規范》《用友集團互聯網出口安全管理辦法》
  • 內容節選

    《用友集團數據管理制度》:數據安全監管者需要對本級組織定期開展數據安全監督檢查,形成檢查報告提交公司的相關監管部門以供審計。
    《用友集團運維安全管理規范》:各運維部門在日常運維過程中,需要保留各類審批和執行記錄,公司的相關監管部門會定期審計各項辦法和細則的執行情況。
    《用友集團互聯網出口安全管理辦法》:公司的相關監管部門會定期審計開通互聯網出口的系統,并形成審計報告。

第三方處理個人數據:

  • 相關政策

    《用友集團個人信息保護管理規范》
  • 內容節選

    “第501條:1、如涉及個人信息委托處理,應通過合作協議、合同條款等書面方式明確規定被委托方的責任與義務?!薄暗?04條:1. 如與其他第三方共同處理個人信息,應當通過合同等形式與第三方共同確定應滿足的個人信息安全要求,以及在個人信息安全方面自身和第三方的權利及應分別承擔的義務,并向個人信息主體明確告知?!?

最小化個人信息收集:

  • 相關政策

    《用友個人信息保護管理規范》
  • 內容節選

    “第202條:1、收集個人信息的類型應當與實現產品或服務的業務功能有直接關聯。直接關聯是指沒有該等信息的參與,產品或服務的功能無法實現。不得超范圍收集個人信息。2、收集個人信息的方式應采取對個人權益影響最小的方式?!?br> 拓展閱讀鏈接:《友空間最小用戶權限實例》(跳轉PDF)

合作伙伴的合規管理:

  • 相關政策

    《用友個人信息保護管理規范》
  • 內容節選

    “第501條:2、如需委托第三方機構處理公司收集的個人信息時,委托行為不應超出已征得個人信息主體授權同意的范圍,相關業務部門應與集團網絡安全部共同對被委托方進行評估,確保其具備足夠個人信息保護水平。包括不限于:安全資質、個人信息保護規范/數據安全規范制度、能力及實踐等?!?
國際權威認證
  • ISO 27001

    ISO/IEC 27001是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。該標準以風險管理為核心,通過定期評估風險和對應的控制措施來有效保障組織信息安全管理體系的持續運行。
  • ISO 27017

    ISO/IEC 27017是針對云計算信息安全的國際認證。ISO/IEC 27017的通過,表明云服務提供商在信息安全管理能力達到了國際公認的優秀實踐。
  • ISO 27018

    ISO/IEC 27018是專注于云中個人數據保護的國際行為準則。ISO/IEC 27018的通過,表明云服務提供商已擁有完備的個人數據保護管理系統。
  • ISO 27701

    ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統標準體系,為保護個人隱私提供指導,包括組織應如何管理個人信息,并協助證明遵守了世界各地的隱私法規。
  • ISO 9001

    ISO 9001是ISO 9000族標準所包括的一組質量管理體系核心標準之一,用于證實組織具有提供滿足顧客要求和適用法規要求的產品的能力。
  • ISO 20000

    ISO/IEC 20000是針對信息技術服務管理領域的國際標準,提供設計、建立、實施、運行、監控、評審、維護和改進服務管理體系的模型以保證服務提供商可提供有效的IT服務來滿足您的需求。
  • ISO 45001

    ISO 45001是針對職業建康安全管理體系的國際認證標準。該標準以風險控制為核心,通過建立包含組織結構、職責、培訓、信息溝通、應急準備與響應等要素的管理體系,持續改進職業健康安全績效。
  • ISO 14001

    ISO 14001是目前國際上被廣泛接受和認可的環境管理體系認證標準。ISO 14001的通過,證明該組織在環境管理方面達到了國際水平,能夠確保對企業各過程、產品及活動中的各類污染物控制達到相關要求。
  • CSA STAR

    CSA STAR認證是由英國標準協會(BSI)和云安全聯盟(CSA)聯合推出的國際范圍內的針對云安全水平的權威認證,旨在應對與云安全相關的特定問題。CSA STAR以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,運用BSI提供的成熟度模型和評估方法,綜合評估組織云端安全管理和技術能力。
  • CMMI5

    CMMI軟件能力成熟度集成模型評估認證體系覆蓋產品概念、計劃、研發、驗證、生產制造全生命周期流程,是衡量企業研發能力和項目管理能力的國際標準,其中,CMMI5為該體系對企業研發管理標準化、規范化、成熟度的最高級資質認證。

ISO 27001

ISO/IEC 27001是目前國際上被廣泛接受和應用的信息安全管理體系認證標準。該標準以風險管理為核心,通過定期評估風險和對應的控制措施來有效保障組織信息安全管理體系的持續運行。

ISO 27017

ISO/IEC 27017是針對云計算信息安全的國際認證。ISO/IEC 27017的通過,表明云服務提供商在信息安全管理能力達到了國際公認的優秀實踐。

ISO 27018

ISO/IEC 27018是專注于云中個人數據保護的國際行為準則。ISO/IEC 27018的通過,表明云服務提供商已擁有完備的個人數據保護管理系統。

ISO 27701

ISO/IEC 27701是對ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隱私擴展。它是一項國際管理系統標準體系,為保護個人隱私提供指導,包括組織應如何管理個人信息,并協助證明遵守了世界各地的隱私法規。

ISO 9001

ISO 9001是ISO 9000族標準所包括的一組質量管理體系核心標準之一,用于證實組織具有提供滿足顧客要求和適用法規要求的產品的能力。

ISO 20000

ISO/IEC 20000是針對信息技術服務管理領域的國際標準,提供設計、建立、實施、運行、監控、評審、維護和改進服務管理體系的模型以保證服務提供商可提供有效的IT服務來滿足您的需求。

ISO 45001

ISO 45001是針對職業建康安全管理體系的國際認證標準。該標準以風險控制為核心,通過建立包含組織結構、職責、培訓、信息溝通、應急準備與響應等要素的管理體系,持續改進職業健康安全績效。

ISO 14001

ISO 14001是目前國際上被廣泛接受和認可的環境管理體系認證標準。ISO 14001的通過,證明該組織在環境管理方面達到了國際水平,能夠確保對企業各過程、產品及活動中的各類污染物控制達到相關要求。

CSA STAR

CSA STAR認證是由英國標準協會(BSI)和云安全聯盟(CSA)聯合推出的國際范圍內的針對云安全水平的權威認證,旨在應對與云安全相關的特定問題。CSA STAR以ISO/IEC 27001認證為基礎,結合云端安全控制矩陣CCM的要求,運用BSI提供的成熟度模型和評估方法,綜合評估組織云端安全管理和技術能力。

CMMI5

CMMI軟件能力成熟度集成模型評估認證體系覆蓋產品概念、計劃、研發、驗證、生產制造全生命周期流程,是衡量企業研發能力和項目管理能力的國際標準,其中,CMMI5為該體系對企業研發管理標準化、規范化、成熟度的最高級資質認證。
國內權威認證
  • 網絡安全等級保護(三級)

    網絡安全等級保護是對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
  • 可信云服務認證

    可信云服務評估是由數據中心聯盟(DCA)組織、中國信息通信研究院(工信部電信研究院)測評的面向云計算服務和產品的權威評估體系??尚旁品赵u估的核心目標是建立云服務商的評估體系,為您選擇安全、可信的云服務商提供支撐,促進我國云計算市場健康、創新發展,提升服務質量和誠信水平,逐步建立云計算產業的信任體系,被業界廣泛接受和信任。
  • EAL3+

    EAL3+級認證是中國信息安全測評中心基于國家標準《信息技術 安全技術 信息技術安全性評估準則》(GB/T18336-2008)對各類信息技術產品進行的安全測評認證。其根據安全保證的等級進行分級評估,通過對信息安全產品的生命周期,包括從技術、研發、管理、交付等多個部分進行全面的安全性評估和測試、驗證產品的保密性、完整性和可用性程度的一項專業測評。
  • 云服務(SAAS云)標準符合性證書+

    該評估以《信息技術云計算云服務運營通用要求》等相關國家標準為依據,是云服務/云計算領域目前國內首個分級評估,從人員、流程、技術、資源和性能等五方面進行全方位的服務能力測評,從而確定參評企業所達到的能力等級。
  • 運行維護標準符合性證書(一級)

    該評估以《信息技術服務運行維護服務能力成熟度模型》等相關國家標準為依據,從運維服務能力管理、人員、資源、技術過程、應急、交付、質量等方面進行全方位的運行維護服務能力成熟度評估,從而確定參評企業所達到的能力等級。
  • 企業信用等級證書(AAA)

    企業信用等級證書(AAA級)是中國軟件行業協會頒發的企業信用最高等級證書,主要考察企業的綜合素質、企業競爭力、經營狀況、管理能力、財務狀況、行業特性因素、信用記錄、供應商和客戶狀況等多個方面,體現企業的綜合競爭力、抗風險能力、資信狀況、軟實力和信譽度。
  • 系統集成企業能力標準符合性證書(壹級)

    系統集成企業能力標準符合性證書是由國家標準化管理委員會等政府部門以及中國系統集成行業協會等行業組織發布的,以全面規范系統集成服務產品及其組成要素,指導實施標準化和可信賴系統集成服務的一系列標準,體現系統集成企業的服務能力和服務質量。

網絡安全等級保護(三級)

網絡安全等級保護是對國家重要信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。

可信云服務認證

可信云服務評估是由數據中心聯盟(DCA)組織、中國信息通信研究院(工信部電信研究院)測評的面向云計算服務和產品的權威評估體系??尚旁品赵u估的核心目標是建立云服務商的評估體系,為您選擇安全、可信的云服務商提供支撐,促進我國云計算市場健康、創新發展,提升服務質量和誠信水平,逐步建立云計算產業的信任體系,被業界廣泛接受和信任。

EAL3+

EAL3+級認證是中國信息安全測評中心基于國家標準《信息技術 安全技術 信息技術安全性評估準則》(GB/T18336-2008)對各類信息技術產品進行的安全測評認證。其根據安全保證的等級進行分級評估,通過對信息安全產品的生命周期,包括從技術、研發、管理、交付等多個部分進行全面的安全性評估和測試、驗證產品的保密性、完整性和可用性程度的一項專業測評。

云服務(SAAS云)標準符合性證書+

該評估以《信息技術云計算云服務運營通用要求》等相關國家標準為依據,是云服務/云計算領域目前國內首個分級評估,從人員、流程、技術、資源和性能等五方面進行全方位的服務能力測評,從而確定參評企業所達到的能力等級。

運行維護標準符合性證書(一級)

該評估以《信息技術服務運行維護服務能力成熟度模型》等相關國家標準為依據,從運維服務能力管理、人員、資源、技術過程、應急、交付、質量等方面進行全方位的運行維護服務能力成熟度評估,從而確定參評企業所達到的能力等級。

企業信用等級證書(AAA)

企業信用等級證書(AAA級)是中國軟件行業協會頒發的企業信用最高等級證書,主要考察企業的綜合素質、企業競爭力、經營狀況、管理能力、財務狀況、行業特性因素、信用記錄、供應商和客戶狀況等多個方面,體現企業的綜合競爭力、抗風險能力、資信狀況、軟實力和信譽度。

系統集成企業能力標準符合性證書(壹級)

系統集成企業能力標準符合性證書是由國家標準化管理委員會等政府部門以及中國系統集成行業協會等行業組織發布的,以全面規范系統集成服務產品及其組成要素,指導實施標準化和可信賴系統集成服務的一系列標準,體現系統集成企業的服務能力和服務質量。
您可能關心的安全合規與隱私保護問題
  • 用友云提供的基礎設施足夠安全嗎?

    用友云將基礎設施安全作為云安全中心的核心組成部分,合作的基礎設施服務商具備國際一流、非常完善的安全及隱私保護體系,均已獲得國內外權威資質認證(如等級保護、ISO27001、ISO27018等)。
  • 用友云如何保障云上我的數據的安全性?

    用友云高度重視您的數據資產,把數據保護作為用友云安全策略的核心。但是,值得強調的是,對于您使用云服務產生的內容數據,用友云只是其托管者,您對其擁有所有權和控制權。未經授權,用友云除執行您的服務要求外不會訪問、使用或移動客戶數據。您需要負責各項具體的數據安全配置,對其保密性、完整性、可用性以及數據訪問的身份驗證和鑒權進行有效保障。
  • 用友云是否將我的數據轉移到其它地區或國家?

    在沒有獲得您的明確同意或者存在其他法律義務要求的情況下,用友云不會將您的數據轉移到其他國家/區域。您若有將數據進行跨境轉移的需求且需用友云協助時,可聯系用友云,用友云將在與您協商一致后配合您進行數據轉移。

加入“友安全”保障計劃

如果您還在為入侵檢測、入侵防御、病毒查殺、資產清點等安全防御問題一籌莫展,敬請加入“友安全”保障計劃! “友安全”保障計劃基于網絡攻擊檢測系統,提供全面安全的托管服務,實現終端安全防范,保護企業網絡核心資產。 助力網絡安全,護駕企業成功!
  • 免費上門或線上產品演示
  • 專業客戶顧問全程服務
  • 企業定制化解決方案
  • 全天候業務咨詢服務
亚洲人成欧美中文字幕_亚洲成a人片在线观看中文_中文字幕日本mv永久地址进入_国产精品精品国产免费电影