資安措施與執(zhí)行成果

鼎新數(shù)智2023年資訊安全主要措施

技術(shù)面

主要措施

數(shù)據(jù)存取權(quán)限管控

制定《個人資料檔案安全維護(hù)計畫》《業(yè)務(wù)終止後個人資料處理方法》，明確規(guī)定許可權(quán)外數(shù)據(jù)使用必須通過嚴(yán)格的簽呈申請流程，由事業(yè)群最高主管、數(shù)據(jù)管理方、內(nèi)審逐級審核，並明確授權(quán)期限。

對於客戶數(shù)據(jù)，原則上禁止批量導(dǎo)出明細(xì)，如有特殊需求，須通過簽呈申請流程，經(jīng)群處最高主管、數(shù)據(jù)管理方、內(nèi)審逐級審核以判斷必要性，經(jīng)去隱私化處理後方可提供。

員工安全意識提升

持續(xù)開展新員工資訊安全培訓(xùn)及考試；

要求員工調(diào)離崗位後履行保密承諾；

要求員工在脫密期限後方可離職，並簽署《保密協(xié)議》；

分區(qū)域安排員工進(jìn)行資訊安全培訓(xùn)並安排線上考試，並對業(yè)務(wù)團(tuán)隊進(jìn)行了資訊安全專項培訓(xùn)。

資訊安全審查

每季度審查防毒軟體的安裝及使用情況，每半年審查一輪系統(tǒng)許可權(quán)與數(shù)據(jù)許可權(quán)的授權(quán)情況。

合作夥伴資訊安全

在供應(yīng)商選擇評估流程中強化資訊安全評估環(huán)節(jié)。

針對雲(yún)端服務(wù)、在地化部署兩種方式制定不同的資訊安全評估策略，要求合作方及供應(yīng)商提供三方機構(gòu)的審查報告，涉及數(shù)據(jù)與數(shù)據(jù)的安全防護(hù)能力。

產(chǎn)品通過
資訊安全認(rèn)證

鼎新雲(yún)依據(jù)國家等級保護(hù)制度認(rèn)證、ISO體系認(rèn)證和安全聯(lián)盟認(rèn)證，建立基於安全保護(hù)對象為基礎(chǔ)、鼎新雲(yún)特有的安全保障體系框架。

鼎新雲(yún)採用業(yè)界主流通用的安全框架，主要包括安全管理要求與安全技術(shù)兩個層面，已通過ISO27001:2013資訊安全管理系統(tǒng)認(rèn)證。

「METIS平臺」獲得資訊安全保護(hù)三級認(rèn)證。

定期實施各項危機處理演練

【社交工程演練】
為持續(xù)增進(jìn)員工對郵件安全意識，2023年社交工程演練測試結(jié)果符合「國家資通安全通報應(yīng)變作業(yè)綱要」及「防範(fàn)惡意電子郵件社交工程施行方案」規(guī)定，惡意郵件開啟率與連結(jié)點擊率結(jié)果均符合合格率目標(biāo)(80%, 76%)，將持續(xù)並定期舉辦社交工程演練，提高同仁識別和應(yīng)對社交工程攻擊的技能和能力，透過模擬真實的攻擊情境，同仁可以學(xué)習(xí)如何識別攻擊者的技巧和策略，並學(xué)習(xí)如何採取有效的措施來保護(hù)自己和組織免受社交工程攻擊的影響。

項目

頻率

對象

主要措施

社交工程
演練

每年一次

臺灣公司

本次社交工程演練針對臺灣受測演練1935人之郵件帳號，寄送2封共5870封特製之演信件進(jìn)行測試。
「點閱率」80%合格率
「附件開啟率」76%合格率

資安措施與執(zhí)行成果

鼎新數(shù)智2023年資訊安全主要措施

定期實施各項危機處理演練

我想瞭解

我是用戶

我是夥伴