咸阳约勾娱乐有限公司

資安措施與執(zhí)行成果

鼎新數(shù)智2023年資訊安全主要措施

技術(shù)面
主要措施
數(shù)據(jù)存取權(quán)限管控
制定《個(gè)人資料檔案安全維護(hù)計(jì)畫(huà)》《業(yè)務(wù)終止後個(gè)人資料處理方法》,明確規(guī)定許可權(quán)外數(shù)據(jù)使用必須通過(guò)嚴(yán)格的簽呈申請(qǐng)流程,由事業(yè)群最高主管、數(shù)據(jù)管理方、內(nèi)審逐級(jí)審核,並明確授權(quán)期限。
對(duì)於客戶(hù)數(shù)據(jù),原則上禁止批量導(dǎo)出明細(xì),如有特殊需求,須通過(guò)簽呈申請(qǐng)流程,經(jīng)群處最高主管、數(shù)據(jù)管理方、內(nèi)審逐級(jí)審核以判斷必要性,經(jīng)去隱私化處理後方可提供。
員工安全意識(shí)提升
持續(xù)開(kāi)展新員工資訊安全培訓(xùn)及考試;
要求員工調(diào)離崗位後履行保密承諾;
要求員工在脫密期限後方可離職,並簽署《保密協(xié)議》;
分區(qū)域安排員工進(jìn)行資訊安全培訓(xùn)並安排線(xiàn)上考試,並對(duì)業(yè)務(wù)團(tuán)隊(duì)進(jìn)行了資訊安全專(zhuān)項(xiàng)培訓(xùn)。
資訊安全審查
每季度審查防毒軟體的安裝及使用情況,每半年審查一輪系統(tǒng)許可權(quán)與數(shù)據(jù)許可權(quán)的授權(quán)情況。
合作夥伴資訊安全
在供應(yīng)商選擇評(píng)估流程中強(qiáng)化資訊安全評(píng)估環(huán)節(jié)。
針對(duì)雲(yún)端服務(wù)、在地化部署兩種方式制定不同的資訊安全評(píng)估策略,要求合作方及供應(yīng)商提供三方機(jī)構(gòu)的審查報(bào)告,涉及數(shù)據(jù)與數(shù)據(jù)的安全防護(hù)能力。
產(chǎn)品通過(guò)
資訊安全認(rèn)證
鼎新雲(yún)依據(jù)國(guó)家等級(jí)保護(hù)制度認(rèn)證、ISO體系認(rèn)證和安全聯(lián)盟認(rèn)證,建立基於安全保護(hù)對(duì)象為基礎(chǔ)、鼎新雲(yún)特有的安全保障體系框架。
鼎新雲(yún)採(cǎi)用業(yè)界主流通用的安全框架,主要包括安全管理要求與安全技術(shù)兩個(gè)層面,已通過(guò)ISO27001:2013資訊安全管理系統(tǒng)認(rèn)證。
「METIS平臺(tái)」獲得資訊安全保護(hù)三級(jí)認(rèn)證。

定期實(shí)施各項(xiàng)危機(jī)處理演練

【社交工程演練】
為持續(xù)增進(jìn)員工對(duì)郵件安全意識(shí),2023年社交工程演練測(cè)試結(jié)果符合「國(guó)家資通安全通報(bào)應(yīng)變作業(yè)綱要」及「防範(fàn)惡意電子郵件社交工程施行方案」規(guī)定,惡意郵件開(kāi)啟率與連結(jié)點(diǎn)擊率結(jié)果均符合合格率目標(biāo)(80%, 76%),將持續(xù)並定期舉辦社交工程演練,提高同仁識(shí)別和應(yīng)對(duì)社交工程攻擊的技能和能力,透過(guò)模擬真實(shí)的攻擊情境,同仁可以學(xué)習(xí)如何識(shí)別攻擊者的技巧和策略,並學(xué)習(xí)如何採(cǎi)取有效的措施來(lái)保護(hù)自己和組織免受社交工程攻擊的影響。

項(xiàng)目
頻率
對(duì)象
主要措施
社交工程
演練
每年一次
臺(tái)灣公司
本次社交工程演練針對(duì)臺(tái)灣受測(cè)演練1935人之郵件帳號(hào),寄送2封共5870封特製之演信件進(jìn)行測(cè)試。
「點(diǎn)閱率」80%合格率
「附件開(kāi)啟率」76%合格率
x