产品安全政策
武汉天喻软件有限公司
天喻文字【2023】10号
产品安全政策
随着电信网络和信息技术的不断演进与发展,产品安全面临的威胁和挑战将日益严重。武汉天喻软件有限公司(以下简称“天喻软件”)充分理解网络安全的重要性,同时我们也理解客户对此的担忧与高度关注。天喻软件对此高度重视,并致力于采取有效措施提升产品和服务的安全性,从而帮助客户规避和减少安全方面的风险,以赢得各利益相关者的信赖。
网络安全和隐私保护是天喻软件的最高纲领,鉴于上述认识,天喻软件在此承诺:天喻软件在遵从所有适用的国家和地区的安全法规政策、国际网络安全标准,参考行业最佳实践的基础上,从政策、组织、流程、规范、技术、合规、生态等方面建立并管理完善、高可信、可持续的安全保障体系,并与有关政府、客户及行业伙伴以开放透明的方式,共同应对产品安全方面的挑战,全面满足客户的安全需求。
- 在组织方面,天喻软件产品安全组织作为天喻公司的最高网络安全管理机构,负责决策和批准公司总体产品安全战略。首席安全官是天喻软件产品安全组织的重要成员,负责领导团队制定安全战略,统一规划、管理和监督研发、供应链、市场与销售、工程交付及技术服务等相关体系的安全组织和业务,确保网络安全保障体系在各体系、各区域、全流程的实施,积极推动与政府、客户、合作伙伴、员工等各利益相关方的沟通。首席安全官直接向公司总经理汇报。
- 在业务流程方面,安全保障活动融入研发、供应链、市场与销售、工程交付及技术服务等各主业务流程中。安全作为质量管理体系的基本要求,通过管理制度和技术规范来确保其有效实施。天喻软件通过内部审计和接受各国政府安全部门、第三方独立机构的安全认证和审计等来监督和改进各项业务流程。天喻软件在公司级的业务流程基础上,大胆地将安全周期管理(SDL – Security Development Lifecycle)集成于端到端的产品研发流程,以确保研发部署的全线安全质量。
- 在人员管理方面,天喻软件严格执行公司长期以来行之有效的人事和人员管理机制。天喻软件全体员工以及合作伙伴都必须遵从公司相关安全政策,接受安全培训,使安全理念融入整个组织之中。天喻软件对积极执行网络安全保障政策的员工给予奖励,对违反的员工给予处罚,违反相关法律法规的员工,还将依法承担法律责任。
- 在安全技术能力方面,依托自身强大的安全研发能力,以数据保护为核心,开发并采用世界领先的安全技术,致力于实现高可靠、智能化的安全防护和自动化的安全运维运营体系。同时,通过对现网安全态势的大数据分析,有目的地识别出天喻软件产品存在的重要安全风险、威胁和攻击,并采取防范、削减和解决措施;通过多维、立体、完善的安全防御、监控、分析和响应等技术体系支撑产品运维运营安全,实现对安全风险、威胁和攻击的快速发现、快速隔离和快速恢复,让客户受益于天喻软件先进技术带来的便捷、安全与业务增值。
- 在安全合规方面,面向目标市场,天喻软件积极与监管机构对话,理解他们的担忧和要求,贡献天喻软件的知识和经验,不断巩固天喻软件在技术、服务和安全方面与相关法律法规的契合度。同时,天喻软件也将法律法规的分析结果共享给客户,避免信息缺失导致的违规风险,通过合同明确双方的安全职责。天喻软件一方面通过跨行业、跨区域的安全认证满足监管机构要求,另一方面通过获得重点行业、重点区域所要求的安全认证,建立并巩固天喻软件业务的客户信赖度,最终在法律法规制定者、管理者、客户三者间共建安全的环境。
- 在产品安全事件应急响应方面,产品安全事件应急响应是天喻软件产品安全组织的关键工作之一。没有产品是百分之百的安全,为了接受、处理和披露天喻软件产品相关的安全漏洞,天喻软件成立了产品安全事件响应团队(Product Security Incident Response Team,简称“PSIRT”),致力于把风险和漏洞的影响最小化。天喻软件鼓励安全研究人员、行业组织、政府机构和供应商主动将与天喻软件产品相关的安全漏洞以保密且负责的方式,通过发送电子邮件至以下地址以披露可疑漏洞的完整详情,以便天喻软件安全团队可以验证和再现问题:[psirt@hustcad.com]。
对于所有遵守上述政策的安全研究人员,天喻软件PSIRT将竭尽全力:
-
- 及时予以响应,确认接收到您的报告。
- 以严格保密的方式处理您的报告,未经您同意的情况下,绝不将您的个人详细信息透露给第三方。
本政策适用于武汉天喻软件有限公司及其关联公司。
天喻软件承诺遵守如下安全法律法规,在本政策与新增法律、法规发生冲突的情况下,以国家法律、法规为准。
序号 |
法律法规 |
官方发布路径 |
发文时间 |
1 |
网络安全审查办法 |
2022.02 |
|
2 |
关键信息基础设施安全保护条例 |
https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3YjYzYjkzNTAxN2I3YmNjNDk4NzdlMGI%3D |
2021.09 |
3 |
中华人民共和国个人信息保护法 |
2021.08 |
|
4 |
中华人民共和国数据安全法 |
2021.06 |
|
5 |
中华人民共和国密码法 |
https://www.oscca.gov.cn/sca/xxgk/2019-10/27/content_1057225.shtml |
2019.10 |
6 |
中华人民共和国网络安全法 |
2016.11 |
|
7 |
中华人民共和国反恐怖主义法 |
https://www.oscca.gov.cn/sca/xxgk/2015-12/27/content_1012648.shtml |
2015.12 |
8 |
中华人民共和国国家安全法 |
2015.07 |
|
9 |
中华人民共和国计算机信息系统安全保护条例 |
www.gov.cn/zhengce/2020-12/25/content_5575080.htm |
2011.01 |
10 |
信息安全等级保护管理办法 |
www.gov.cn/gzdt/2007-07/24/content_694380.htm |
2007.07 |
11 |
中华人民共和国电子签名法 |
https://www.oscca.gov.cn/sca/xxgk/2004-08/28/content_1012665.shtml |
2004.08 |
武汉天喻软件有限公司
二〇二三年三月九日
抄送:公司管理层、各地办事处、各事业部(中心)、财务部 |