网络安全政策
1. 简介和目的
1.1 Rheonics 致力于保护其信息资产,包括专有数据、客户信息、知识产权和 IT 基础设施,防止未经授权的访问、使用、披露、更改、中断或破坏。
1.2 本政策建立了维护安全环境的框架, Rheonics数字化运营,与以下方面保持一致:
- 法规:瑞士 FADP、GDPR(如适用)、美国州/联邦法律以及其他适用的国家法律 Rheonics 运作。
- 标准:零信任原则、CIS 基准、NIST 指南(例如,适用的 SP 800-88、SP 800-171)和 OWASP 指南。
1.3 目标:
- 保障数据和系统的机密性、完整性和可用性 (CIA)。
- 最大限度地降低网络安全事件的风险并确保业务连续性。
- 在所有人员中培养安全意识文化。
- 确保遵守法律、法规和合同义务。
2。 范围
适用于所有 Rheonics 员工、承包商、顾问、实习生、志愿者和第三方(“用户”)访问 Rheonics 系统、数据或设施。涵盖:
2.1 资产
- 硬件
- 软件(包括SaaS/IaaS/PaaS)
- 数据(电子和物理)
- 网络
- 物理设施
2.2活动
- 现场工作
- 远程工作
- 使用公司拥有的设备
- 个人设备的使用(BYOD)
- 发展活动
- 第三方供应商互动
3. 角色和职责
| 角色 | 主要职责 |
|---|---|
| 管理 | 支持政策;分配资源;确保整体合规性和风险管理。 |
| IT/安全团队 | 实施/管理控制;领导事件响应;进行审计和评估。 |
| 全部用户 | 遵守政策;使用强密码+MFA;及时报告事件;完成培训。 |
4. 政策声明
4.1数据安全
- 分类和处理: 数据必须根据敏感度进行分类和处理(参见附录A)。敏感度越高,要求就越高。
- 加密: 必须使用强大的行业标准算法对受限数据和机密数据进行静态和传输加密。
- 处理: 必须使用安全方法:对于电子介质,必须按照 NIST SP 800-88 标准进行擦除;对于包含机密或受限数据的实体文件,必须使用 P-4 或更高级别的交叉切碎机进行粉碎。必须遵守数据保留计划。
4.2 访问控制
- 最小权限和 RBAC: 使用基于角色的访问控制 (RBAC),根据工作职能的必要性 (最小权限) 授予访问权限。
- 验证: 需要唯一的用户 ID。云服务、远程访问、管理账户以及处理机密/受限数据的系统必须使用强密码(参见附录 B)和多重身份验证 (MFA)。
- 评论: 访问权限由经理/系统所有者每季度审核一次;终止或角色变更后立即撤销。访问权限的授予/变更需要正式审批流程。
4.3 可接受使用政策(AUP)
- 商业用途: Rheonics 资源主要用于业务用途。在不影响工作、不消耗过多资源、不产生成本或不违反政策/法律的情况下,允许有限的偶然个人使用。
- 禁止活动: 包括但不限于:非法活动、骚扰、访问/分发攻击性材料、侵犯版权、未经授权的系统修改、规避安全控制、安装未经授权的软件、引入恶意软件、未经授权的数据共享/泄露、过度个人使用。
- 用户警惕: 用户必须谨慎处理电子邮件(网络钓鱼)、网页浏览(恶意网站)以及附件/链接。
4.4网络安全
- 周长和分割: 防火墙、IDS/IPS 维护。网络分段隔离关键系统(例如研发、生产)和数据存储。
- Wi-Fi的: 为内部网络提供安全的 WPA3-Enterprise(或至少 WPA2-Enterprise)。访客 Wi-Fi 必须在逻辑上隔离,并且不提供对内部资源的访问权限。
- 远程访问: 仅可通过公司批准且具备 MFA 功能的 VPN 连接。拆分隧道可能会受到限制。
- 零信任: 零信任架构原则(例如微分段、持续验证、设备健康检查)的实施正在进行中,目标是在 1 年第一季度之前在关键网络上完成。
4.5 公司拥有的端点安全
- 防护:所有公司拥有的端点(台式机、笔记本电脑、手机)必须运行并更新公司管理的端点检测和响应 (EDR) 或经批准的防病毒软件。
- 修补: 操作系统和应用程序必须通过公司的补丁管理流程保持更新。在规定的时间内应用关键补丁[Rheonics 定义时间表,例如关键操作系统为 72 小时]。
- 加密: 笔记本电脑和便携式设备必须采用全盘加密(例如 BitLocker、FileVault)。
4.6 自带设备(BYOD)
- 批准和标准: 使用个人设备(BYOD)访问非公共 Rheonics 数据需要明确批准并遵守最低标准(参见附录 D)。
- 安全要求: 包括 MDM 注册、支持的操作系统版本、安全软件、加密、密码、远程擦除功能以及数据分离/容器化。
- 免责声明: Rheonics 保留管理/擦除 BYOD 设备上的公司数据的权利; Rheonics 对安全行动期间的个人数据丢失不承担责任。
4.7 软件安全与管理
- 授权软件: 仅可安装经IT部门批准的授权软件。禁止用户安装未经授权的应用程序。
- 补丁管理: 适用于所有系统(服务器、端点、网络设备)上的所有软件(操作系统、应用程序、固件)。
- 漏洞管理: 定期进行漏洞扫描。严重漏洞必须在规定时间内修复。[Rheonics 定义]。对关键系统定期进行的渗透测试。
- 安全开发: (如果适用)开发团队必须遵循安全编码实践(例如,OWASP Top 10),进行代码审查,并使用安全测试工具(SAST/DAST)。
- 软件组成分析(SCA): 必须清点开源组件并扫描漏洞。除非管理层/IT安全部门明确接受风险,否则禁止使用已停产 (EOL) 的软件/组件。
4.8物理安全
- 访问控制: 访问 Rheonics 通过物理控制(徽章、钥匙、生物识别)限制设施、服务器机房和研发实验室的访问。敏感区域的访问日志已保存。
- 访客管理: 访客必须登记、领取临时身份证明,并在非公共区域有人陪同。
- 工作站安全: 用户必须在无人值守时锁定工作站(Windows+L / Ctrl+Cmd+Q)。
- 清理桌子/屏幕: 敏感信息(实体文件、屏幕)应受到保护,防止未经授权的查看,尤其是在开放区域或无人值守的办公桌上。使用安全的垃圾桶。
4.9 云安全
- 已批准的服务: 使用云服务(SaaS、IaaS、PaaS) Rheonics 数据必须经过 IT/安全部门的批准。
- 配置与监控oring: 服务必须安全配置,并在适用的情况下与 CIS 基准(AWS/GCP/Azure)保持一致。必须强制执行条件访问策略(例如地理位置、设备合规性)。启用并监控 API 和用户活动日志。
- 数据保护: 确保云提供商满足 Rheonics'通过合同和评估实现数据安全、加密、备份和居住要求。
4.10 第三方/供应商管理
- 风险评估: 在与访问、处理、存储 Rheonics 数据或连接网络。风险级别决定评估深度。
- 合同要求: 合同必须包括保密性、数据保护(如果根据 GDPR/FADP 处理个人数据,则包括 DPA)、安全控制、事件通知和审计权利等条款。
- 持续监测oring: 定期审查关键供应商的安全态势。
4.11 事件响应
- 报告: 必须立即报告可疑事件(目标是在发现后 1 小时内),通过() 或 (24/7 内部公司团队频道)。
- 应对计划: Rheonics 维护事件响应计划 (IRP)。基本流程请参阅附录 C。
- 重大事件: (例如,勒索软件、已确认的数据泄露)触发升级和遏制措施(目标是在4小时内)。法律/行政通知遵循法规规定的时间线(例如,适用GDPR/FADP的72小时违规通知)。
- 合作: 所有用户必须全力配合事件响应调查。
5.执法
违规行为将根据严重程度和意图进行处理,并遵守当地就业法。
| 违反 | 例如: | 后果(示例) |
|---|---|---|
| 未成年人 | 意外的政策偏差;错过非关键培训 | 书面警告;强制再培训 |
| 重大的 | 共享凭证;反复轻微违规;安装未经授权的 P2P 软件 | 停学;正式纪律处分 |
| 批判性/有意性 | 故意泄露数据;恶意活动;破坏 | 终止;潜在的法律诉讼 |
6. 政策维护
- 审核节奏: 由政策所有人(IT 主管)和利益相关者至少每年审查一次。
- 审核触发器: 临时审查由以下因素触发:重大安全事件、重大监管变化(例如,新的数据隐私法)、重大技术/基础设施变化(例如,大规模云迁移)、审计结果。
- 最新动态:已批准的变更已传达给所有用户。
7.附录
7.1 附录A: 数据分类
| 分类 | 例如: | 处理要求 |
|---|---|---|
| 受限 | 客户 PII、研发源代码、加密密钥 | • 加密(静态/传输中) • 严格访问日志 • 需要知道 + 明确批准 • 年度访问审查 |
| 机密 | 员工记录、财务数据、内部策略 | • 建议/要求 MFA • 需要知道的基础 • 内部共享受限 |
| 全内走线 | 会议记录、内部政策、一般通讯 | • 未经批准,不得对外共享。 • 使用公司系统 |
| 公共 | 营销材料、网站公共内容 | • 处理/共享不受限制 |
7.2 附录B: 密码要求
- 最小长度:
- 用户帐户:12个字符
- 管理员/服务帐户:16 个字符
- 复杂
- 至少包含 3 个字符中的 4 个:大写字母、小写字母、数字、符号 (~!@#$%^&*()-_=+[]{}|;:'”,.<>/?)。不能包含用户名或常用词典单词。
- 回转
- 最多 90 天(除非使用经批准的连续身份验证方法)。
- 发展历程
- 之前的 5 个密码不能重复使用。
- 存储:
- 不得在不安全的情况下写下。使用公司认可的密码管理器(例如 Bitwarden、1Password)进行安全记录。oring 复杂且唯一的密码。禁止共享密码。禁止绕过 MFA。
7.3 附录 C:事件响应流程
- 检测与分析: 识别潜在事件。
- 报告: 通过指定渠道立即(目标 1 小时内)向 IT/安全部门报告。
- 分类与评估: IT/安全评估严重性和影响。
- 遏制: 隔离受影响的系统/帐户(对于严重事件,目标是 4 小时内)。
- 根除: 消除威胁/漏洞。
- 修复工具:安全地恢复系统/数据。
- 事后回顾: 汲取教训,改进流程。
- 通知: 根据评估结果按要求执行法律/监管/客户通知(例如,对于 GDPR/FADP 个人数据泄露,在 72 小时内发出通知)。
7.4. 附录 D:BYOD 最低标准
- 赞同:访问非公开数据之前必需。
- 设备要求:
- 操作系统版本: 必须运行当前供应商支持的版本(例如 Windows 11+、macOS 14+、iOS 16+、Android 13+)
- 安全性: 屏幕锁定/生物识别功能已启用;设备加密已启用;可能需要经批准的安全软件(AV/反恶意软件);设备未越狱/root。
- MDM的: 入学 Rheonics“移动设备管理 (MDM) 解决方案是强制性的。
- 远程擦除: 必须启用公司数据/资料的功能。
- 数据隔离: 通过托管配置文件或容器内已批准的应用程序访问/存储公司数据(例如 Microsoft Intune MAM、Android Work Profile)。禁止将公司数据复制到个人应用程序/存储中。
- 网络:通过安全的 Wi-Fi 连接;避免使用不受信任的公共 Wi-Fi 进行工作。
8. 联系和确认
- 安全问题/疑虑: Contact () 或通过内部渠道联系 IT/安全团队。
- 报告事件: 使用紧急方法:() 和 (24/7 内部公司团队频道)。
- 致谢: 所有用户在入职及后续重大更新时,均须通过(人力资源门户、培训系统)以电子方式阅读、理解并确认已收到本政策。未确认接收并不影响本政策的适用性。