信息安全政策

信息安全政策规定了信息保护的基础，促进安全管理决策，并指导建立、促进与确保最佳信息安全控制的目标。本政策涵盖所有信息与信息系统，包括公司在本网站上使用、管理或运营的信息和信息系统。信息安全政策旨在保护数据的机密性、完整性和可用性，用于信息的分类和处理，以及处理违反此政策的行为。

本信息安全政策提供一套综合的保护措施，必须在我们的网站上统一应用，以确保网站运营的安全操作环境。

宗旨

信息安全管理是指合理选择并有效实施适当的控制措施，以保护机构的关键信息资产。控制措施与管理流程，以及随后对其适当性和有效性的监控，构成信息安全方案的两项基本要素。信息安全的三大目标包括：

• 保密性：保护敏感信息不应泄露给未经授权的人员或系统；
• 完整性：保障信息的准确性、完整性与及时性；
• 可用性：确保经授权用户在需要时能够访问信息与重要服务。

范围

本政策适用于我司所有员工、承包商、合作伙伴、实习生/培训生。第三方服务提供商在提供托管服务或在公司场所外存储数据时亦应遵守本政策。

本信息安全政策的涵盖范围包括在我司内部存储、传输与处理的信息，以及公司在外包地点的数据。

目标

信息安全政策的目标是为我司提供信息风险管理的方法，并为所有部门以及服务承包方提供服务时有关保护信息资产的指令。

信息资产分类

公司信息资产分为四类：公共、内部、机密与限制。所有主要信息资产必须指定一名所有者负责建立与这些类别相符的身份验证与授权程序，并需注意：

1. 一般来说，公共信息通常可向公众人士公开或分发。此等信息无需受保护，按预期使用时，几乎不会对公司的运营、资产或我司履行信息隐私义务的声誉造成任何不利影响。
2. 机密信息仅供内部使用，员工只能在履行公司职责过程时访问信息（机密信息包括受州立法或商业合同义务保护的信息），并且需要隐私和安全保护。
3. 受限制的信息需严格保密，访问时需严格遵循“按需知密”的原则。例如，影响国家利益及/或国家安全的信息。

所有员工都应了解自身在不当使用、共享或向第三方泄露信息方面的法律与公司责任。任何收到机密或受限制的信息的第三方必须获得授权，并且该人士或其机构必须采取信息安全措施，以确保数据的机密性与完整性。

机密信息应受到保护，以防止未经授权的访问或泄露。

受限制的信息的敏感度最高，如果此类信息被未经授权的当事人访问或泄露，将对公司、国家及个人构成最大风险。因此，公司员工在处理受限制的信息或使用存储、传输或操作受限制信息的系统时，必须时刻维护此类信息/数据的机密性、完整性与可用性。

信息安全监管

信息安全监管包括保护信息的领导力、组织结构与流程，以及缓解日益增加的信息安全威胁。

信息安全监管的关键成果包括：

• 信息安全与业务战略需保持一致，以支持机构的目标
• 管理与降低风险，并对信息资源的潜在影响降低到可接受的水平
• 通过测量、监控与报告信息安全监管指标来管理信息安全绩效，以确保实现机构的目标
• 优化信息安全投资，以支持机构的目标。务必考虑信息安全监管对机构的必要性与效益。

职责

市场营销部门负责网站内容，并确保材料符合法律与政策要求。

信息技术部门负责网站的安全性、功能性与基础设施。系统管理员将监控网站的响应时间，并解决遇到的任何问题。

意识与沟通

至关重要的是，信息安全各方面都应纳入正式的员工入职培训程序，并定期传达给现有员工，包括保密性、隐私与系统访问的相关程序。

入职时，员工应知悉不得泄露其在正常工作过程中有机会接触到的任何信息。员工还应知悉，不得获取其正常工作职责之外的数据。