信息安全政策

Green Platform N.V. (hereinafter Green Platform, 公司）有责任保护其信息资产，确保业务连续性并保护内部和外部的信息流动。信息安全对于确保有效且受保护的数据共享至关重要，同时保护信息基础设施免受安全事件的影响。
{% translate "The Green Platform Information Security Policy is intended to safeguard the Company, Company staff, its clients, partners and owners of intellectual property rights from information security related incidents and any consequential action, loss of income or damage. The Policy also aims to establish control requirements on network systems, based on the International Standards ISO/IEC 27001 and ISO/IEC 27002." %}

1.范围

本政策适用于绿色平台以下所有员工群体和关联公司（但不限于）：
任何人访问 信息 这是绿色平台的财产；
任何访问绿色平台的人 计算机网络;
任何人使用 电脑设备 这是绿色平台的财产；
All Green Platform 职员;
All Green Platform 附属机构和提供商.
本政策保护 用于存储和处理信息的信息系统。

这包括但不限于：
• 公司开发或委托的云系统；
• 连接到公司网络的系统或数据；
• 公司管理的系统；
• 用于连接到公司网络或保存公司数据的移动设备；
• 公司拥有知识产权的数据；
• 公司作为数据控制者或数据处理者的数据（无论持有何处）。

2、职责

公司信息源和系统的所有用户都有责任遵守公司有关信息保护的指示。
公司将向所有新员工提供本政策。公司将让员工了解本政策，并告知他们本政策的任何重大修订。
公司了解其正确管理信息的责任。此类信息管理可提高业务效率（将信息视为主要资产，值得保护）、有效的风险管理、法律合规性（特别是与《通用数据保护条例》有关）和健全的公司治理。

员工、公司附属公司、供应商和合作伙伴的责任：

公司的所有员工、公司的关联公司、供应商和合作伙伴、第三方都将是公司信息的用户。这意味着有责任遵守本政策、支持政策和相关立法。任何个人都不应能够访问他们没有合法访问权限的信息。尽管有适当的系统来防止这种情况，但任何个人都不应故意违反该政策，也不得允许其他人这样做。要报告数据泄露，请参阅第 3.6 节：事件处理

业务主导的技术团队：

负责支持公司工作的手动和电子信息系统（例如人力资源/登记/财务）。这包括确保数据得到适当存储，数据风险得到适当理解并减轻或明确接受，正确的访问权限已到位，数据只能由正确的人员访问，并确保有适当的备份、保留、灾难恢复和处置机制到位。

项目经理：

负责项目实施过程中产生、提供或持有的信息的安全。这包括确保数据得到适当存储，数据风险得到适当理解和减轻，正确的访问权限已到位，数据只能由正确的人员访问，并确保有适当的备份、保留、灾难回收和处置机制。

专业服务主管、部门经理/直线经理：

负责公司工作的特定领域，包括所有支持信息和文件，其中可能包括工作文件/合同/员工信息。

数据保护官：

负责数据保护和记录保存问题。

网络安全团队：

负责确保公司 IT 基础设施、云环境和应用程序的提供符合本政策和当前良好实践的要求。负责保障活动、渗透测试、信息安全政策和专业信息安全建议。网络安全问题的事件响应。用户意识。

管理委员会：

负责批准信息安全政策。

3、政策

3.1.信息安全原则

以下信息安全原则为公司的信息安全和管理提供了总体治理：
1. 应根据适当的保密性、完整性和可用性级别（参见第 3.3 节“信息分类”）并根据相关立法、监管和合同要求对信息进行分类。
2. 对信息负有责任的用户（参见第 2 节“责任”）必须：
A。确保建立该信息的分类；
b.必须根据其分类级别处理该信息；
C。必须遵守公司的政策、程序和任何合同要求。
3. 本政策范围（参见第 1 节“范围”）涵盖的所有用户必须根据其分类级别适当处理信息。
4. 信息应该是安全的，并且根据其分类级别可供有合法访问需求的人使用。信息的获取将基于最低特权和知情需要。
5. 信息将受到保护，防止未经授权的访问和处理。
6. 必须报告违反本政策的行为（请参阅第 3.6 节“事件处理”）。
7. 将定期审查信息安全规定和指导政策，包括通过年度外部审计和渗透测试。
8、公司内部运行的显式信息安全管理体系（ISMS）将按照持续改进的原则进行评估和调整。

3.2 法律和监管义务

{% translate "We store and process your Personal Data in data centres around the world, wherever Green Platform facilities or service providers are located. As such, we may transfer your Personal Data outside of the European Union. Some of the countries to which your personal data may be transferred for these purposes that are located outside the EU do not benefit from an adequacy decision issued by the EU Commission regarding protection afforded to personal data in that country. Details of these specific countries can be found here: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en If we do transfer your personal data outside of the EEA, within the group or to our business partners, we will take all reasonable steps to ensure that adequate measures are applied to keep your personal data as secure as it is within the EEA and in accordance with this Privacy Policy, by relying on the use of standard contractual clauses or binding corporate rules or any other acceptable method that ensures protection of your data based on the standard required within the EEA." %}
您可以随时联系我们，获取欧洲经济区以外处理您数据的服务提供商的完整列表。

3.3 信息分类

1. 下表总结了公司已采用的、支撑公司信息安全原则的信息分类级别。
2. 信息在其生命周期内可能会改变分类级别。

3.4 供应商和附属公司

公司的所有供应商和附属公司都将遵守公司的信息安全政策，或者能够证明提供同等保证的公司安全政策。
这包括：
• 在现场或远程访问或处理公司资产时
• 分包给其他供应商时。

3.5 合规、政策意识和纪律程序

1. 必须遵守本政策。
2. 本政策将附带强制性用户意识培训。
3. 所有现有员工和其他授权用户将被告知本政策的存在以及支持政策的可用性。
4. 任何安全漏洞将根据所有相关公司政策（包括适当的纪律政策）进行处理。

3.6 事件处理

1. 如果公司员工发现信息安全事件，则必须将其报告至 legal@vegangster.com。

3.7 回顾与发展

1. 本政策将定期更新，以确保其根据法律、组织政策或合同义务的任何相关变更而保持适当。
2. 可能会制定额外的政策来涵盖特定领域。