信息安全政策

Green Platform N.V. (hereinafter Green Platform, 公司)有责任保护其信息资产,确保业务连续性并保护内部和外部的信息流动。信息安全对于确保有效且受保护的数据共享至关重要,同时保护信息基础设施免受安全事件的影响。
绿色平台信息安全政策旨在保护公司、公司员工、客户、合作伙伴和知识产权所有者免受信息安全相关事件以及任何后续行动、收入损失或损害的影响。该政策还旨在根据国际标准 ISO/IEC 27001 和 ISO/IEC 27002 建立对网络系统的控制要求。


1.范围

本政策适用于绿色平台以下所有员工群体和关联公司(但不限于):
任何人访问 信息 这是绿色平台的财产;
任何访问绿色平台的人 计算机网络;
任何人使用 电脑设备 这是绿色平台的财产;
All Green Platform 职员;
All Green Platform 附属机构和提供商.
本政策保护 用于存储和处理信息的信息系统。

这包括但不限于:
• 公司开发或委托的云系统;
• 连接到公司网络的系统或数据;
• 公司管理的系统;
• 用于连接到公司网络或保存公司数据的移动设备;
• 公司拥有知识产权的数据;
• 公司作为数据控制者或数据处理者的数据(无论持有何处)。

2、职责

公司信息源和系统的所有用户都有责任遵守公司有关信息保护的指示。
公司将向所有新员工提供本政策。公司将让员工了解本政策,并告知他们本政策的任何重大修订。
公司了解其正确管理信息的责任。此类信息管理可提高业务效率(将信息视为主要资产,值得保护)、有效的风险管理、法律合规性(特别是与《通用数据保护条例》有关)和健全的公司治理。

员工、公司附属公司、供应商和合作伙伴的责任:

公司的所有员工、公司的关联公司、供应商和合作伙伴、第三方都将是公司信息的用户。这意味着有责任遵守本政策、支持政策和相关立法。任何个人都不应能够访问他们没有合法访问权限的信息。尽管有适当的系统来防止这种情况,但任何个人都不应故意违反该政策,也不得允许其他人这样做。要报告数据泄露,请参阅第 3.6 节:事件处理

业务主导的技术团队:

负责支持公司工作的手动和电子信息系统(例如人力资源/登记/财务)。这包括确保数据得到适当存储,数据风险得到适当理解并减轻或明确接受,正确的访问权限已到位,数据只能由正确的人员访问,并确保有适当的备份、保留、灾难恢复和处置机制到位。

项目经理:

负责项目实施过程中产生、提供或持有的信息的安全。这包括确保数据得到适当存储,数据风险得到适当理解和减轻,正确的访问权限已到位,数据只能由正确的人员访问,并确保有适当的备份、保留、灾难回收和处置机制。

专业服务主管、部门经理/直线经理:

负责公司工作的特定领域,包括所有支持信息和文件,其中可能包括工作文件/合同/员工信息。

数据保护官:

负责数据保护和记录保存问题。

网络安全团队:

负责确保公司 IT 基础设施、云环境和应用程序的提供符合本政策和当前良好实践的要求。负责保障活动、渗透测试、信息安全政策和专业信息安全建议。网络安全问题的事件响应。用户意识。

管理委员会:

负责批准信息安全政策。

3、政策

3.1.信息安全原则

以下信息安全原则为公司的信息安全和管理提供了总体治理:
1. 应根据适当的保密性、完整性和可用性级别(参见第 3.3 节“信息分类”)并根据相关立法、监管和合同要求对信息进行分类。
2. 对信息负有责任的用户(参见第 2 节“责任”)必须:
A。确保建立该信息的分类;
b.必须根据其分类级别处理该信息;
C。必须遵守公司的政策、程序和任何合同要求。
3. 本政策范围(参见第 1 节“范围”)涵盖的所有用户必须根据其分类级别适当处理信息。
4. 信息应该是安全的,并且根据其分类级别可供有合法访问需求的人使用。信息的获取将基于最低特权和知情需要。
5. 信息将受到保护,防止未经授权的访问和处理。
6. 必须报告违反本政策的行为(请参阅第 3.6 节“事件处理”)。
7. 将定期审查信息安全规定和指导政策,包括通过年度外部审计和渗透测试。
8、公司内部运行的显式信息安全管理体系(ISMS)将按照持续改进的原则进行评估和调整。

3.2 法律和监管义务

我们在世界各地的数据中心存储和处理您的个人信息,无论绿色平台设施或服务提供商位于何处。因此,我们可能会将您的个人信息转移到欧盟以外。您的个人信息可能会被转移到一些位于欧盟以外的国家,而这些国家并未受益于欧盟委员会就该国个人信息保护情况发布的充分性决定。有关这些特定国家的详细信息,请参见此处:https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en。如果我们确实将您的个人信息转移到欧洲经济区以外、在集团内部或向我们的业务合作伙伴转移,我们将采取一切合理措施确保采取充分措施,使您的个人信息像在欧洲经济区内一样安全,并符合本隐私政策,通过使用标准合同条款或具有约束力的公司规则或任何其他可接受的方法,确保根据欧洲经济区内要求的标准保护您的数据。
您可以随时联系我们,获取欧洲经济区以外处理您数据的服务提供商的完整列表。

3.3 信息分类

1. 下表总结了公司已采用的、支撑公司信息安全原则的信息分类级别。
2. 信息在其生命周期内可能会改变分类级别。

安全级别
定义
例子
1. 保密
通常只有公司员工的指定成员才能访问。应在公司系统之外以加密状态保存;提供商可能有静态加密要求。
公司根据反洗钱政策的要求用于 KYC/DD 的个人数据。
2. 限制
通常仅可供公司员工或关联公司的指定和/或相关成员访问
1. GDPR 定义的个人数据;
2. 姓名、电子邮件2. 姓名、电子邮件
3、预留委员会业务;
4. 协议条款和条件;
5. 系统
6.内部信函
7. 公司政策和程序(视主题而定)
3. 公开
所有公众均可访问
可在公司网站或通过公司社交网络获取的信息。

3.4 供应商和附属公司

公司的所有供应商和附属公司都将遵守公司的信息安全政策,或者能够证明提供同等保证的公司安全政策。
这包括:
• 在现场或远程访问或处理公司资产时
• 分包给其他供应商时。

3.5 合规、政策意识和纪律程序

1. 必须遵守本政策。
2. 本政策将附带强制性用户意识培训。
3. 所有现有员工和其他授权用户将被告知本政策的存在以及支持政策的可用性。
4. 任何安全漏洞将根据所有相关公司政策(包括适当的纪律政策)进行处理。

3.6 事件处理

1. 如果公司员工发现信息安全事件,则必须将其报告至 legal@vegangster.com。

3.7 回顾与发展

1. 本政策将定期更新,以确保其根据法律、组织政策或合同义务的任何相关变更而保持适当。
2. 可能会制定额外的政策来涵盖特定领域。

订阅以获取我们的新闻

错误电子邮件
subscription

感谢您的订阅!