1. 介绍

本安全政策的目的是概述 Allamex™ 为确保我们的系统和数据的机密性、完整性和可用性而采取的措施和实践。 本政策适用于有权访问我们的系统和信息的所有员工、承包商和第三方实体。 为了保护我们的业务和客户信息免遭未经授权的访问、披露、更改或破坏，必须遵守本政策。

2. 智能门禁

2.1用户帐号：

• 将为访问批发在线业务系统的所有员工和承包商创建用户帐户。
• 用户帐户将根据最小权限原则授予，确保个人只能访问履行其工作职责所需的资源。
• 将强制执行强密码，要求大小写字母、数字和特殊字符的组合。
• 将为所有用户帐户实施多重身份验证 (MFA)，以提供额外的安全层。

 2.2第三方访问：

• 仅在需要知道的情况下才允许第三方访问我们的系统和数据。
• 第三方实体将被要求签署保密协议并遵守与我们一致的安全标准和实践。

 

3. 资料保护

3.1资料分类：

• • 所有数据将根据其敏感性和重要性进行分类，以确定适当的保护级别。
  • 将向员工提供数据分类指南，以确保正确处理、存储和传输数据。

3.2数据加密：

• • 敏感数据的传输将使用行业标准加密协议（例如 SSL/TLS）进行加密。
  • 将实施加密机制来保护静态数据，特别是存储在
  • 数据库和文件系统。

3.3数据备份与恢复：

• • 关键数据的定期备份将被执行并安全地存储在异地位置。
  • 将定期测试备份完整性和恢复过程，以确保发生灾难时数据的可恢复性。

 

4.网络安全

• • 防火墙和入侵检测系统：
  • 将部署防火墙和入侵检测系统，以保护我们的网络基础设施免受未经授权的访问尝试和恶意活动的影响。
  • 将定期监控和分析网络流量，以识别和应对任何潜在的安全事件。

4.1安全远程访问：

• • 仅允许通过安全通道（例如 VPN（虚拟专用网络））远程访问我们的系统。
  • 远程访问帐户将受到强大的身份验证机制的保护，并监控任何可疑活动。

5.事件响应

5.1数据分析

• • • 员工和承包商将接受培训，以便及时向指定联系人报告任何安全事件、违规或可疑活动。
    • 将明确传达并定期审查事件报告程序，以确保及时响应和解决。

5.2事件响应小组：

• • • 将指定一个事件响应团队来处理安全事件、调查违规行为并协调适当的行动。
    • 团队成员的角色和职责将被定义，并且他们的联系信息将随时可用。

5.3事件恢复和经验教训：

• • • 将立即采取行动减轻安全事件的影响并恢复受影响的系统和数据。
    • 每次事件发生后，将进行事件后审查，以总结经验教训并实施必要的改进，以防止将来发生类似事件。

6.物理安全

6.1访问控制：

• • 数据中心、服务器机房和其他关键区域的物理访问将仅限于授权人员。
  • 将酌情实施生物特征认证、钥匙卡和闭路电视监控等访问控制机制。

6.2设备保护：

• • 所有计算机设备、存储介质和便携式设备都将受到保护，防止被盗、丢失或未经授权的访问。
  • 员工将接受安全存储和处理设备的培训，特别是在远程工作或旅行时。

7.培训和意识

7.1 安全意识培训：

• • 我们将为所有员工和承包商提供定期安全意识培训，以教育他们有关安全最佳实践、政策和程序的知识。
  • 培训课程将涵盖密码安全、网络钓鱼意识、数据处理和事件报告等主题。

7.2 政策确认：

• • 所有员工和承包商都必须审查并确认他们对本安全政策的理解和遵守。
  • 致谢信息将作为人事记录的一部分定期更新和维护。

8.政策审查和更新

我们将定期审查此安全策略，并根据需要进行更新，以反映技术、法规或业务要求的变化。 所有员工和承包商都将收到任何更新，并要求他们遵守修订后的政策。

通过实施和执行这一安全政策，我们的目标是保护我们的在线批发业务、客户数据，并维护我们的合作伙伴和客户的信任。