CodeTwo
ISO合规中心
CodeTwo的信息安全管理系统(ISMS)符合ISO/IEC 27001和ISO/IEC 27018的要求,保证了云端和企业内部的信息安全和个人数据保护。
本ISO合规中心旨在为您提供以下信息:
什么是ISO/IEC 27001和ISO/IEC 27018
ISO标准由国际标准化组织制定、发布和维护。ISO/IEC 27000系列是针对信息安全的标准,以确保信息的保密性、完整性和可用性。下表是ISO/IEC 27001和ISO/IEC 27018的概况,并列出了证明本公司符合该标准的证书。
Cert No. 17006
ISO/IEC 27001
ISO/IEC 27018
| 概述 | |
|---|---|
ISO/IEC 27001 信息技术-安全技术-信息安全管理系统-要求 信息安全标准,规定了与实施信息安全管理系统有关的要求。信息安全管理系统界定了一套流程、程序、政策和其他手段(包括人员和信息技术系统),使公司能够确保充分保护其敏感信息以及合作伙伴和客户的信息。该标准还要求对所有与信息安全有关的风险进行分析和处理,并不断改进ISMS本身。 | ISO/IEC 27018 信息技术--安全技术--保护作为PII处理者的公共云中的个人身份信息(PII)的行为准则 本标准为数据处理者规定了详细的要求和准则,涵盖了用于保护在公共云环境中处理的个人数据的措施的实施、维护和验证。它还规定了处理个人身份信息的业务守则,并列出了用户对其数据的权利。
|
| Our certificates | |
CodeTwo 总公司 
| 分公司  |
| 概述 |
|---|
ISO/IEC 27001 信息安全标准,规定了与实施信息安全管理系统有关的要求。信息安全管理系统界定了一套流程、程序、政策和其他手段(包括人员和信息技术系统),使公司能够确保充分保护其敏感信息以及合作伙伴和客户的信息。该标准还要求对所有与信息安全有关的风险进行分析和处理,并不断改进ISMS本身。 |
ISO/IEC 27018 本标准为数据处理者规定了详细的要求和准则,涵盖了用于保护在公共云环境中处理的个人数据的措施的实施、维护和验证。它还规定了处理个人身份信息的业务守则,并列出了用户对其数据的权利。 |
| 我们的证书 |
CodeTwo 总公司  |
分公司  |
1. 100%符合标准
CodeTwo的ISMS符合ISO/IEC 27001和ISO/IEC 27018的所有要求,没有例外。
2. 坚持中央情报局的三原则
我们确保我们处理的信息的保密性、完整性和可用性始终得到保护。
3. 综合文件
我们将CodeTwo的每一项政策、流程和程序都记录在案。此外,我们还记录每一个风险评估、审计、安全措施、信息安全事件等。所有的文件都由C级管理人员审查。
4. 变更管理
我们通过遵循PDCA循环(即计划-执行-检查-行动)来实施每一项组织变更,以确保信息系统的保密性、完整性和可用性。这些原则也适用于软件开发。我们对软件的每一次修改都是经过精心策划、记录的,并且要经过批准,而软件的旧版本是有保障的,可以在必要时随时恢复。一旦变更成功实施,我们只有在所有测试成功完成后才会发布新版本的软件。最后,一旦新版本发布,我们将努力使产品更加完善。
5. 风险评估和风险处理计划
我们识别并记录所有可能危及公司信息安全的威胁和漏洞。我们还将确定这些风险的可能性和影响(考虑到不同的情况),并制定纠正行动计划,以最大限度地减少或消除信息损失和这些风险的发生概率。我们公司实施的安全措施和控制机制使我们能够迅速了解谁对特定的源代码、程序或任何文件进行了修改,何时进行了修改,以及修改了什么。
6. 严格的审计
我们定期进行内部和外部的安全审计,在我们的两个办公室进行。在外部审计中,第三方认证机构会验证CodeTwo是否符合ISO/IEC 27001和ISO/IEC 27018的要求。此外,我们还在发生信息安全事故时、每次组织变更后等进行额外的内部审计。这些审计由被任命和培训为审计师的特定员工以及第三方审计师根据我们的年度审计计划进行。
7. 业务连续性管理
我们为任何可能影响CodeTwo的关键业务流程、软件和服务的意外情况做好准备。我们公司实施的业务连续性计划概述了所有的组织和技术措施,用于应对潜在的危机情况,并持续向我们的客户提供服务。
8. 所有员工的参与
每一位CodeTwo的员工都需要了解他们在信息安全方面的责任,遵循所有适用的程序,并遵守公司政策中规定的准则。此外,所有员工都受到保密协议的约束,而处理个人身份信息或客户数据的员工也需要有适当的书面授权。 为了确保这一点并提高员工的认识,每次ISMS发生变更时,我们都会为所有人员组织内部或外包的培训课程。所有的变更都会及时传达给所有员工,所有相关文件每年至少要让全体员工阅读一次。必要时还会组织额外的培训课程。C级管理人员积极主动地支持和促进所有安全和ISO相关活动。
9. 设计的隐私/默认的隐私
通过遵循这两种方法,我们尽一切努力确保在开发和提供处理个人身份信息的解决方案时,考虑到这些信息的安全性。此外,所有的安全功能都是默认激活的--不需要用户采取额外的行动,以确保高级别的保护。
10. 遵守法规
除了满足ISO/IEC 27001和ISO/IEC 27018的要求外,我们还始终确保遵守所有有关数据隐私的法律和法规,如欧盟通用数据保护条例。
11. 安全事件管理
我们根据ISMS迅速处理所有实际和潜在的安全事件。一旦发现此类事件,我们会向指定人员报告,并对其进行评估、记录和解决。此外,我们还从所有报告的事件中得出结论,以改善安全和反应时间,并尽量减少或避免今后发生类似事件。
12. 供应商关系
我们检查、监督和审查我们使用的所有第三方服务和供应商的信息安全。我们还确保尽量减少第三方对我们处理的信息的访问,并且与这些实体签订的所有协议都包含保密条款。
13. 持续改进
符合ISO/IEC 27001和ISO/IEC 27018标准并不是持有特定的证书。这是一个持续的过程,不仅仅是满足这两个标准的所有要求--我们也在不断地寻求改进ISMS。这就是为什么在CodeTwo,我们进行和接受审计,审查我们所有的政策和程序,并评估与信息的保密性,完整性和可用性相关的风险和事件 - 所有这些都使我们能够更好地处理整个公司的信息安全。
我们的系统通过ISO/IEC 27001和ISO/IEC 27018认证的好处是什么?
通过遵守ISO/IEC 27001和ISO/IEC 27018,CodeTwo只遵循关于信息安全的实践,以确保您的数据的保密性、完整性和可用性。我们也尽一切努力确保我们的云和内部平台的解决方案遵循隐私设计和隐私默认原则。
保密性
数据加密和访问控制是我们使用的一些方法,以保证您的所有个人信息始终处于保密状态--任何未经授权的人都无法访问这些信息。我们处理您的数据的目的是您提供给我们的。只有在我们的隐私政策中规定了我们可能会披露您的数据的情况。
完整性
只有您可以更改、更正或删除我们所持有的您的个人信息。您甚至可以限制我们使用您的数据。通过实施版本控制和备份策略,我们确保您的数据的完整性不会受到损害--数据不会以任何方式被更改,并将始终保持准确。
可用性
您的数据随时可以使用--您知道数据在哪里被处理,您可以在任何时候要求访问数据。我们确保我们所有的系统定期更新,并每周7天、每天24小时监控,以确保可用性和性能。在硬件故障的情况下,我们随时准备将故障转移到二级镜像服务。
