EGEROBOT
信息安全管理体系

信息安全 政策

符合ISO 27001:2022、GDPR和数据保护的信息安全管理体系

最后更新: 2026-02-04

目的

EGEROBOT将企业信息视为极其宝贵的资产。信息对于我们业务活动的可持续性至关重要,必须得到适当保护。

EGEROBOT旨在通过在信息安全管理体系(ISMS)范围内实施ISO 27001:2022标准,最大限度地减少企业信息在机密性、完整性和可用性方面可能出现的风险及其影响。

我们的主要目标是确保我们服务的组织和机构的信任,并保障我们使用的信息资产的安全。在此背景下,我们与客户、利益相关者、官方机构和合作供应商的关系极其重要。

范围

EGEROBOT信息安全管理体系涵盖整个组织、业务合作伙伴、供应商和客户关系。本政策适用于所有信息处理活动,包括物理环境、数字系统、云基础设施和远程工作环境。

承诺

作为EGEROBOT及其员工,为消除和管理对我们业务连续性、信息资产和个人数据的所有风险,我们承诺:

  1. 1记录、认证并持续改进我们的信息安全管理体系,以满足ISO 27001:2022标准的要求
  2. 2确保属于客户、业务合作伙伴、利益相关者、供应商或其他第三方的信息的机密性、完整性和可访问性
  3. 3确保遵守与信息安全相关的所有法律法规和合同
  4. 4开展培训以发展技术和行为能力,提高信息安全意识
  5. 5保护战略目标、供应来源、客户信息、利益相关者、业务合作伙伴和员工信息以及与我们服务相关的个人数据等关键数据的机密性
  6. 6为信息资产的安全创建适当的物理和电子环境,确保信息资产机密性、完整性和可访问性的连续性和控制
  7. 7提供必要的计划和技术基础设施,以保证我们信息技术服务的连续性
  8. 8及时发现违反信息安全的情况并立即响应
  9. 9采取第6698号个人数据保护法规定的措施,完全遵守个人数据保护政策开展工作
  10. 10保护EGEROBOT拥有的所有个人数据和信息资产,在国内外标准、法律和法规框架内确保信息安全条件,通过管理现有和潜在风险持续改进、发展和审查信息安全

法律框架和标准

本政策根据以下国内和国际法规制定:

国际标准

ISO/IEC 27001:2022信息安全管理体系
ISO/IEC 27002:2022信息安全控制
ISO/IEC 27701:2019隐私信息管理
ISO 22301:2019业务连续性管理体系

欧盟法规

GDPR通用数据保护条例 – 欧盟2016/679
NIS2指令网络和信息系统安全

土耳其法律

第6698号法律 KVKK个人数据保护法
第5651号法律互联网出版物监管
第5237号法律 土耳其刑法典网络犯罪(第243-246条)
第6102号法律 土耳其商法典商业簿记和文件保留义务

基本原则

EGEROBOT的信息安全政策基于以下原则:

机密性

  • 信息受到保护,防止未经授权的访问
  • 不得故意或因疏忽向未经授权的人员披露
  • 实施数据分类和访问控制

完整性

  • 确保信息的准确性和一致性
  • 实施防止未经授权修改的保护机制
  • 维护日志记录和审计跟踪

可用性

  • 确保授权用户及时访问信息
  • 采取措施防止系统中断
  • 实施业务连续性计划

设计安全

  • 系统从设计阶段就以安全为重点进行开发
  • 采用隐私设计原则

现代威胁类别和措施

勒索软件

  • 定期和隔离的备份策略
  • 针对双重勒索攻击的数据加密
  • 端点检测和响应(EDR)系统

社会工程和钓鱼

  • 员工安全意识培训
  • 针对AI支持的深度伪造威胁的验证协议
  • 电子邮件安全过滤器和SPF/DKIM/DMARC配置

高级持续性威胁(APT)

  • 基于行为的威胁检测
  • 网络分段
  • 零信任架构

供应链攻击

  • 第三方风险评估
  • 软件组成分析(SBOM)
  • 供应商安全审计

物联网和OT安全

  • 工业控制系统隔离
  • 物联网设备清单和安全更新
  • 网络流量监控

云安全政策

一般原则

  • 验证云服务提供商的安全认证
  • 应用零信任架构
  • 传输中和静态数据加密

访问控制

  • 多因素认证(MFA)是强制性的
  • 应用最小权限原则
  • 使用基于角色的访问控制(RBAC)

配置安全

  • 使用云安全态势管理(CSPM)工具
  • 进行定期配置审计
  • 确保API安全

远程工作安全政策

网络安全

  • VPN使用是强制性的
  • 建议安全的家庭网络配置
  • 敏感数据不在公共Wi-Fi网络上处理

设备安全

  • 访问公司数据的设备必须加密
  • 更新的防病毒软件和安全补丁是强制性的
  • 应用移动设备管理(MDM)

数据保护

  • 敏感数据不存储在本地设备上
  • 使用基于云的文件共享
  • 应用屏幕共享和查看规则

第三方和供应商安全

评估

  • 进行供应商安全评估
  • 要求ISO 27001认证或同等认证
  • 进行定期安全审计

合同要求

  • 签署保密协议(NDA)
  • 签订数据处理协议(DPA)
  • 定义安全违规通知义务

事件响应和违规管理

事件响应计划

  • 事件检测、分类和升级程序
  • 24/7安全监控
  • 定义事件响应团队(CSIRT)

数据违规通知

  • KVKK:尽快通知个人数据保护机构
  • GDPR:72小时内通知相关监管机构
  • 通知受影响的个人

事件后

  • 进行根本原因分析
  • 实施改进措施
  • 记录经验教训

业务连续性和灾难恢复

业务连续性计划(BCP)

  • 识别关键业务流程
  • 定义恢复时间目标(RTO)和恢复点目标(RPO)
  • 规划备用工作场所

灾难恢复(DR)

  • 定期备份和测试程序
  • 地理分布式备份
  • 年度灾难恢复演练

受保护资产

身份信息和个人数据
客户和业务合作伙伴信息
软件包和源代码
服务器和网络基础设施
云资源和数据库
知识产权
商业秘密和商业信息

支持政策

清洁桌面和清洁屏幕政策
电子邮件使用政策
访问控制政策
加密控制政策
密码管理政策
移动设备使用政策(BYOD)
社交媒体使用政策
数据分类政策
备份和恢复政策
变更管理政策

目标

  1. 1通过适当的风险评估识别信息资产的价值
  2. 2了解漏洞和潜在威胁
  3. 3将风险降低到可接受的水平
  4. 4遵守国内法律(KVKK、5651、土耳其刑法典)
  5. 5确保符合国际法规(GDPR、ISO 27001:2022)
  6. 6遵守客户合同条款
  7. 7遵守控制程序和指令
  8. 8持续提高网络安全成熟度水平

培训和意识

  • 每年为所有员工提供信息安全培训
  • 新员工必须接受入职培训
  • 进行钓鱼模拟和意识测试
  • 组织基于角色的专业安全培训
  • 培训记录被记录在案

责任

高级管理层

  • 批准并支持本政策
  • 提供必要的资源
  • 参加年度审查会议

首席信息安全官(CISO)

  • 协调政策实施
  • 管理安全事件
  • 进行风险评估
  • 向管理层报告

部门经理

  • 确保本部门政策的实施
  • 报告安全漏洞
  • 支持员工安全意识

全体员工

  • 遵守信息安全政策
  • 报告安全事件
  • 参加培训
  • 报告可疑情况

制裁

任何故意或疏忽危及EGEROBOT、其客户或供应商信息安全的行为:

  • 纪律处分
  • 终止雇佣关系
  • 法律程序(第5237号法律 土耳其刑法典 - 网络犯罪)
  • 损害赔偿要求

将受到处理。

持续改进(PDCA循环)

EGEROBOT应用计划-执行-检查-改进(PDCA)循环来持续改进信息安全管理体系:

计划(Plan)

  • 风险评估和确定安全目标
  • 制定政策和程序
  • 资源规划

执行(Do)

  • 实施控制措施
  • 提供培训
  • 文档化

检查(Check)

  • 内部审计
  • 绩效测量
  • 事件分析和趋势评估

改进(Act)

  • 纠正措施
  • 预防措施
  • 持续改进建议

审查

本政策:

  • 至少每年审查一次
  • 针对重大变更、安全事件或法规更新进行修订
  • 在管理评审(MR)会议上进行评估

联系方式

如有信息安全问题或需要报告事件,请与我们联系。

联系页面
本文件是EGEROBOT信息安全管理体系的一部分。