信息安全政策

最后更新 2023 年 11 月 21 日

导言

  • 目的是 NMSDC 信息安全政策的目的是制定准则、程序和责任,以确保信息和信息系统的保密性、完整性和可用性。
  • 范围和责任。 本政策适用于 NMSDC 拥有或运行的所有信息和系统,无论其位于何处。这包括但不限于
    • 电子数据和系统
    • 硬拷贝记录
    • 物质设施
    • 人员
  • NMSDC 所有员工、附属公司员工、承包商和业务合作伙伴均有责任遵守本政策。NMSDC 管理层负责实施和维护本政策中概述的安全控制措施。

安全控制

  • NMSDC 实施了各种安全控制措施,以保护其信息和系统。这些控制措施包括
    • 访问控制。 只有经授权的用户才能访问信息和系统。
    • 数据加密。 敏感数据在静态和传输过程中都经过加密。
    • 网络安全。 NMSDC 使用防火墙和其他网络安全设备保护其系统,防止未经授权的访问。
    • 人身安全。 NMSDC 的实体设施受到安全摄像头、出入控制系统和其他实体安全措施的保护。
    • 信息安全意识。 NMSDC 员工和附属机构员工必须定期完成信息安全意识培训。

门禁控制

  • 访问控制原则。 NMSDC 访问控制政策基于以下原则:
    • 最小特权。 授予用户履行其工作职责所需的最少访问权限。
    • 需要了解。 用户只有在有必要知情的情况下才能访问信息和系统。
    • 职责分离。 关键信息和系统的访问权限由多个用户分担。
    • 用户对其使用 NMSDC 信息和系统负责。
  • 出入控制程序。 NMSDC 采用各种访问控制程序来执行上述原则。这些程序包括
    • 用户账户。 所有用户都有一个唯一的用户账户和密码。
    • 访问角色。 为用户分配的访问角色定义了他们有权访问的信息和系统。
    • 访问评论。 定期审查信息和系统的访问权限,以确保用户仍然有权访问他们需要的信息和系统。
  • 用户验证。 对 NMSDC 系统和数据的访问应通过强大的身份验证方法进行控制,包括但不限于
    • 用户名和密码
    • 双因素身份验证 (2FA)
  • 授权。 对信息和系统的访问应遵循最少特权原则。应仅授予用户和系统履行其职责所需的权限
  • 用户账户管理。 应根据 NMSDC 的用户帐户管理程序创建、修改和终止用户帐户。应定期审查不活动账户,并酌情禁用或删除。
  • 密码政策。
    • 密码要求。
      • 用户必须选择符合以下标准的强密码:
      • 长度至少为 8 个字符。
      • 大小写字母、数字和特殊字符的组合。
      • 密码不应基于容易猜到的信息,如姓名或生日。
      • 密码不应在规定的代数内重复使用。
    • 密码更改。 用户必须定期更改密码。密码更改的频率应根据组织的风险评估和监管要求来确定。
    • 密码共享。 禁止用户与任何人(包括 IT 人员或主管)共享密码。密码仅供个人使用。
    • 密码恢复 应实施安全和授权的密码恢复程序。该程序将在重置或恢复密码前确认用户身份。

信息分类和处理 

  • 目的是 NMSDC 认识到保护本组织所持有信息和数据的机密性至关重要。NMSDC 将实施适当的安全控制,根据数据的分类保护数据。这包括加密、访问控制和定期评估。
  • 信息分类。 所有信息资产都应根据其敏感性和重要性分为以下几类:
    • 公共信息。 打算不受限制地披露的信息。
      例如营销材料、公共网站和非敏感数据。
    • 内部信息。 供组织内部使用。
      例如公司政策、内部报告、员工数据。
    • 机密信息。 敏感数据,如果处理不当,可能会对组织或个人造成伤害。
      例如员工和客户个人信息、财务记录、知识产权。
  • 保护机密信息的义务。 NMSDC 和附属机构的所有员工、承包商、第三方服务提供商以及访问 NMSDC 信息系统的任何实体都必须保护和维护机密信息的机密性。
  • 访问控制和最小权限 只有出于合法业务目的需要访问机密信息的人员才能访问机密信息。访问权限应根据最小特权原则进行管理。
  • 保密协议。 可接触 NMSDC 机密信息的第三方承包商、供应商或服务提供商必须签订保密协议 (NDA)。
  • 培训和认识。 NMSDC 将提供培训和提高认识计划,让联属公司员工和工作人员了解保护机密信息的重要意义以及为保护信息而采取的安全措施。

    不遵守本保密声明和 NMSDC 信息安全政策可能导致纪律处分,直至终止协议,并可能导致法律后果。

    通过遵守这些保密原则,NMSDC 表明其致力于维护其利益相关者、合作伙伴以及其所处理信息的个人的信任和信心。

数据库使用条款和条件

  • 目的是 以下条款和条件("条款")适用于加盟商访问和使用由 NMSDC 提供的 NMSDC Hub("数据库")。加盟方使用数据库即表示接受本条款。若加盟商不同意任何规定的条款,则必须停止使用数据库。

许可和使用

  • 许可证授予。 在遵守这些条款的前提下,NMSDC授予联盟有限制的、非独占的、不可转让的和可撤销的许可,允许联盟为以下目的访问和使用数据库:
    • MBE 搜索和线索管理。
    • 登记当地成员。
    • 地方和国家成员通信。
    • 合同机会线索。
    • MBE 资格预审和认证推荐。
    • 报告关键绩效指标(KPI)和工作说明书(SOW)中详述的其他报告。

限制条件

数据库的访问和使用仅限于第 1 节所述的活动。严禁以下行为

  • 未经授权拷贝、复制或分发数据库或其内容
  • 从事逆向工程、反编译或任何类似的尝试,以辨别数据库的源代码。
  • 将数据库用于任何非法、不道德或恶意目的。

数据库证书

  • 个人用户证书。 用户凭证分配给单个用户,不得共享。严禁共享用户证书。

    用户不得假冒任何个人或实体,不得虚假陈述或以其他方式歪曲与任何个人或实体的隶属关系,不得使用任何欺诈性、误导性或不准确的电子邮件地址或其他联系信息。
  • 责任。 用户凭证所有者对使用其分配的用户凭证进行的所有活动负责。
  • 用户凭证分配。 用户凭证管理员只能将用户凭证分配给根据其与 NMSDC 的关系或其公司与 NMSDC 的关系被授权接受访问的个人。
  • 保护用户凭证。 用户凭证必须保密,以防止未经授权访问系统。

数据管理与隐私

  • 数据复制/下载。 严禁用户复制或下载 MBE 详情和认证数据,并将其提供给本组织以外的用户。这包括禁止在跨公司或任何其他第三方平台共享的供应商档案数据中添加认证详细信息。
  • 市场营销。 用户不得将信息用于推销产品或服务。
  • 数据处理。 用户必须谨慎处理数据,确保机密信息不被不当披露、丢失或泄露。
  • 数据保密。 用户必须将在数据库中访问的所有信息视为机密信息,不得将其披露给 NMSDC 未授权接收的任何人。

数据库监控

加盟商承认并同意,NMSDC有权不时以电子方式监控数据库的使用,并在必要或适当时披露任何信息,以满足任何法律、操作数据库或保护自身或其客户的要求。

对滥用 MBE 详情和认证数据的处罚

  • 访问限制/撤销。 如果出现滥用情况,NMSDC 保留限制或撤销用户访问数据库的权利。
  • 终止关系。 滥用数据库可能导致处罚,甚至终止协议。

数据准确性免责声明

NMSDC 尽一切努力在数据库中提供准确和最新的数据。但是,NMSDC 不保证或担保该系统所提供信息的准确性、完整性或可靠性。

责任限制

NMSDC 不对因 Affiliate 使用数据库而造成的任何直接、间接、附带、特殊或后果性损害承担责任。

  • 第三方链接。 数据库可能包含第三方网站或资源的链接。对于这些外部网站的可用性或内容,NMSDC 概不负责,也不对因使用这些外部资源而造成的任何损失或损害负责。

远程访问政策

  • 目的是 远程访问政策管理对 NMSDC 信息系统和数据的远程访问。对 NMSDC 系统和数据的远程访问只能通过安全、加密的连接并使用强大的验证方法授予授权人员。
  • 远程访问要求。 所有信息资产都应根据其敏感性和重要性分为以下几类:
    • 对 NMSDC 系统和数据的远程访问将根据工作角色和职责进行授权和批准。
    • 远程用户必须使用安全的加密连接,如虚拟专用网络(VPN)或其他经批准的方法。
    • 远程访问必须使用双因素身份验证 (2FA) 等强大的身份验证方法。
  • 监测。 应监控远程访问会话的安全性和合规性。未经授权的访问尝试应予以报告和调查。
  • 终止。 当员工合同期满或工作角色不再需要访问权限时,远程访问权限将被终止。

云托管应用程序

  • 所有云托管应用程序在使用前必须获得 NMSDC IT 部门的批准。
  • 必须通过 NMSDC 的身份和访问管理 (IAM) 系统管理对云托管应用程序的访问。
  • 云托管应用程序必须配置为对所有静态和传输中的数据使用强加密。
  • 必须定期监控云托管应用程序的安全漏洞。

例外申请政策

  • 目的是 例外申请政策规定了对既定信息安全政策提出例外申请的程序。
  • 例外申请程序。 员工或授权人员可通过提交正式的例外申请来要求对安全政策进行例外处理。申请中必须包括要豁免的政策细节、理由和建议的替代安全措施。
  • 审查和批准。 例外申请将由信息安全官(ISO)和相关利益攸关方进行审查。信息安全官和高级管理层可决定批准、拒绝例外情况,或规定例外情况的条件。
  • 所有例外申请、决定和相关文件都将保留,以备审计和合规之用。

不活动超时政策

  • 目的是 闲置超时策略概述了在一段时间闲置后自动注销用户会话的要求。
  • 超时设置。 应将 NMSDC 系统上的用户会话设置为在一段规定的闲置时间后自动注销。超时时间应与所访问数据和系统的敏感性相适应。

电子邮件安全政策

  • 目的是 电子邮件安全政策概述了在 NMSDC 内安全使用电子邮件的指导原则和最佳实践。
  • 电子邮件加密。 包含敏感或机密信息的电子邮件在传输过程中必须加密。用户有责任在需要时使用 NMSDC 提供的电子邮件加密工具。
  • 提高对网络钓鱼的认识。 员工应接受培训和提高认识计划,以识别和报告网络钓鱼企图。可疑电子邮件应报告给信息技术部门进行调查。
  • 附件。 打开电子邮件附件时必须谨慎。不应该打开不可信的附件,对于来历不明的附件也应谨慎对待。
  • 电子邮件保留。 NMSDC 应制定电子邮件保留政策,以符合法律和监管要求。电子邮件应归档并在规定期限内保留。

合规性

  • NMSDC 应定期审查和更新这些政策,以确保其符合适用的法律、法规和行业标准。

执法

  • 不遵守本信息安全政策可能导致纪律处分,包括终止雇用关系或协议。

政策变更

NMSDC 保留随时以任何理由更新或修改本政策的权利。任何变更将立即生效,NMSDC 将通知加盟商,加盟商有责任查看政策变更并遵守。

联系信息

有关这些条款的问题或疑虑,请通过以下方式联系 NMSDC itsupport@nmsdc.org.