嘉理盖思集团已决定根据 ISO/IEC 27001 标准及西班牙国家安全框架(ENS),采用国际最佳做法管理信息系统(以下简称 SGSI)。
鉴于上述,本《信息安全政策》的制定遵循以下法规的法律要求:
- 2022 年 5 月 3 日第 311/2022 号皇家法令,规范《国家安全框架》(ENS);
- ISO27001: 2022 标准。
- 2016 年 4 月 27 日欧洲议会和欧盟理事会通过第 2016/679 号条例,发布关于自然人的个人数据处理及其自由流通方面的保护,同时废止第 95/46/EC 号指令(《通用数据保护条例》),并于 2018 年 12 月 5 日发布关于个人数据保护和保障数字权利的第 3/2018 号组织法(LOPD-gdd)。
信息系统安全政策具有双重目标:
- 首先,旨在建立一个参考框架,以保障支持嘉理盖思集团业务流程中各类资产的安全属性;这一框架基于所进行的风险分析结果、与安全要求保持一致性的业务战略需求,以及相关法律和合同的合规要求。按照上述参考框架的规定,本《信息安全政策》用于确立信息系统安全的基本原则,并通过在规范、程序、技术指令、记录和其他必要文档中进行制定,以明确规范信息、系统和支持资产的使用方式。
- 另一方面,嘉理盖思集团的《信息安全政策》旨在制定组织、物理和逻辑方面的安全措施,以有效保障上述资产的安全属性,其依据是必须将安全视为一个覆盖全局的综合性过程,涵盖与信息和通信系统有关的所有技术、人力、物资和组织要素,并且不应被视为管理方面的开支,而应被视为是防止对业务产生负面影响的重要投资。
本政策适用于嘉理盖思集团在业务开展过程中涉及与客户相关的信息系统。凡涉及与信息系统有关的任何特定安全方面的内部规定、流程或文件,均须遵循并严格遵守本政策的规定。
本政策适用于纳入嘉理盖思系统内的嘉理盖思集团的全体员工、合伙人和所属公司成员,以及在信息安全管理系统覆盖范围内、参与支持嘉理盖思集团客户相关业务活动和流程的合作方与第三方(以下简称“信息用户”或简称“用户”)。
信息系统安全政策的基本原则包括:
- 合规性原则:所有信息系统都应严格遵循影响信息安全适用的法律、法规和行业规范,特别是涉及个人数据保护、系统安全、数据安全、通信和电子服务安全等方面相关的规定。
- 风险管理原则:应将风险控制在可接受的水平,并在安全控制与信息性质之间实现合理平衡。应明确制定安全目标、定期审查这些目标,并与信息安全方面保持一致性。
- 提升意识和培训原则:应针对所有可获取信息的用户制定并安排信息安全方面的培训计划、提升意识和宣传活动。
- 保密性、完整性、可用性、可追溯性和真实性原则:
- 必须确保信息的保密性,仅获得授权者才能获取信息。
- 必须确保所使用信息的完整性,确保信息内容简明扼要、准确无误,以及相关处理过程的准确性。
- 同时,应保障信息的可用性,通过制定应急计划以确保信息服务所支持业务的连续性。
- 必须确保信息的可追溯性,以便清晰、准确地追溯到操作的实体(无论是个人或流程)。
- 必须确保信息的真实性,确认处理信息实体的身份真实可信(无论是个人或流程)。
- 必须确保信息的保密性,仅获得授权者才能获取信息。
- 比例性原则:在实施降低资产风险的安全控制措施时,必须在安全措施、信息性质和风险之间寻求平衡。
- 责任原则:嘉理盖思集团的所有成员都必须承担信息安全行为的相应责任,严格遵守制定的规定和控制措施。
- 持续改进原则:将定期审查公司已实施的安全控制措施的有效性,持续提升其应对风险演变和技术环境变化的能力。
本政策同时作为制定信息安全目标的参考框架。
嘉理盖思集团制定了业务连续性计划,以确保关键系统和服务的可用性。具体来说,嘉理盖思集团已制定以下机制:
- 业务连续性计划。
- 业务影响分析。
- 灾难恢复计划。
嘉理盖思集团的业务连续性计划旨在支持嘉理盖思律所关键活动的持续运营,降低突发事件对服务造成的损害和影响,并提高快速恢复业务的能力。
根据2022年5月3日第311/2022号皇家法令第33条的规定,嘉理盖思集团应对其所处理的信息及所提供的服务之安全性产生重大影响的事件,按照西班牙国家安全框架(ENS)系统分类等级,及时向相关客户进行通报。
任何在提供服务过程中访问嘉理盖思集团信息的第三方,均须了解本《信息安全政策》及相关规定,并承诺严格遵守其中所规定的义务,如需要,第三方可制定其自身的操作程序,以符合本政策的要求。集团将制定具体的事件报告和解决程序。应要求相关第三方人员具备充分的信息安全意识,至少达到本《信息安全政策》规定的同等水平。
如需了解更多有关本《信息安全政策》的内容或对此有任何建议,请发送电子邮件至以下地址:[email protected]