信息安全

本文件及其所含技术知识中的所有版权、知识产权和工业产权均归Ink Innovation S.L.和/或其各自所有者所有。

本文件仅供最终用户内部使用。未经Ink Innovation S.L.事先书面批准，不得以任何形式或方式（无论是电子还是机械方式）发布、披露、复制、再版或再分发本文件的任何部分或其中包含的任何数据，也不得将其用于任何其他目的。

本文件未明确授予的任何权利均予以保留。

目的

本《信息安全政策》旨在保护Ink Innovation S.L.的信息资产，使其免受各种威胁，无论这些威胁是来自内部还是外部，是蓄意的还是意外的。本政策概述了保障信息资产安全的框架和原则，以确保其机密性、完整性和可用性。

范围

本政策适用于Ink Innovation S.L.的所有员工、承包商、顾问、临时员工及其他工作人员，包括所有与第三方相关的人员。其适用范围涵盖所有信息系统、网络以及处理、存储或传输信息的物理场所。

该政策同样适用于客户、监管机构、供应商和合作伙伴等相关方，以确保符合适用的合同、监管及法律义务。

信息安全目标

• 确保信息的机密性、完整性和可用性。
• 为防范未经授权的访问和数据泄露。
• 为遵守相关法律法规及合同义务，包括数据保护和隐私要求。
• 根据适用的隐私和数据保护法规，保护个人、敏感及机密信息。
• 根据ISO/IEC 27001和NIST的要求，持续改进我们的信息安全管理体系。

职责与责任

• Ink 高层管理团队：提供领导力，致力于落实并推广信息安全管理体系（ISMS）的政策和程序，分配资源，并支持持续改进。对信息安全管理体系的有效性承担责任，并确保其与业务目标保持一致。

• 首席信息安全官（CISO）：制定、实施和维护信息安全管理体系（ISMS），并确保符合ISO/IEC 27001标准的要求。监督风险评估工作，确保符合监管和合同规定的安全要求，并确保符合NIST FIPS 199分类标准。
• IT 部门：实施技术控制措施，监控系统，收集并审查安全日志，利用威胁情报，并应对安全事件。确保严格执行职责分离，以防止资产遭到未经授权或无意的修改。
• 全体员工：请遵守信息安全政策和程序，及时报告安全事件，保护机密信息，并参加定期的安全培训和安全意识提升活动。

风险管理

• 定期开展风险评估，以识别、评估和优先处理信息安全风险。
• 根据NIST FIPS 199标准对信息系统进行分类，依据机密性、完整性和可用性方面的潜在影响级别（低、中、高）对系统和数据进行分级。
• 根据分类实施相应的控制措施，其中被归类为“高风险”的系统需采取最严格的保护措施。
• 使风险处理措施与组织所界定的风险偏好及信息安全管理体系（ISMS）背景保持一致。
• 应定期审查和更新风险评估，并在发生重大变化时及时进行调整。

信息安全控制措施

• 访问控制：确保根据业务需求授予信息访问权限，并须经过适当授权。
• 物理安全：保护存放信息资产的物理场所，防止未经授权的访问和环境危害。
• 通信安全：通过加密和安全的通信协议保护传输中的信息。
• 事件管理：制定并维护事件响应计划，用于检测安全事件、对此作出响应并恢复系统。
• 业务连续性与灾难恢复：制定并测试相关计划，以确保在发生意外中断时关键业务功能能够持续运行。
• 供应商与第三方安全：与第三方供应商、承包商和服务提供商共同制定、传达并落实信息安全要求。
• 监控与日志记录：监控信息系统中的异常情况和安全事件。收集、保存并定期审查安全日志，以发现威胁并协助调查工作。
• 威胁情报：利用内部和外部威胁情报，主动检测并缓解风险。
• 信息分类与分级：根据敏感程度对信息资产进行分类和标记，并依据 NIST FIPS 199 标准（低、中、高）对系统进行分级。应根据分级结果采取相应的控制措施。

培训与宣传

• 定期对所有员工开展信息安全政策、流程及最佳实践方面的培训。
• 提高对信息安全威胁的认识，并强调报告安全事件的重要性。

合规

• 确保符合相关法律、法规及合同要求。
• 定期进行审计和审查，以确保信息安全管理体系（ISMS）的有效性，并符合ISO/IEC 27001标准。

持续改进

• 通过内部审计和审查，对信息安全管理体系（ISMS）的运行情况进行监控和评估。
• 实施纠正和预防措施，以解决不符合项并改进信息安全管理体系。
• 鼓励员工和利益相关者提供反馈，以完善信息安全措施。

政策审查

应至少每年对本政策进行一次审查，或在发生重大变化时进行审查，以确保其持续的适用性、充分性和有效性。应将本政策传达给所有相关的内部和外部利益相关方，并作为文件化信息予以提供。