現代牧業信息安全管理政策

1. 目的

為保障公司數據安全，規范公司數據管理，完善公司數據安全管理體系，確保數據的完整性、可用性和保密性，防范數據泄露、篡改和濫用等風險，依據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《個人信息保護法》等數據安全法律法規及標準制度，特制定《現代牧業信息安全管理制度》（“本政策”）。

2. 術語和定義

2.1 數據

廣義的數據泛指任何以電子或者其他方式對信息的記錄。本政策所稱的數據是指在公司業務系統、數據產品中產生的數據，包括但不限于公司狀況、產品信息、經營數據、研究成果等，適用于數據的采集、傳輸、使用、存儲、共享、歸檔/銷毀全鏈路的數據安全管理環節。

2.2 數據安全

數據安全是指保護數據免受未經授權的訪問、使用、泄露、破壞或篡改的一系列措施和技術，這些措施旨在確保數據的機密性、完整性和可用性，從而維護數據的合法利用和持續安全狀態。

3. 我們的承諾

現代牧業承諾：

我們定期評估和更新信息安全管理體系，以適應不斷變化的安全威脅和技術發展，確保其有效性和適應性。
我們采取一切必要措施，保護公司所有數據免受未經授權的訪問、使用、泄露、破壞或篡改，確保數據的準確性、完整性和可用性。
我們建立有效的監測機制，及時發現、評估和響應各類信息安全威脅和事件，最大限度地減少潛在損失。
所有現代牧業的員工都負有保護公司信息資產的責任，并需遵守本政策及相關規章制度。
我們對與公司合作的第三方（包括供應商）提出明確的信息安全要求，并將其納入公司合同條款，確保其遵守與公司同等的信息安全標準。、

4. 應急響應與事件處置

現代牧業已制定詳細的數據安全應急預案，旨在確保在數據安全事件發生時，能夠迅速、有效地應對，最大程度地減少損失并恢復正常的業務運行。該預案明確了應急響應的流程和步驟，包括事件發現、報告、評估、處置和恢復等各個環節。預案定期更新，并根據實際情況進行調整和優化。

4.1 應急響應團隊：?建立專門的應急響應團隊，負責在數據安全事件發生時進行協調、指揮和處置。團隊成員具備相關的技術能力和專業知識，能夠迅速應對各種安全威脅和攻擊。
4.2 事件評估與處置：?應急響應團隊對報告的安全事件進行快速評估，確定事件的性質、影響和范圍。根據評估結果，采取相應的處置措施，包括隔離受影響的系統、阻止攻擊行為、恢復受損數據等。處置過程中，確保措施的有效性和及時性，防止事件進一步擴大和惡化。
4.3 溝通與協作：在應急響應過程中，應急響應團隊與其他相關部門和人員保持密切的溝通和協作，確保信息的及時傳遞和共享。積極與外部合作伙伴和監管機構保持聯系，共同應對數據安全威脅和挑戰。
4.4 事后總結與改進：?在應急響應結束后，對整個事件進行總結和復盤，分析事件的原因、教訓和改進措施。通過總結經驗教訓，不斷完善應急預案和處置流程，提高數據安全應急響應能力。

5. 信息安全漏洞分析

現代牧業建立了多層次、持續性的漏洞分析機制，旨在系統性地發現、評估和修復信息技術基礎設施和信息安全管理體系中存在的潛在安全弱點。

5.1 漏洞識別與評估方法

我們采用以下主要方法和工具進行信息安全漏洞分析：

自動化漏洞掃描：定期使用專業的漏洞掃描工具對公司所有聯網的系統、網絡設備、Web應用程序進行全面掃描，發現已知漏洞和配置錯誤。這包括網絡/系統漏洞掃描和Web應用漏洞掃描。
0day 漏洞防護：通過APT未知威脅檢測設施及專業安全機構提供的0Day漏洞情報，及時發現和處理0Day漏洞威脅。
人工滲透測試：每年至少一次委托獨立的第三方安全機構對關鍵業務系統和網絡邊界進行模擬真實攻擊的滲透測試，以發現自動化工具難以識別的邏輯漏洞和業務流程漏洞。

5.2 漏洞管理流程

我們建立了完善的漏洞管理流程，確保漏洞從發現到修復的全生命周期得到有效控制：

發現與驗證：通過上述方法發現漏洞后，進行驗證并評估其嚴重性，進行風險優先級排序。
修復與跟蹤：將漏洞分配給相應團隊進行修復，并跟蹤修復進度。
復測與驗證：修復完成后進行復測，確認漏洞已成功關閉。
總結與改進：將經驗教訓納入知識庫，持續改進安全策略和流程。

6. 獨立外部審計

外部審計師每年都會對公司的IT系統基礎設施和/或信息安全管理體系進行一次審計。2024年，公司外部審計師對公司主要IT系統進行了審計，其中包括金蝶財務系統、SAP系統、云養牛系統以及一體化系統等。此次審計參照了香港審計準則（HKSA）的相關原則。

7. 審計結果與改進

審計結束后，將形成詳細的審計報告，內容包括：

審計發現：識別出的不符合項、漏洞或改進機會。
風險評估：對發現的問題進行風險評估。
改進建議：提出具體的、可操作的改進措施和責任部門。

8. 上報流程

現代牧業深知全體員工是信息安全的第一道防線。為確保信息安全事件、漏洞或可疑活動能夠被及時發現并有效處理，我們建立了清晰、便捷的員工上報流程，并鼓勵所有員工積極履行其信息安全責任。

8.1 上報范圍

所有員工，包括正式員工以及與公司有業務往來的第三方人員（如供應商駐場人員，承包商），均有責任和義務上報以下類型的信息：

安全事件：任何可能導致數據泄露、系統中斷、未經授權訪問或數據篡改的事件，例如：收到可疑的釣魚郵件或短信；發現異常的系統行為或性能下降；個人或同事的賬戶出現異常登錄或活動；公司設備（如筆記本電腦、U盤）丟失或被盜；發現未經授權的設備連接到公司網絡。
安全漏洞：任何可能被利用來損害公司信息資產的缺陷或弱點，例如：發現系統或應用程序存在易于利用的漏洞；發現弱密碼、默認密碼或不安全的配置；發現敏感信息在不安全的渠道傳輸或存儲。
可疑活動：任何不確定是否構成安全威脅，但感覺異常或不符合常規的行為，例如：陌生人試圖進入受限區域；發現不明文件或程序；同事或外部人員有異常的信息收集行為。

8.2 上報流程與渠道

一旦發現潛在的安全事件、漏洞或可疑活動，員工應立即采取以下步驟進行上報：

初步隔離（如適用）：在不影響自身安全和不造成更大破壞的前提下，可嘗試初步隔離受影響的設備或網絡連接（例如，斷開網絡線纜，但切勿關機，以免丟失證據）。
立即上報：

報告平臺：通過公司內部指定的IT服務臺（工單系統）進行在線提交。
直接聯系：?如上述渠道均不可用，可直接聯系部門經理或信息安全工程師。

信息技術部：
- 郵箱：lcl@modernfarming.cn
- 電話：18955523626

提供詳細信息：員工在報告時應盡可能提供詳細、準確的信息，包括：事件/漏洞/可疑活動的簡要描述；發生的時間和地點；涉及的系統、設備或人員；已采取的任何初步措施；相關證據（如截圖、錯誤信息、日志片段等）。
配合調查：上報后，員工應積極配合信息安全應急響應團隊的調查工作，提供所需信息，并遵守團隊的指示。

8.3 后續處理與反饋

團隊響應：信息安全應急響應團隊在接到報告后，將立即進行評估、分類和響應。
保密性：所有上報的信息將嚴格保密，僅用于事件調查和處理。
鼓勵與激勵：公司鼓勵員工積極上報安全問題，對于及時發現并報告重大安全隱患的員工，將給予適當的表彰或獎勵。

9. 信息安全意識培訓

現代牧業致力于通過持續、全面的信息安全意識培訓和宣貫，提升全體員工的安全素養，使其成為信息安全的積極參與者和守護者。信息部門負責組織推進公司數據安全培訓和意識宣貫，合規管理部配合開展數據安全的合規宣貫。

9.1 培訓內容與形式

培訓內容涵蓋：公司政策、數據保護、網絡安全基礎、電子郵件安全、移動設備安全、社交工程學防范、事件報告流程及合規性要求等。

培訓對象覆蓋全體員工及第三方人員。培訓形式多樣化，包括：

新員工入職培訓：所有新員工必須完成信息安全基礎培訓。
定期線上/線下培訓：提供在線課程、視頻、專題講座等。
安全宣傳活動：通過海報、內部郵件等持續強化意識。
模擬釣魚郵件測試：定期進行測試，評估員工識別能力。

9.2 職責分工與持續改進

信息部門負責培訓計劃的組織和實施，合規管理部側重合規宣貫。我們通過培訓后的測試和模擬演練結果評估培訓效果，并根據評估結果持續改進培訓內容和形式，確保其有效性和適應性。

10. 違規事件

現代牧業致力于透明化管理。2024年，公司共發生了0起違規事件。

11. 政策審查與更新

本政策將至少每年審查一次，或在發生重大組織結構、技術或法律法規變化時進行審查和更新，以確保其持續的適用性和有效性。