產(chǎn)品網(wǎng)絡(luò)安全政策

隨著電信網(wǎng)絡(luò)和信息技術(shù)的不斷演進(jìn)與發(fā)展，網(wǎng)絡(luò)安全面臨的威脅和挑戰(zhàn)將日益嚴(yán)重。三思電子工程有限公司（以下簡稱“三思”）充分理解網(wǎng)絡(luò)安全的重要性，同時(shí)我們也理解客戶對(duì)此的擔(dān)憂與高度關(guān)注。三思對(duì)此高度重視，并致力于采取有效措施提升產(chǎn)品的和服務(wù)的安全性。

鑒于上述認(rèn)識(shí)，三思承諾：將從政策、組織、流程、管理、技術(shù)和規(guī)范等方面建立和完善可持續(xù)、可信賴的安全保障體系，并與客戶、合作伙伴以開放和透明的方式，共同應(yīng)對(duì)安全方面的挑戰(zhàn)，滿足客戶的網(wǎng)絡(luò)安全需求。

在組織方面，產(chǎn)品網(wǎng)絡(luò)安全委員會(huì)作為三思的最高產(chǎn)品網(wǎng)絡(luò)安全管理機(jī)構(gòu)，負(fù)責(zé)決策和批準(zhǔn)公司總體網(wǎng)絡(luò)安全戰(zhàn)略。產(chǎn)品網(wǎng)絡(luò)安全官是產(chǎn)品網(wǎng)絡(luò)安全委員會(huì)的重要成員，負(fù)責(zé)領(lǐng)導(dǎo)團(tuán)隊(duì)制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和監(jiān)督研發(fā)、工程交付及技術(shù)服務(wù)等相關(guān)部門的安全組織和業(yè)務(wù)，確保產(chǎn)品網(wǎng)絡(luò)安全保障體系在各體系、全流程的實(shí)施，積極推動(dòng)與客戶、合作伙伴、員工等各利益相關(guān)方的溝通。產(chǎn)品網(wǎng)絡(luò)安全官直接向公司總經(jīng)理匯報(bào)。

在業(yè)務(wù)流程方面，安全保障活動(dòng)融入研發(fā)、工程交付及技術(shù)服務(wù)等各環(huán)節(jié)中，作為質(zhì)量管理體系的基本要求，通過管理制度和技術(shù)規(guī)范來確保其有效實(shí)施。三思通過內(nèi)部審計(jì)來監(jiān)督和改進(jìn)各項(xiàng)業(yè)務(wù)流程。

在人員管理方面，三思全體員工以及合作伙伴都必須嚴(yán)格執(zhí)行公司相關(guān)安全政策，接受安全培訓(xùn)，使安全理念融入整個(gè)組織之中。三思對(duì)違反網(wǎng)絡(luò)安全保障政策的員工給予處罰，違反相關(guān)法律法規(guī)的員工，將依法承擔(dān)法律責(zé)任。

本政策適用于上海三思電子工程有限公司及其關(guān)聯(lián)公司。

三思承諾遵守《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，在本政策與新增法律、法規(guī)發(fā)生沖突的情況下，以法律、法規(guī)為準(zhǔn)。

漏洞報(bào)告政策

產(chǎn)品安全應(yīng)急響應(yīng)是三思產(chǎn)品安全委員會(huì)的關(guān)鍵工作之一。沒有產(chǎn)品是百分之百的安全，三思致力于把風(fēng)險(xiǎn)和漏洞的影響最小化。三思產(chǎn)品安全事件響應(yīng)小組（PSIRT）非常感謝獨(dú)立安全研究人員在如今互聯(lián)網(wǎng)安全領(lǐng)域發(fā)揮的重要作用，我們期望以一種保密的方式接收有關(guān)潛在安全發(fā)現(xiàn)的信息，以便在公開之前對(duì)其進(jìn)行驗(yàn)證和響應(yīng)。

安全研究人員應(yīng)以保密且負(fù)責(zé)的方式，通過發(fā)送電子郵件至以下地址以披露可疑漏洞的完整詳情，以便三思安全團(tuán)隊(duì)可以驗(yàn)證和再現(xiàn)問題：[psirt@sansitech.com]

對(duì)于所有遵守上述政策的安全研究人員，三思安全團(tuán)隊(duì)將竭盡全力：

- 及時(shí)予以響應(yīng)，確認(rèn)接收到您的報(bào)告。
- 以嚴(yán)格保密的方式處理您的報(bào)告，未經(jīng)您同意的情況下，絕不將您的個(gè)人詳細(xì)信息透露給第三方。