上海照颖科技有限公司 信息安全管理制度

第一章 总则

为保障"全频谱认知服务平台"的稳定运行，保护用户个人信息与公司数据资产安全，依据《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规，结合公司实际业务，特制定本制度。

核心安全原则：合法合规、最小必要、权责分明、纵深防御、隐私与安全并重。

第二章 组织与职责

信息安全负责人

公司任命 高桂兰 为信息安全第一责任人，全面负责公司信息安全工作的规划、建设、监督与改进。

员工职责

• 遵守本制度及所有安全规定。
• 参加公司组织的安全培训。
• 及时报告发现的安全漏洞或事件。

第三章 数据安全分类与保护

数据分类

• 类别A（本地计算数据）：用户在免费诊断工具中完全在浏览器本地处理的原始数据，永不传输至公司服务器。
• 类别B（个人身份与业务数据）：用户注册信息、订单记录、用户主动保存的去标识化分析结果摘要，存储于云端服务器，需重点保护。
• 类别C（公司内部数据）：源代码、设计文档、商业计划、财务数据等。

数据全生命周期保护

• 传输：所有通过公网传输的数据必须使用 TLS 1.2 及以上加密。
• 存储：类别B数据在数据库中加密或脱敏存储，访问需严格授权。
• 销毁：超出保存期限的数据，应进行安全、不可恢复的删除。

第四章 技术安全措施

• 生产环境服务器部署于腾讯云，配置严格的安全组规则，仅开放必要端口（80、443）。
• 服务器操作系统、中间件及依赖库保持定期更新，及时修补安全漏洞。
• 禁止使用弱口令，对关键系统强制使用强密码策略或密钥认证。
• 前端代码对用户输入进行严格校验和过滤，防止 XSS 等攻击。

第五章 安全事件应急响应

信息安全事件包括但不限于：数据泄露、系统遭入侵、服务中断、网站篡改等。

应急响应流程

• 发现与报告：任何员工发现安全事件，须立即报告信息安全负责人。
• 分析与处置：信息安全负责人组织技术团队紧急分析，采取隔离、修复、恢复等措施。
• 报告与通知：如事件涉及用户个人信息泄露，应在法律规定时限内向有关主管部门报告。

第六章 附则

本制度至少每年评审一次，或因法律法规、业务、技术发生重大变化时及时更新。本制度自发布之日起生效，由公司技术部负责解释。