PDF《阿里巴巴钉钉安全白皮书 V1.1》

5) 借助公司的人才资源及技术沉淀,定期对钉钉内部和外部应用进行漏洞检测与扫描,及时 发现安全漏洞,并在预期时间内完成漏洞修复;

6) 遵循信息安全事件管理标准,依据数据安全性的危害程度定义安全事件类别和响应流程,提 供全天候人工和系统的监控识别、分析和处理信息安全事件的能力;

7) 定期进行攻防演练,评估安全策略可靠性和控制措施的适用性;

8) 定期为钉钉员工提供安全意识培训,包括个人准则、信息保护、数据安全认证和安全开发等 领域;

9) 积极参予安全论坛与会议,吸取业界前沿的安全技术并保持与外部安全专家、白帽子黑客 的交流沟通;

钉钉安全白皮书 V1.1 -

3 - 1.3 安全审计团队 安全审计团队主要对钉钉系统化的监测、控制、处理、独立审查,以验证是否满足信息安全体 系及标准,通过审计以满足合规性要求,如GB/T 22080-2008/ISO/IEC 27001:

2005、《信息系统 安全等级保护基本要求》等. 1.4 物理安全团队 物理安全团队主要根据机房安全相关的国家标准:GB/T2887-2000:《计算机场地通用规范》、 GB 50174-93: 《电子计算机机房设计规范》国家标准;

GB 9361-88: 《计算站场地安全要求》 保障钉钉数据中心基础设施的高安全性. 二. 合规安全 2.1 安全体系 ISO/IEC 27001: ISO27001是世界应用最广泛的信息安全管理标准,而钉钉是目前国内首 家获得ISO27001:2013认证的移动协同办公平台的服务商,通过该认证建立的钉钉信息安全管 理体系(ISMS)覆盖了产品研发、业务运营、安全保障、营销推广等全生命周期,实现钉钉 信息安全管理的每一位 责任人 ,按照明确的 规范 、遵守标准的 流程 并输出有效 的过程 记录表单 ,从而效保障钉钉业务和数据的机密性、完整性和持续可用性. 信息安全等级保护:信息安全等级保护是由公安部监制,由属地公安机关认可并颁发的 国家级信息系统等级认证.在2016 年度,公安部组织多支国家队伍对钉钉信息系统进行等级 测评、风险评估和渗透测试,评估结果在经过多位院士和行业安全专家评审后,确定钉钉信 息系统安全等级为 三级 ,钉钉安全控制措施符合国家要求. 2.2 政策合规 钉钉根据国家信息安全相关法律、法规要求,设置与信息安全监控机构之间的联络员,制定实 施程序,以确保提供的钉钉产品符合国家关于知识产权相关法律和法规要求. 钉钉同所有企业及开发者签署保密协议,并通过定期检查识别、记录、评审保密协议中数据安 全的相关控制要求(如访问控制、防泄露及完整性要求),防止不正当披露、篡改和破坏数据. 钉钉安全白皮书 V1.1 -

4 - 三. 人员安全 3.1 尽职调查 在入职前, 阿里巴巴在国家法律法规允许的情况下,通过一系列背景调查手段来确保入职的员 工符合公司的行为准则、保密规定、商业道德和信息安全政策,背景调查手段涉及刑事、职业履历 和信息安全等方面,背景调查的程度取决于岗位需求. 3.2 安全生产 在入职后,所有的员工必须签署保密协议,确认收到并遵守阿里巴巴集团的安全政策和保密要 求,尤其关于客户信息和数据的机密性要求将在入职培训过程中被重点强调.此外,阿里巴巴依据员 工的工作角色进行额外信息安全培训,确保员工管理的用户数据必须按照安全策略执行.最后,阿里 巴巴通过企业价值观考核的方式检验每位员工是否以诚信、 敬业的态度来管理每位客户的云端数据, 保证其对客户、合作伙伴和竞争对手的尊重;