现代牧业信息安全管理政策

1. 目的

为保障公司数据安全，规范公司数据管理，完善公司数据安全管理体系，确保数据的完整性、可用性和保密性，防范数据泄露、篡改和滥用等风险，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》等数据安全法律法规及标准制度，特制定《现代牧业信息安全管理制度》（“本政策”）。

2. 术语和定义

2.1 数据

广义的数据泛指任何以电子或者其他方式对信息的记录。本政策所称的数据是指在公司业务系统、数据产品中产生的数据，包括但不限于公司状况、产品信息、经营数据、研究成果等，适用于数据的采集、传输、使用、存储、共享、归档/销毁全链路的数据安全管理环节。

2.2 数据安全

数据安全是指保护数据免受未经授权的访问、使用、泄露、破坏或篡改的一系列措施和技术，这些措施旨在确保数据的机 密性、完整性和可用性，从而维护数据的合法利用和持续安全状态。

3. 我们的承诺

现代牧业承诺：

• 我们定期评估和更新信息安全管理体系，以适应不断变化的安全威胁和技术发展，确保其有效性和适应性。
• 我们采取一切必要措施，保护公司所有数据免受未经授权的访问、使用、泄露、破坏或篡改，确保数据的准确性、完整性和可用性。
• 我们建立有效的监测机制，及时发现、评估和响应各类信息安全威胁和事件，最大限度地减少潜在损失。
• 所有现代牧业的员工都负有保护公司信息资产的责任，并需遵守本政策及相关规章制度。
• 我们对与公司合作的第三方（包括供应商）提出明确的信息安全要求，并将其纳入公司合同条款，确保其遵守与公司同等的信息安全标准。、

4. 应急响应与事件处置

现代牧业已制定详细的数据安全应急预案，旨在确保在数据安全事件发生时，能够迅速、有效地应对，最大程度地减少损失并恢复正常的业务运行。该预案明确了应急响应的流程和步骤，包括事件发现、报告、评估、处置和恢复等各个环节。预案定期更新，并根据实际情况进行调整和优化。

• 4.1 应急响应团队： 建立专门的应急响应团队，负责在数据安全事件发生时进行协调、指挥和处置。团队成员具备相关的技术能力和专业知识，能够迅速应对各种安全威胁和攻击。
• 4.2 事件评估与处置： 应急响应团队对报告的安全事件进行快速评估，确定事件的性质、影响和范围。根据评估结果，采取相应的处置措施，包括隔离受影响的系统、阻止攻击行为、恢复受损数据等。处置过程中，确保措施的有效性和及时性，防止事件进一步扩大和恶化。
• 4.3 沟通与协作：在应急响应过程中，应急响应团队与其他相关部门和人员保持密切的沟通和协作，确保信息的及时传递和共享。积极与外部合作伙伴和监管机构保持联系，共同应对数据安全威胁和挑战。
• 4.4 事后总结与改进： 在应急响应结束后，对整个事件进行总结和复盘，分析事件的原因、教训和改进措施。通过总结经验教训，不断完善应急预案和处置流程，提高数据安全应急响应能力。

5. 信息安全漏洞分析

现代牧业建立了多层次、持续性的漏洞分析机制，旨在系统性地发现、评估和修复信息技术基础设施和信息安全管理体系中存在的潜在安全弱点。

5.1 漏洞识别与评估方法

我们采用以下主要方法和工具进行信息安全漏洞分析：

• 自动化漏洞扫描：定期使用专业的漏洞扫描工具对公司所有联网的系统、网络设备、Web应用程序进行全面扫描，发现已知漏洞和配置错误。这包括网络/系统漏洞扫描和Web应用漏洞扫描。
• 0day 漏洞防护：通过APT未知威胁检测设施及专业安全机构提供的0Day漏洞情报，及时发现和处理0Day漏洞威胁。
• 人工渗透测试：每年至少一次委托独立的第三方安全机构对关键业务系统和网络边界进行模拟真实攻击的渗透测试，以发现自动化工具难以识别的逻辑漏洞和业务流程漏洞。

5.2 漏洞管理流程

我们建立了完善的漏洞管理流程，确保漏洞从发现到修复的全生命周期得到有效控制：

• 发现与验证：通过上述方法发现漏洞后，进行验证并评估其严重性，进行风险优先级排序。
• 修复与跟踪：将漏洞分配给相应团队进行修复，并跟踪修复进度。
• 复测与验证：修复完成后进行复测，确认漏洞已成功关闭。
• 总结与改进：将经验教训纳入知识库，持续改进安全策略和流程。

6. 独立外部审计

外部审计师每年都会对公司的IT系统基础设施和/或信息安全管理体系进行一次审计。2024年，公司外部审计师对公司主要IT系统进行了审计，其中包括金蝶财务系统、SAP系统、云养牛系统以及一体化系统等。此次审计参照了香港审计准则（HKSA）的相关原则。

7. 审计结果与改进

内部审计结束后，将形成详细的审计报告，内容包括：

• 审计发现：识别出的不符合项、漏洞或改进机会。
• 风险评估：对发现的问题进行风险评估。
• 改进建议：提出具体的、可操作的改进措施和责任部门。

8. 上报流程

现代牧业深知全体员工是信息安全的第一道防线。为确保信息安全事件、漏洞或可疑活动能够被及时发现并有效处理，我们建立了清晰、便捷的员工上报流程，并鼓励所有员工积极履行其信息安全责任。

8.1 上报范围

所有员工，包括正式员工以及与公司有业务往来的第三方人员（如供应商驻场人员，承包商），均有责任和义务上报以下类型的信息：

• 安全事件：任何可能导致数据泄露、系统中断、未经授权访问或数据篡改的事件，例如：收到可疑的钓鱼邮件或短信；发现异常的系统行为或性能下降；个人或同事的账户出现异常登录或活动；公司设备（如笔记本电脑、U盘）丢失或被盗；发现未经授权的设备连接到公司网络。
• 安全漏洞：任何可能被利用来损害公司信息资产的缺陷或弱点，例如：发现系统或应用程序存在易于利用的漏洞；发现弱密码、默认密码或不安全的配置；发现敏感信息在不安全的渠道传输或存储。
• 可疑活动：任何不确定是否构成安全威胁，但感觉异常或不符合常规的行为，例如：陌生人试图进入受限区域；发现不明文件或程序；同事或外部人员有异常的信息收集行为。

8.2 上报流程与渠道

一旦发现潜在的安全事件、漏洞或可疑活动，员工应立即采取以下步骤进行上报：

1. 初步隔离（如适用）：在不影响自身安全和不造成更大破坏的前提下，可尝试初步隔离受影响的设备或网络连接（例如，断开网络线缆，但切勿关机，以免丢失证据）。
2. 立即上报：

• 报告平台： 通过公司内部指定的IT服务台（工单系统）进行在线提交。

• 直接联系： 如上述渠道均不可用，可直接联系部门经理或信息安全工程师。

  信息技术部：

  • 邮箱：lcl@modernfarming.cn
  • 电话：18955523626

3. 提供详细信息：员工在报告时应尽可能提供详细、准确的信息，包括：事件/漏洞/可疑活动的简要描述；发生的时间和地点；涉及的系统、设备或人员；已采取的任何初步措施；相关证据（如截图、错误信息、日志片段等）。
4. 配合调查：上报后，员工应积极配合信息安全应急响应团队的调查工作，提供所需信息，并遵守团队的指示。

8.3 后续处理与反馈

• 团队响应：信息安全应急响应团队在接到报告后，将立即进行评估、分类和响应。
• 保密性：所有上报的信息将严格保密，仅用于事件调查和处理。
• 鼓励与激励：公司鼓励员工积极上报安全问题，对于及时发现并报告重大安全隐患的员工，将给予适当的表彰或奖励。

9. 信息安全意识培训

现代牧业致力于通过持续、全面的信息安全意识培训和宣贯，提升全体员工的安全素养，使其成为信息安全的积极参与者和守护者。信息部门负责组织推进公司数据安全培训和意识宣贯，合规管理部配合开展数据安全的合规宣贯。

9.1 培训内容与形式

培训内容涵盖：公司政策、数据保护、网络安全基础、电子邮件安全、移动设备安全、社交工程学防范、事件报告流程及合规性要求等。

培训对象覆盖全体员工及第三方人员。培训形式多样化，包括：

• 新员工入职培训：所有新员工必须完成信息安全基础培训。
• 定期线上/线下培训：提供在线课程、视频、专题讲座等。
• 安全宣传活动：通过海报、内部邮件等持续强化意识。
• 模拟钓鱼邮件测试：定期进行测试，评估员工识别能力。

9.2 职责分工与持续改进

信息部门负责培训计划的组织和实施，合规管理部侧重合规宣贯。我们通过培训后的测试和模拟演练结果评估培训效果，并根据评估结果持续改进培训内容和形式，确保其有效性和适应性。

10. 违规事件

现代牧业致力于透明化管理。2024年，公司共发生了0起违规事件。

11. 政策审查与更新

本政策将至少每年审查一次，或在发生重大组织结构、技术或法律法规变化时进行审查和更新，以确保其持续的适用性和有效性。