用友ESG

隐私与数据安全政策

用友数据安全与隐私保护主要政策制度及覆盖范围：

主要政策制度
《用友集团数据管理制度》《用友集团个人信息保护管理规范》《用友集团运维安全管理规范》《用友集团互联网出口安全管理办法》
覆盖范围
集团本部所有境内组织
数据安全
制定《产品安全与应急响应规范》，建立产品安全与与应急响应团队，明确漏洞收集、评估、修复、披露等数据保护措施的规范要求，并纳入产品全生命周期的管理。
2022年4月正式发布

制定《YonBIP 网络与信息安全应急预案》，建立应急组织架构，按照安全事件分类，拟定网络中断、黑客攻击、大规模病毒（含恶意软件）攻击、数据库系统故障、设备硬件故障的处理流程。每年至少举办一次应急计划培训，至少开展一次应急行动演练。

制定《互联网出口安全管理办法》，明确网络区域和互联网出口管理部门的职责划分，明确开通互联网出口的流程与要求，遵循非必要不开放原则，严控网络安全出口管理中违规相关违规行为。
2022年4月正式发布

制定《集团内容安全管理规范》，在集团内部大力开展内容安全治理，所有涉及用户注册、内容发布的系统都强制接入内容安全审核平台，同时各业务部门配套审核人员进行人工核验，确保集团业务合规运营。
2022年9月正式发布

制定《账号、密码安全管理办法》，对账号进行分类管理，规范各类账号的密码设置要求。
2022年7月正式发布

制定《数据安全管理制度（试行）》，落实《数据安全法》，明确数据归属权、数据分级分类以及数据生命周期管理的各项要求。
2022年8月修订发布

制定《移动应用安全管理规范》，规范移动 APP 上线的安全管控要求及流程。
2022年10月正式发布
隐私保护
制定《用友集团个人信息保护管理规范》，对个人信息的收集、传输和存储、使用等作出明确规定与承诺，进一步明确个人信息主体对其信息的删除权、查询和变更权、复制和转移权、个人信息授权撤回权，确保集团在个人信息与数据处理上的合规合法，防止个人信息泄露或非法使用，切实保障客户利益。
2022年8月正式发布

数据控制权限：

相关政策
《用友集团数据管理制度》
内容节选
“第601条数据运营管理者要严格规范数据使用，建立数据使用申请与审批流程。数据使用者在申请使用数据时，需要在申请单中对使用原因和使用期限进行详细说明。数据运营管理者应根据其必要性和合理性进行审批。”
公司为客户提供了个人信息删除渠道，同时如果个人信息主体发现公司违反法律法规规定、违反与个人信息主体的约定及认为公司不再有必要持有个人信息主体的的个人数据时，公司会根据要求删除个人数据。
在满足国家法律法规、行政法规及行业主管部门有关规定的、前提下，公司设置的个人信息存储期限为实现处理目的所必要的最短时间。

数据泄露/事故的应对：

相关政策
《用友集团数据管理制度》《用友集团个人信息安全管理规范》
内容节选
《用友集团数据管理制度》“第704条数据运营管理者应建立数据安全事件的应急响应机制，制定数据安全应急预案，并每年进行一次应急演练工作。”《用友集团个人信息安全管理规范》”第602条 3、如个人信息安全事件已造成危害，应及时将事件相关情况以邮件、电话、推送通知等方式告知受影响的个人信息主体，难以逐一告知个人信息主体时，应采取合理、有效的方式发布有关的警示信息；如发生超过10万人个人信息或者关系民生、公共利益的敏感个人信息泄露、损坏、丢失的安全事件，应及时通过集团网络安全部门将有关情况上报监管机构。”

对信息安全系统的审计：

相关政策
《用友集团数据管理制度》《用友集团运维安全管理规范》《用友集团互联网出口安全管理办法》
内容节选
《用友集团数据管理制度》：数据安全监管者需要对本级组织定期开展数据安全监督检查，形成检查报告提交公司的相关监管部门以供审计。
《用友集团运维安全管理规范》：各运维部门在日常运维过程中，需要保留各类审批和执行记录，公司的相关监管部门会定期审计各项办法和细则的执行情况。
《用友集团互联网出口安全管理办法》：公司的相关监管部门会定期审计开通互联网出口的系统，并形成审计报告。

第三方处理个人数据：

相关政策
《用友集团个人信息保护管理规范》
内容节选
“第501条：1、如涉及个人信息委托处理，应通过合作协议、合同条款等书面方式明确规定被委托方的责任与义务。”“第504条：1. 如与其他第三方共同处理个人信息，应当通过合同等形式与第三方共同确定应满足的个人信息安全要求，以及在个人信息安全方面自身和第三方的权利及应分别承担的义务，并向个人信息主体明确告知。”

最小化个人信息收集：

相关政策
《用友个人信息保护管理规范》
内容节选
“第202条：1、收集个人信息的类型应当与实现产品或服务的业务功能有直接关联。直接关联是指没有该等信息的参与，产品或服务的功能无法实现。不得超范围收集个人信息。2、收集个人信息的方式应采取对个人权益影响最小的方式。”
拓展阅读链接：《友空间最小用户权限实例》（跳转PDF）

合作伙伴的合规管理：

相关政策
《用友个人信息保护管理规范》
内容节选
“第501条：2、如需委托第三方机构处理公司收集的个人信息时，委托行为不应超出已征得个人信息主体授权同意的范围，相关业务部门应与集团网络安全部共同对被委托方进行评估，确保其具备足够个人信息保护水平。包括不限于：安全资质、个人信息保护规范/数据安全规范制度、能力及实践等。”

国际权威认证

ISO 27001
ISO/IEC 27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保障组织信息安全管理体系的持续运行。
ISO 27017
ISO/IEC 27017是针对云计算信息安全的国际认证。ISO/IEC 27017的通过，表明云服务提供商在信息安全管理能力达到了国际公认的优秀实践。
ISO 27018
ISO/IEC 27018是专注于云中个人数据保护的国际行为准则。ISO/IEC 27018的通过，表明云服务提供商已拥有完备的个人数据保护管理系统。
ISO 27701
ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系，为保护个人隐私提供指导，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。
ISO 9001
ISO 9001是ISO 9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。
ISO 20000
ISO/IEC 20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务提供商可提供有效的IT服务来满足您的需求。
ISO 45001
ISO 45001是针对职业建康安全管理体系的国际认证标准。该标准以风险控制为核心，通过建立包含组织结构、职责、培训、信息沟通、应急准备与响应等要素的管理体系，持续改进职业健康安全绩效。
ISO 14001
ISO 14001是目前国际上被广泛接受和认可的环境管理体系认证标准。ISO 14001的通过，证明该组织在环境管理方面达到了国际水平，能够确保对企业各过程、产品及活动中的各类污染物控制达到相关要求。
CSA STAR
CSA STAR认证是由英国标准协会(BSI)和云安全联盟(CSA)联合推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题。CSA STAR以ISO/IEC 27001认证为基础，结合云端安全控制矩阵CCM的要求，运用BSI提供的成熟度模型和评估方法，综合评估组织云端安全管理和技术能力。
CMMI5
CMMI软件能力成熟度集成模型评估认证体系覆盖产品概念、计划、研发、验证、生产制造全生命周期流程，是衡量企业研发能力和项目管理能力的国际标准，其中，CMMI5为该体系对企业研发管理标准化、规范化、成熟度的最高级资质认证。

ISO 27001

ISO/IEC 27001是目前国际上被广泛接受和应用的信息安全管理体系认证标准。该标准以风险管理为核心，通过定期评估风险和对应的控制措施来有效保障组织信息安全管理体系的持续运行。

ISO 27017

ISO/IEC 27017是针对云计算信息安全的国际认证。ISO/IEC 27017的通过，表明云服务提供商在信息安全管理能力达到了国际公认的优秀实践。

ISO 27018

ISO/IEC 27018是专注于云中个人数据保护的国际行为准则。ISO/IEC 27018的通过，表明云服务提供商已拥有完备的个人数据保护管理系统。

ISO 27701

ISO/IEC 27701是对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制的隐私扩展。它是一项国际管理系统标准体系，为保护个人隐私提供指导，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。

ISO 9001

ISO 9001是ISO 9000族标准所包括的一组质量管理体系核心标准之一，用于证实组织具有提供满足顾客要求和适用法规要求的产品的能力。

ISO 20000

ISO/IEC 20000是针对信息技术服务管理领域的国际标准，提供设计、建立、实施、运行、监控、评审、维护和改进服务管理体系的模型以保证服务提供商可提供有效的IT服务来满足您的需求。

ISO 45001

ISO 45001是针对职业建康安全管理体系的国际认证标准。该标准以风险控制为核心，通过建立包含组织结构、职责、培训、信息沟通、应急准备与响应等要素的管理体系，持续改进职业健康安全绩效。

ISO 14001

ISO 14001是目前国际上被广泛接受和认可的环境管理体系认证标准。ISO 14001的通过，证明该组织在环境管理方面达到了国际水平，能够确保对企业各过程、产品及活动中的各类污染物控制达到相关要求。

CSA STAR

CSA STAR认证是由英国标准协会(BSI)和云安全联盟(CSA)联合推出的国际范围内的针对云安全水平的权威认证，旨在应对与云安全相关的特定问题。CSA STAR以ISO/IEC 27001认证为基础，结合云端安全控制矩阵CCM的要求，运用BSI提供的成熟度模型和评估方法，综合评估组织云端安全管理和技术能力。

CMMI5

CMMI软件能力成熟度集成模型评估认证体系覆盖产品概念、计划、研发、验证、生产制造全生命周期流程，是衡量企业研发能力和项目管理能力的国际标准，其中，CMMI5为该体系对企业研发管理标准化、规范化、成熟度的最高级资质认证。

国内权威认证

网络安全等级保护（三级）
网络安全等级保护是对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。
可信云服务认证
可信云服务评估是由数据中心联盟（DCA）组织、中国信息通信研究院（工信部电信研究院）测评的面向云计算服务和产品的权威评估体系。可信云服务评估的核心目标是建立云服务商的评估体系，为您选择安全、可信的云服务商提供支撑，促进我国云计算市场健康、创新发展，提升服务质量和诚信水平，逐步建立云计算产业的信任体系，被业界广泛接受和信任。
EAL3+
EAL3+级认证是中国信息安全测评中心基于国家标准《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2008)对各类信息技术产品进行的安全测评认证。其根据安全保证的等级进行分级评估，通过对信息安全产品的生命周期，包括从技术、研发、管理、交付等多个部分进行全面的安全性评估和测试、验证产品的保密性、完整性和可用性程度的一项专业测评。
云服务（SAAS云）标准符合性证书+
该评估以《信息技术云计算云服务运营通用要求》等相关国家标准为依据，是云服务/云计算领域目前国内首个分级评估，从人员、流程、技术、资源和性能等五方面进行全方位的服务能力测评，从而确定参评企业所达到的能力等级。
运行维护标准符合性证书（一级）
该评估以《信息技术服务运行维护服务能力成熟度模型》等相关国家标准为依据，从运维服务能力管理、人员、资源、技术过程、应急、交付、质量等方面进行全方位的运行维护服务能力成熟度评估，从而确定参评企业所达到的能力等级。
企业信用等级证书（AAA）
企业信用等级证书（AAA级）是中国软件行业协会颁发的企业信用最高等级证书，主要考察企业的综合素质、企业竞争力、经营状况、管理能力、财务状况、行业特性因素、信用记录、供应商和客户状况等多个方面，体现企业的综合竞争力、抗风险能力、资信状况、软实力和信誉度。
系统集成企业能力标准符合性证书（壹级）
系统集成企业能力标准符合性证书是由国家标准化管理委员会等政府部门以及中国系统集成行业协会等行业组织发布的，以全面规范系统集成服务产品及其组成要素，指导实施标准化和可信赖系统集成服务的一系列标准，体现系统集成企业的服务能力和服务质量。

网络安全等级保护（三级）

网络安全等级保护是对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。

可信云服务认证

可信云服务评估是由数据中心联盟（DCA）组织、中国信息通信研究院（工信部电信研究院）测评的面向云计算服务和产品的权威评估体系。可信云服务评估的核心目标是建立云服务商的评估体系，为您选择安全、可信的云服务商提供支撑，促进我国云计算市场健康、创新发展，提升服务质量和诚信水平，逐步建立云计算产业的信任体系，被业界广泛接受和信任。

EAL3+

EAL3+级认证是中国信息安全测评中心基于国家标准《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2008)对各类信息技术产品进行的安全测评认证。其根据安全保证的等级进行分级评估，通过对信息安全产品的生命周期，包括从技术、研发、管理、交付等多个部分进行全面的安全性评估和测试、验证产品的保密性、完整性和可用性程度的一项专业测评。

云服务（SAAS云）标准符合性证书+

该评估以《信息技术云计算云服务运营通用要求》等相关国家标准为依据，是云服务/云计算领域目前国内首个分级评估，从人员、流程、技术、资源和性能等五方面进行全方位的服务能力测评，从而确定参评企业所达到的能力等级。

运行维护标准符合性证书（一级）

该评估以《信息技术服务运行维护服务能力成熟度模型》等相关国家标准为依据，从运维服务能力管理、人员、资源、技术过程、应急、交付、质量等方面进行全方位的运行维护服务能力成熟度评估，从而确定参评企业所达到的能力等级。

企业信用等级证书（AAA）

企业信用等级证书（AAA级）是中国软件行业协会颁发的企业信用最高等级证书，主要考察企业的综合素质、企业竞争力、经营状况、管理能力、财务状况、行业特性因素、信用记录、供应商和客户状况等多个方面，体现企业的综合竞争力、抗风险能力、资信状况、软实力和信誉度。

系统集成企业能力标准符合性证书（壹级）

系统集成企业能力标准符合性证书是由国家标准化管理委员会等政府部门以及中国系统集成行业协会等行业组织发布的，以全面规范系统集成服务产品及其组成要素，指导实施标准化和可信赖系统集成服务的一系列标准，体现系统集成企业的服务能力和服务质量。

您可能关心的安全合规与隐私保护问题

用友云提供的基础设施足够安全吗？
用友云将基础设施安全作为云安全中心的核心组成部分，合作的基础设施服务商具备国际一流、非常完善的安全及隐私保护体系，均已获得国内外权威资质认证（如等级保护、ISO27001、ISO27018等）。
用友云如何保障云上我的数据的安全性？
用友云高度重视您的数据资产，把数据保护作为用友云安全策略的核心。但是，值得强调的是，对于您使用云服务产生的内容数据，用友云只是其托管者，您对其拥有所有权和控制权。未经授权，用友云除执行您的服务要求外不会访问、使用或移动客户数据。您需要负责各项具体的数据安全配置，对其保密性、完整性、可用性以及数据访问的身份验证和鉴权进行有效保障。
用友云是否将我的数据转移到其它地区或国家？
在没有获得您的明确同意或者存在其他法律义务要求的情况下，用友云不会将您的数据转移到其他国家/区域。您若有将数据进行跨境转移的需求且需用友云协助时，可联系用友云，用友云将在与您协商一致后配合您进行数据转移。