維護並遵守書面和全面的安全性原則和支持管理框架，並根據該策略制定標準和指南，以保護資料的機密性、完整性和可用性 （CIA），包括鄧白氏資料。安全政策應解決： （a） 通過風險評估針對資訊安全的每個領域（即訪問管理、系統開發和變更管理等）確定的資訊安全風險和控制措施，並應酌情制定和實施補充政策;（b） 反映適用法律的要求;（c） 適用於所有員工；以及（d） 接受年度審查並更新以解決：（i）相關組織變化，（ii）鄧白氏合同要求，（iii） 已確定的資訊資產威脅或風險，以及 （iv） 適用法律的相關變化。

1.2

公司理解並承認，與 鄧白氏資料的機密性、完整性和可用性 （CIA） 相關的風險環境可能會不時變化，並且可能需要修改有效的安全實踐以應對和減輕此類風險，包括執行比當時實施和/或描述的更嚴格的安全實踐。公司同意採取合理步驟，根據鄧白氏誠信原則所確定並提出的要求，修改此類安全措施。

除非適用法律禁止，否則公司應對在雇用或開始聘用時有權訪問鄧白氏資料的員工進行背景驗證調查。公司應對所有個人進行全面的背景調查，包括員工和承包商，他們對存儲鄧白氏資料的系統或物理環境有物理或邏輯存取權限，並確保那些背景調查與所述記錄和雇傭不一致的個人無權訪問鄧白氏資料。

確保在員工入職時和之後每年向公司員工提供安全意識培訓。安全意識培訓課程應包括但不限於與可接受使用、資料分類和社會工程（包括網路釣魚）相關的資訊和最佳實踐。

定期評估組織資訊系統的運行以及鄧白氏資料的相關處理、存儲或傳輸對公司組織運營（包括使命、職能、形象或聲譽）、組織資產和個人造成的風險。

如果公司得知或有理由相信已確認的與鄧白氏資料相關的安全事件已發生，公司應在 48 小時內通知鄧白氏。此類通知應總結合理細節以及盡公司在通知時所知悉的下列情況：（i）事件本身;（ii） 對鄧白氏以及受此類隱私或安全事件影響的個人的影響;以及 （iii）公司已採取或建議採取的糾正措施。如果發生安全事件，公司應與鄧白氏合作，以糾正或減輕任何安全事件引起的任何資訊安全威脅、風險或其他問題。

公司應確保作為其漏洞管理計畫的一部分，定期審查歷史審計日誌，以確定在鄧白氏資料所在的系統中發現的漏洞是否曾被利用過。如果發現此類利用行為，公司同意在確認利用時立即通知鄧白氏，並告知其利用的日期、時間和方法。公司進一步同意，如果在此類利用過程中洩露了鄧白氏資料，公司將在確認後向鄧白氏報告。

公司應防止未經鄧白氏書面同意向第三方披露鄧白氏資料或與鄧白氏資料或其結構相關的資訊（例如：記錄和欄位資訊）。

公司應實施正式記錄的事件管理政策，其中包括：（a） 明確定義的管理和用戶角色和職責;（b）就影響鄧白氏資料安全的事件和事件設立報告機制，包括報告涉嫌未經授權或非法訪問、披露、丟失、更改和銷毀鄧白氏資料的行為;（c） 在合理的時間範圍內實施風險評估和風險管理程式，並與安全事件的性質和造成的傷害或潛在傷害相匹配;（d） 根據適用法律向相關部門通知的程式。

在資訊系統的外部邊界和關鍵內部邊界監控、控制和保護組織通信（即公司資訊系統傳輸或接收的資訊）。

公司將實施並維護技術措施，以防止螢幕抓取或機器人收集鄧白氏資料（例如：CAPTCHA、蜜罐、速率限制）

如果公司要利用分包商來支持提供給鄧白氏的服務，則必須提前通知鄧白氏。通知中將包括公司對這些分包商進行的最新盡職調查評估。

公司同意全力配合鄧白氏對公司提供的服務、安全控制和/或軟體資訊的任何合理要求，並盡商業上合理的努力在鄧白氏設定的任何要求的時間參數內迅速進行合作。公司理解並同意，在監管或法律資訊請求的情況下，此類時間參數可以是緊急/即時的。  

公司同意尋求所有關鍵人員和其他人員的協助，以回應鄧白氏關於鄧白氏和公司之間協議範圍內的服務和/或軟體的任何資訊請求。公司應鄧白氏的要求提供相關檔、報告和證據以供審查。 

經合理通知並在正常工作時間內，鄧白氏有權每年一次（除非有重大安全事件，在這種情況下允許進行第二次審計）檢查和察看公司的安全政策、流程、控制和其他相關證據，以確定是否符合本要求中規定的要求。此類審計的範圍包括但不限於驗證是否遵守所有適用法律，包括與反腐敗、欺詐、賄賂、出口管制和貿易制裁相關的法律。如果不適合在公司所在地進行實地檢查，則可以通過遠端驗證共用政策、書面證據、控制證據、報告、螢幕截圖來證明控制措施的有效性。為避免疑問，此處包含的任何內容均不允許鄧白氏審查與公司的其他合作夥伴有關的機密資料。鄧白氏應自行承擔與本要求中描述的審計相關的成本和費用。公司應根據已確定結果的嚴重性確定補救工作的優先順序，並迅速採取行動解決鄧白氏發現的所有已確定的“關鍵”或“高風險”發現。公司將根據我們共同商定的審計結果補救時間表（不超過 120 天）對發現的結果進行補救。

ISO 27001:2022：公司將使用程式、技術和行政保障措施來實施和維護全面的資訊安全管理系統 （ISMS），旨在保護根據公司當時的國際標準組織 （ISO/IEC） 證書中規定的措施處理或存儲的任何鄧白氏資料的機密性、完整性、可用性 （CIA） 和隱私。在鄧白氏和公司之間協議期限內，公司應始終遵守 ISO 27001：2022 控制要求，並在收到書面請求後 10 個工作日內提供風險評估和處理報告。公司將應鄧白氏的要求向鄧白氏提供公司的適用性聲明 （SOA） 的副本。

Soc 2 Type 2：公司將對其服務使用程式、技術和行政保護措施，旨在保護根據公司當時的服務組織控制 （SOC） 2 Type II 報告中規定的措施存儲的任何鄧白氏資料的機密性、安全性、完整性、可用性和隱私性，該報告的副本應根據鄧白氏的合理書面要求提供給鄧白氏。在鄧白氏和公司之間協議期限內，公司不會大幅降低其 SOC 2 報告（自生效日期起）中規定的整體安全級別，包括但不限於與災難恢復、業務連續性和軟體發展相關的保障措施。此外，公司應實施商業上合理的漏洞管理實踐，以識別、評估和補救潛在的網路安全性漏洞。這應包括評估第三方系統中的漏洞、對應用程式和基礎設施進行掃描和測試，以及整合任何自行或第三方發現的漏洞或控制弱點的結果。從概述的途徑中發現的問題應立即修復。

公司將監控特權訪問的使用情況，並維護安全和事件管理措施，旨在：（1）識別未經授權的訪問和活動，（2）促進及時和適當的響應，以及 （3）啟用內部和獨立的第三方合規性審計。公司將採取旨在防止未經授權訪問、修改以及意外或故意銷毀此類日誌的措施。此類日誌的保存期限不得少於 12 個月。

僅允許需要訪問鄧白氏資料以履行鄧白氏與公司之間協議條款和條件的員工（“需知”原則）訪問（包括遠端存取）鄧白氏資料。存取權限的授予應嚴格遵循最小許可權原則。

對系統的訪問必須基於有效、唯一的用戶身份，以確保可追溯性和問責制。共用帳戶不得用於系統維護或相關活動以外的任何目的。

以不少於每 180 天一次的頻率審查所有有權訪問鄧白氏資料的個人名單，包括管理員/特權存取權限，以及包括系統和資料庫管理員，以確保每個人的存取權限以及此類存取權限的級別和功能仍然是執行履行鄧白氏和公司之間協議條款和條件的行動的要求。 

確保存儲、處理或以其他方式包含鄧白氏資料的IT資產在員工終止勞動關係或崗位調動等行為期間及之後受到保護。

制定並維護職責分離原則，以降低惡意活動的風險。 

公司應實施控制措施來檢測和防止惡意軟體、惡意程式碼和未經授權的代碼執行。公司應定期使用可用的最新技術更新控制措施（例如：部署最新的簽名和定義）。

配置在非活動時間超過 15 分鐘後自動會話超時。 

禁止任何處於非活動狀態的公司使用者帳戶訪問鄧白氏資料，期限不超過30天。 

確保任何個人的身份識別或認證資訊不被用於從多個物理或邏輯位置同時發起連接或會話。 

在任何網路中僅傳輸加密的帳戶身份驗證和授權資訊，並採用技術來確保遠端存取通過雙因素進行身份驗證，例如，使用一次性密碼生成器權杖或生物識別設備。 

收集並保留所有涉及訪問鄧白氏資料的事件的訪問日誌不少於1年。

確保個人資訊系統使用者的行為可以唯一地追溯到這些用戶，以便他們對自己的行為負責。

即時檢測並提醒相關公司員工未經授權的訪問鄧白氏資料的嘗試，並及時調查、記錄和解決問題。

保留所有可能的未授權訪問嘗試的調查和詢問的檔，並應要求及時向鄧白氏提供。 為避免疑義，不能與客戶共用有關公司共用系統的報告，因為這會（i） 違反公司對其他客戶的保密義務，以及 （ii） 對其他客戶構成安全風險。

公司應根據美國國家標準研究院 （NIST） 特別出版物 800-63B：數位身份指南，為所有使用者、服務和分包商實施和維護密碼要求。 公司必須使用複雜的密碼。在 5 次失敗或不成功的登錄嘗試後，必須鎖定使用者帳戶，且時間不少於半小時。如果密碼可能洩露，則必須立即更改密碼。 公司將通過對使用者帳戶進行審計或審查，採用流程將系統中未經授權或不再需要的使用者帳戶的風險降至最低，並在確定使用者不需要後立即撤銷身份驗證許可權。

公司應聘請獨立第三方以不低於每年一次的頻率，對其控制的任何環境進行網路滲透測試，分析所有可能的漏洞。

鄧白氏希望公司執行端到端滲透測試或漏洞測試，並提供一份報告表明其提供的服務中不存在任何安全問題。公司應根據要求向鄧白氏提供一份測試結果的執行報告。測試報告應至少包括： (a) 執行摘要，概述測試情況； (b) 測試範圍和使用的測試方法；(c) 報告嚴重、高和中等等級的漏洞發現數量；(d) 第三方測試人員的姓名；以及 (e) 第三方測試的日期。公司應根據鄧白氏和公司之間協議中商定的漏洞整改時間表，對鄧白氏定義為“嚴重”風險或“高”風險的已識別漏洞進行修復整改。

公司應採用行業標準的增強式加密方法存儲和傳輸密碼。

對於鄧白氏資料所在的系統，建立並維護符合 CIS、NIST、DISA STIG、COBIT 或 PCI 等行業標準的系統強化程式。

在相應的系統開發生命週期中建立和維護公司 IT 資產的基準配置和清單。

公司應維護和使用工具，至少每月掃描一次伺服器、網路設備等，以確認公司的計算資產符合行業標準的系統強化要求。

公司應對其控制下包含鄧白氏資料的任何存儲介質進行標記，標記名稱應為通用名稱，不得向讀取者暗示該介質包含鄧白氏數據。

公司應在下列情況下加密鄧白氏資料： （a） 靜態；（b） 使用增強式加密演算法 AES 256 和 TLS 1.2 或更高版本跨網路傳輸，包括通過不受信任的網路（如公共網路）傳輸；以及（c）寫入可移動媒體設備時。公司應從授權的憑證授權獲取證書，證明傳輸中加密。公司應維護和實施補丁和漏洞管理流程，以識別、報告和修復應用程式或系統漏洞，該流程由應用程式或系統所有者批准，並與風險級別相稱，方法是： （a） 每月以及在任何重大系統或應用程式更新期間執行漏洞掃描;（b）實施供應商補丁或修復程式；以及 （c）制定風險處理機制以解決已識別的漏洞。 

對於鄧白氏資料所在的所有系統，公司應使用信譽良好的解決方案（如Qualys、Nessus等）掃描此類系統，以識別和糾正可能影響鄧白氏資料CIA的安全性漏洞。 此類掃描的頻率不得低於每月一次。在公司系統上發現的 CVSS 評分為“嚴重”的漏洞應在發現後 7 天內進行修復。CVSS 評分為“高”風險的發現應在發現後 30 天內修復。CVSS 評分為“中等”風險結果應在發現後 120 天內修復。  

應在網路和邊界級別實施和維護適當的安全解決方案（包括但不限於防火牆、IPS / IDS、防毒軟體等），以確保即時阻止/檢測惡意流量（入站/出站）或惡意使用者訪問應用程式、資料庫和基礎設施，以確保個人資料的資訊安全不受破壞。

公司應在會話結束時或規定的非活動期後終止與通信會話相關的網路連接。

公司應根據行業最佳實踐（如 OWASP WAF 配置指南）實施和維護 Web 應用程式防火牆 （WAF）。

公司應確保Web應用防火牆（WAF）保持最新的安全補丁和特徵庫。

公司應監控 WAF 是否存在任何可能導致安全事件的惡意活動。

公司應主動監控、限制、禁用和防止使用非必要的程式、功能、端口、協議和服務。

公司應創建、保護和保留資訊系統審計記錄，以監控、分析、調查和報告非法、未經授權或不適當的資訊系統活動，並保護審計資訊和審計工具免受未經授權的訪問、修改和刪除，並限制、監控對特權用戶子集的審計功能管理。

資料不得存儲在行動計算裝置上。如果必須使用行動計算裝置，則必須制定移動設備管理 （MDM） 策略，並為公司提供遠端擦除設備的能力。

公司應實施程式，確保在不再需要用於鄧白氏授權的用途時，或在鄧白氏和公司之間協議到期或終止時，鄧白氏資料被安全銷毀。公司應 （a） 在資產銷毀和處置之前，保護並確認從其系統和伺服器（包括任何物理或電子副本）中刪除 鄧白氏 資料;（b） 提供銷毀該 鄧白氏 資料的證明（如適用）;及 （c）要求任何參與處理鄧白氏資料的第三方在服務不再需要時安全地處理資訊。 

應鄧白氏的要求，公司應將資料返還給鄧白氏，或根據NIST SP 800-88 r.1或DoD 5220.22-M標準規定的程式，證明資料的銷毀。此要求適用於資料使用結束後、鄧白氏合理請求時，或協定其他規定的情況。 

公司應採用控制和程式，通過定期掃描資訊系統以及在下載、打開或執行檔時對來自外部來源的檔進行即時掃描和監控來保持檔完整性。

執行業務連續性風險評估，以確定相關風險、威脅、服務中斷或安全事件的可能性、服務中斷或安全事件的影響，以及保護鄧白氏資料所需的控制和程式。根據風險評估結果，公司應記錄、實施、年度測試和審查業務連續性和災難恢復計畫，以驗證在發生服務中斷或安全事件時及時恢復可用性和對鄧白氏資料訪問的能力。

在服務完全恢復後，公司應在每次災難之後進行根本原因分析，並向鄧白氏提供一份綜合報告，其中至少描述：（i） 災難的原因，（ii） 為減輕後果和解決災難而採取的努力，以及 （iii） 公司為避免未來災難而採取的補救措施。

遵循行業最佳實踐，在鄧白氏和公司共同商定的時間範圍內，定期、加密地將鄧白氏資料的資料庫和存儲庫檔案備份到與主資料中心分開的安全地點。資訊備份程式和媒體應包括：（a） 強大的加密技術；（b）完整性驗證；（c）與災難恢復要求進行協調；以及（d）支持可用性要求的安全場外存儲。公司應使用最新的可用備份來恢復任何損壞的檔。鄧白氏可能會訪問備份記錄以查看與鄧白氏資料相關的任何系統活動記錄，而無需事先通知公司。

公司應每年向鄧白氏提供審查業務連續性管理計畫（包括業務連續性計畫）的機會，並應糾正任何發現。此類審查和評估可能包括參與鄧白氏的：（a）公司測試和評估過程，包括完成線上和/或現場評估（視情況而定），以及 （b）共同商定的範圍和頻率的恢復測試。

根據鄧白氏的書面要求提供公司的業務連續性和災難恢復計畫 （BC/DR） 的副本，證明符合本要求中的業務連續性和災難恢復要求。

如果公司未能在規定的時間內重新開始提供服務，鄧白氏除了鄧白氏和公司之間協議項下的任何其他權利外，還有權退還受影響服務的任何預付金額，並在此類服務不可用時按比例分配。

除非適用法律禁止，否則公司應通過實施行業標準的物理存取控制，如刷卡技術、監控閉路電視、遠端監控警報系統、現場保安、照片訪問憑證、訪客護送、物理訪問日誌和授權訪問清單，將其授權員工對存儲或處理鄧白氏數據的設施的物理訪問進行限制。

為了限制對鄧白氏資料的未經授權的訪問，公司應：（a）實施控制以保護位於場外的設備、資訊和資產，包括在遠端存取會話期間，例如遠端工作或遠端系統管理;（b）發佈、實施和執行管理遠端辦公、移動設備和可移動媒體設備的政策;（c） 對包含鄧白氏資料的系統或應用程式的遠端存取通信進行加密;（d）要求最低限度的多重身份驗證、虛擬私人網路絡 （VPN） 設備訪問或同等功能;以及 （e）需要限制端口和協議。

公司的政策應禁止員工在任何個人擁有和管理的設備上訪問或存儲鄧白氏資料。公司應禁止使用個人 USB 或其他卸除式存放裝置設備，並禁止控制和加密可移動媒體設備（如 USB 驅動器、記憶棒和藍牙存放裝置）上的資料。 

實施並執行政策和程式，以保護所有訪問、處理、存儲或以其他方式處理此類資料的設施（包括遠端辦公網站）。

存儲、處理或以其他方式處理鄧白氏資料的系統必須在上鎖的房間和設施內進行保護，並且只有那些需要此類物理訪問以執行其工作職能的個人才能訪問。

在未經授權的人員和系統之間創建適當數量的物理安全層，鄧白氏資料在這些系統上存儲、處理或以其他方式處理。 在大多數情況下，適當數量的物理安全層為三個（例如，保安或旋轉門、上鎖的伺服器機房和上鎖的伺服器機櫃）。 

應維護物理訪問日誌，以捕獲訪問特定區域的日期、時間和個人。

至少保留上述一個，以便進行監控、跟蹤和審查（例如，對即時閉路電視監控錄影進行 24x7x365 監控）。

將監控錄影和安全監控日誌保留至少一年。 

制定在訪問期間管理公司訪客的程式（即在公司場所周圍提供員工護送）。

公司應實施和監控適當的環境安全控制措施（即火災探測和滅火系統）。

未經鄧白氏事先通知，不得將包含鄧白氏資料的媒體或設備移出公司場所。此類媒體和/或設備應得到適當保護，並應維護監管鏈以確保問責制。

公司應在與處理鄧白氏資料的第三方的協議中包括與鄧白氏和公司之間協議中的規定類似的資訊安全、保密和資料保護要求。公司和這些第三方應定期接受審查，以確保 （a） 驗證這些要求，以及 （b） 第三方的資訊安全和資料保護要求，以驗證這些要求對第三方處理 鄧白氏 資料所代表的風險的適當性。

適用于公司的所有安全要求也適用於公司的分包商。公司必須對其供應鏈或第三方執行強制性的安全控制、標準和規定。 公司應持續對供應鏈進行盡職調查。發現的任何風險或合規問題應在發現後72小時內通知鄧白氏。

必須進行審計（至少每年一次或根據公司的審計時間表，以較早者為准），以驗證並確保在合作夥伴/子公司/分包商端實施與資訊安全相關的適用控制措施，以確保降低風險。 

公司應僅在執行其與鄧白氏協議項下義務必要時向第三方提供鄧白氏資料的存取權限。在這些情況下，公司應 （a） 向 鄧白氏 提供具有 鄧白氏 資料特權存取權限的第三方名單;（b） 限制第三方僅根據第三方與公司之間簽訂的協議履行服務所必需的訪問鄧白氏資料;及 （c） 在系統日誌中記錄第三方對鄧白氏資料的訪問，但須遵守公司對日誌記錄和監控的控制。除非適用的協議或 SOW 另有規定，否則公司應限制第三方訪問 鄧白氏 資料。

如果適用，在鄧白氏設施中工作的公司員工應遵守（i）提供給公司的所有鄧白氏物理安全要求，以及（ii）適用的工作說明書中規定的鄧白氏邏輯安全要求。

對公司簽訂合同以開發、管理、維護有權訪問鄧白氏資料的系統的個人執行並記錄背景調查結果。

確保組織員工接受充分培訓，以履行其分配的資訊安全相關職責和責任。

確保公司資訊系統的開發人員、經理、系統管理員和使用者瞭解與其活動相關的安全風險，以及與組織資訊系統安全相關的適用策略、標準和程式。

如果公司為鄧白氏提供應用程式或軟體發展、軟體增強或定制、資料庫管理、系統管理或編碼服務，公司的員工應被要求：（i）遵守鄧白氏要求的安全編碼實踐，以及（ii）擁有適當的特定主題、特定合作夥伴或特定服務的行業認證。 適用的 SOW 中應列出所需的特定安全編碼實踐和行業認證。 

公司應定義、記錄、實施和維護安全原則和要求，以減輕與第三方供應商及其獲取處理或託管資產或提供鄧白氏資料所在的網路和IT基礎設施相關的風險。

公司應在與分包商的協議中納入不低於本要求中的安全要求。

公司應在與有權訪問鄧白氏資料的分包商簽訂的協議中包括立即通知安全事件的義務。

對於所有處理、訪問或以其他方式接觸鄧白氏資料的分包商，公司應定期且至少每年監控和審查其分包商的安全義務是否符合這些要求。

確保公司開發並提供給鄧白氏的代碼沒有已知的缺陷。這意味著由公司開發人員開發並由公司提供給鄧白氏的代碼不應直接或間接引入任何已知的漏洞，並且這些代碼不應對應用程式/專案的整體安全性產生負面影響。

公司應確保輸入到 AI 系統的資料的完整性，並檢測資料中毒或對抗性攻擊。

公司應為與 AI 系統交互的所有人員實施基於角色的存取控制 （RBAC）。

公司應使用強大的行業標準加密演算法和模型完整性檢查來保護 AI 模型免遭篡改、模型反轉或盜竊。

公司應進行對抗性測試，以評估模型抵抗惡意操縱嘗試時的抗風險能力。

公司應確保其必須遵守適當的程式、流程和政策，以確保其 AI 模型決策過程的可解釋性和文檔性，以用於審計目的。

公司必須持續監控 AI 系統和環境是否存在異常行為、偏見或安全事件。

公司必須維護針對于 AI 的安全事件回應計畫，並在發生AI安全事件時立即通知相關方。

公司必須進行正式的偏差審計，尤其是在高風險的應用中，並有明確的報告和補救步驟。

公司必須將特定於 AI 的威脅情報源集成到其安全監控流程中，以檢測新出現的風險。

公司必須在涉及鄧白氏資料或個人資料的高風險AI決策中，實施人工干預機制。

公司必須提供故障安全控制，以便在發生嚴重故障時停用或覆蓋 AI 系統。

公司必須確保 AI 決策過程對技術和非技術利益相關者都可解釋。

公司必須使用工具以易於理解的格式將 AI 輸出傳達給外部利益相關者。

公司必須在安全、受監控和隔離的環境中部署 AI 模型，以防止未經授權的訪問。

公司必須對 AI 模型更新實施嚴格的版本控制和回滾功能，並確保不存在可能對預期輸出產生不利影響的缺陷。