EAO信息安全与数据隐私简报(合作伙伴版)。
EAO信息安全与数据隐私简报(合作伙伴版)。
我们高度重视安全——并与您携手共塑安全体系
尊敬的业务合作伙伴:
信任是所有成功合作的基础。因此,EAO AG不仅致力于满足信息安全与数据保护方面的最高标准,更积极践行这些标准。本白皮书旨在帮助您了解适用于EAO各个分支机构的安全标准。
1. 我们的愿景:安全铸就信任基石
在EAO,我们将信息与IT资产视为宝贵的业务资产。对我们而言,保护这些资源并非繁琐的规定要求,而是一种真正融入企业运营的文化。我们希望您在与我们合作时能够感到安心,而这种安心,首先来自于我们对安全标准的公开透明。
2. 我们的管理体系:以体系化方式建立规范
2.1 信息安全管理体系(ISMS)
在EAO所有分支机构,我们均实施基于ISO 27001标准的专业信息安全管理体系。该体系通过技术控制措施、组织流程以及经过专业培训的员工,系统性地保障您的数据和信息安全。
2.2 奥尔巴赫(Auerbach)工厂的TISAX认证
我们位于奥尔巴赫的工厂已通过TISAX认证。TISAX是汽车行业公认的信息安全标准。该认证独立证实我们符合汽车行业对信息安全的高标准要求,并持续对相关要求进行监控和落实。
2.3 数据保护管理体系(DSMS)
在运行信息安全管理体系的同时,我们还建立了完善的数据保护管理体系,以确保个人数据的处理符合《通用数据保护条例》(GDPR)及其他适用的数据保护法律法规要求。
3. 我们的保护目标:核心价值所在
我们遵循明确的保护目标,这些目标同时涵盖信息安全与数据保护要求:
3.1 完整性
确保信息不被未经授权或未被察觉的篡改。
3.2 保密性
确保信息不被未经授权地披露,只有经过授权的人员可访问。
3.3 可用性
确保系统功能持续可用,并保证信息在需要时能够被正常使用。
3.4 真实性
确保信息内容真实可信,且通信各方身份可被验证。
3.5 责任归属
对相关行为和决策的责任归属进行明确界定并记录存档。
3.6 数据保护
个人数据应受到特别保护,并且只能依据法律规定进行处理。
4. 组织架构:职责分明
为落实上述这些高标准要求,我们明确规定了相关角色及其职责:
4.1 首席信息安全官(CISO)
负责EAO集团范围内信息安全的战略规划与监督管理。
4.2 数据保护官(DPO)
您在数据保护相关事务上的联络人——涵盖内部与外部事务。数据保护官(DPO)负责监督数据保护法规的合规性,并为涉及数据保护的项目提供专业建议。
4.3 信息安全代表(ISD)
EAO每个运营地点均设有信息安全代表,作为当地信息安全事务联络人,并负责协调现场安全规范的落实执行。
4.4 信息安全委员会
由首席信息安全官、数据保护官及全体信息安全代表组成的信息安全委员会定期召开会议,共同讨论安全事件、评估审计结果并推动持续改进。
5. 对外部合作伙伴的期望
作为外部合作伙伴,您是我们安全体系的重要组成部分。因此,我们希望您遵守以下原则:
5.1 保密要求
请对所有EAO信息严格保密。信息仅可在完成工作所必需的范围内共享,并应始终遵循"按需知悉(Need-to-Know)"原则,即仅向实际需要该信息履行职责的人员授予访问权限。
5.2 保密协议
作为双方建立信任合作关系的基础,我们请您阅读并签署EAO保密协议。该协议体现了您与我们一样,同样重视信息安全与IT安全要求。
5.3 组织内部共享
信息安全唯有贯穿整个组织方能实现。因此,请您在公司内部积极传达我们的安全要求——特别是向所有接触EAO信息的员工传达。
实践证明,以下措施较为有效:
- 将相关要求纳入内部准则与工作指南;
- 开展培训与安全意识提升活动;
- 运用多元沟通渠道(如内网、入职培训、团队会议等)进行宣导;
- 通过员工反馈或内部审计定期检查实施效果;
- 由管理层以身作则,积极践行安全标准,发挥示范作用。
5.4 数据最小化/数据节约原则
仅收集和处理完成工作任务所必需的数据。如您在执行过程中需要支持,我们建议您寻求专业意见,我们也乐意为此提供协助与联系支持。
5.5 信息技术安全
只有遵循当前公认的先进技术标准,信息保护才能真正有效。我们希望与合作伙伴共同落实并践行这一标准。
5.6 事件报告义务
若您发现任何安全事件或数据泄露事件,请立即通知我们,以便我们迅速响应并尽可能减少损失。
5.7 委托处理
若您代表我们处理个人数据,此类操作须基于符合《通用数据保护条例》第28条的数据处理协议进行,该协议详细规定了所有必要的安全措施及您的义务。
6. 数据保护:DSMS与透明化管理
我们对数据保护相关事项实行集中化管理和文档化记录。
其中,我们根据《通用数据保护条例》第30条要求,将所有数据处理操作记录于专用目录中,并在必要时开展数据保护影响评估。所有活动均被完整记录并定期评估,以持续提升EAO AG的数据保护水平。
7. 安全意识宣传与定期培训
通过定期开展安全宣传活动,并由数据保护官和首席信息安全官发布相关更新,我们持续提升员工对安全议题的关注度,并及时通报当前面临的威胁。
所有EAO员工均应定期参加信息安全与数据保护培训。除常规培训外,我们也特别注重开展每年多次的短期培训课程,培训内容会持续更新,并根据新的威胁形势进行调整。
8. 事件管理:应对突发状况
尽管我们已采取了各项预防措施,但安全事件仍无法被完全杜绝。因此,我们建立了明确的事件处理流程:
8.1 快速响应
任何事件一经发现,均须立即上报IT服务台及负责的信息安全代表,同时立即通知DPO和CISO。
8.2 结构化处理流程
- 通报与初步评估
- 依据既定升级方案进行分类与升级处理
- 控制影响并采取纠正措施
- 记录全过程并开展根本原因分析
- 编制事件报告与经验教训总结
- 在信息安全委员会进行通报和复盘
8.3 报告义务
在发生数据泄露事件时,数据保护官(DPO)和首席信息安全官(CISO)须立即评估是否需要依据GDPR第33条向监管机构报告,或依据GDPR第34条通知相关数据主体。
9. 持续改进:安全是一项持续性的过程
9.1 审计与审查
我们每年开展数据保护与信息安全的内部审计,并接受外部审计(包括TISAX再认证),以确保标准持续更新并得到落实。
9.2 风险管理
我们依据EAO风险政策,对风险进行系统性识别、评估与处置。所有处理操作均需接受风险评估,在高风险情形下,应开展数据保护影响评估。
9.3 变更管理
所有IT系统与流程变更均通过正式IT变更管理流程进行控制、测试及记录。紧急变更须经IT负责人或IT安全系统工程师批准。
9.4 监控与日志记录
我们的系统会持续进行监控以,以便尽早发现异常情况。监控范围涵盖网络IT系统、网络流量及用户活动,同时会充分尊重员工的合法权益。
10. 您的专属联络渠道
如您对我们的安全标准有任何疑问、需要报告事件,或希望行使您的数据保护权利,欢迎随时联系我们。
我们可通过以下方式为您提供支持服务:
首席信息安全官(CISO)
数据保护官(DPO)
11. 结语
在EAO,安全并不是单方面的要求,而是由技术、组织与人员共同作用形成的结果,这其中同样包含作为合作伙伴的您。感谢您对我们的信任,以及对落实高标准安全要求所给予的支持。
携手共进,确保您和我们的数据都能够得到妥善保护。
EAO AG 敬上
生效日期:2026年1月