武漢天喻軟件有限公司

                                           天喻文字【2023】10號                                           

產(chǎn)品安全政策

    隨著電信網(wǎng)絡和信息技術的不斷演進與發(fā)展，產(chǎn)品安全面臨的威脅和挑戰(zhàn)將日益嚴重。武漢天喻軟件有限公司（以下簡稱“天喻軟件”）充分理解網(wǎng)絡安全的重要性，同時我們也理解客戶對此的擔憂與高度關注。天喻軟件對此高度重視，并致力于采取有效措施提升產(chǎn)品和服務的安全性，從而幫助客戶規(guī)避和減少安全方面的風險，以贏得各利益相關者的信賴。

    網(wǎng)絡安全和隱私保護是天喻軟件的最高綱領，鑒于上述認識，天喻軟件在此承諾：天喻軟件在遵從所有適用的國家和地區(qū)的安全法規(guī)政策、國際網(wǎng)絡安全標準，參考行業(yè)最佳實踐的基礎上，從政策、組織、流程、規(guī)范、技術、合規(guī)、生態(tài)等方面建立并管理完善、高可信、可持續(xù)的安全保障體系，并與有關政府、客戶及行業(yè)伙伴以開放透明的方式，共同應對產(chǎn)品安全方面的挑戰(zhàn)，全面滿足客戶的安全需求。 

• 在組織方面，天喻軟件產(chǎn)品安全組織作為天喻公司的最高網(wǎng)絡安全管理機構(gòu)，負責決策和批準公司總體產(chǎn)品安全戰(zhàn)略。首席安全官是天喻軟件產(chǎn)品安全組織的重要成員，負責領導團隊制定安全戰(zhàn)略，統(tǒng)一規(guī)劃、管理和監(jiān)督研發(fā)、供應鏈、市場與銷售、工程交付及技術服務等相關體系的安全組織和業(yè)務，確保網(wǎng)絡安全保障體系在各體系、各區(qū)域、全流程的實施，積極推動與政府、客戶、合作伙伴、員工等各利益相關方的溝通。首席安全官直接向公司總經(jīng)理匯報。

• 在業(yè)務流程方面，安全保障活動融入研發(fā)、供應鏈、市場與銷售、工程交付及技術服務等各主業(yè)務流程中。安全作為質(zhì)量管理體系的基本要求，通過管理制度和技術規(guī)范來確保其有效實施。天喻軟件通過內(nèi)部審計和接受各國政府安全部門、第三方獨立機構(gòu)的安全認證和審計等來監(jiān)督和改進各項業(yè)務流程。天喻軟件在公司級的業(yè)務流程基礎上，大膽地將安全周期管理（SDL – Security Development Lifecycle）集成于端到端的產(chǎn)品研發(fā)流程，以確保研發(fā)部署的全線安全質(zhì)量。

• 在人員管理方面，天喻軟件嚴格執(zhí)行公司長期以來行之有效的人事和人員管理機制。天喻軟件全體員工以及合作伙伴都必須遵從公司相關安全政策，接受安全培訓，使安全理念融入整個組織之中。天喻軟件對積極執(zhí)行網(wǎng)絡安全保障政策的員工給予獎勵，對違反的員工給予處罰，違反相關法律法規(guī)的員工，還將依法承擔法律責任。

• 在安全技術能力方面，依托自身強大的安全研發(fā)能力，以數(shù)據(jù)保護為核心，開發(fā)并采用世界領先的安全技術，致力于實現(xiàn)高可靠、智能化的安全防護和自動化的安全運維運營體系。同時，通過對現(xiàn)網(wǎng)安全態(tài)勢的大數(shù)據(jù)分析，有目的地識別出天喻軟件產(chǎn)品存在的重要安全風險、威脅和攻擊，并采取防范、削減和解決措施；通過多維、立體、完善的安全防御、監(jiān)控、分析和響應等技術體系支撐產(chǎn)品運維運營安全，實現(xiàn)對安全風險、威脅和攻擊的快速發(fā)現(xiàn)、快速隔離和快速恢復，讓客戶受益于天喻軟件先進技術帶來的便捷、安全與業(yè)務增值。

• 在安全合規(guī)方面，面向目標市場，天喻軟件積極與監(jiān)管機構(gòu)對話，理解他們的擔憂和要求，貢獻天喻軟件的知識和經(jīng)驗，不斷鞏固天喻軟件在技術、服務和安全方面與相關法律法規(guī)的契合度。同時，天喻軟件也將法律法規(guī)的分析結(jié)果共享給客戶，避免信息缺失導致的違規(guī)風險，通過合同明確雙方的安全職責。天喻軟件一方面通過跨行業(yè)、跨區(qū)域的安全認證滿足監(jiān)管機構(gòu)要求，另一方面通過獲得重點行業(yè)、重點區(qū)域所要求的安全認證，建立并鞏固天喻軟件業(yè)務的客戶信賴度，最終在法律法規(guī)制定者、管理者、客戶三者間共建安全的環(huán)境。

• 在產(chǎn)品安全事件應急響應方面，產(chǎn)品安全事件應急響應是天喻軟件產(chǎn)品安全組織的關鍵工作之一。沒有產(chǎn)品是百分之百的安全，為了接受、處理和披露天喻軟件產(chǎn)品相關的安全漏洞，天喻軟件成立了產(chǎn)品安全事件響應團隊（Product Security Incident Response Team，簡稱“PSIRT”），致力于把風險和漏洞的影響最小化。天喻軟件鼓勵安全研究人員、行業(yè)組織、政府機構(gòu)和供應商主動將與天喻軟件產(chǎn)品相關的安全漏洞以保密且負責的方式，通過發(fā)送電子郵件至以下地址以披露可疑漏洞的完整詳情，以便天喻軟件安全團隊可以驗證和再現(xiàn)問題：[psirt@hustcad.com]。

    對于所有遵守上述政策的安全研究人員，天喻軟件PSIRT將竭盡全力：

• • 及時予以響應，確認接收到您的報告。
  • 以嚴格保密的方式處理您的報告，未經(jīng)您同意的情況下，絕不將您的個人詳細信息透露給第三方。

    本政策適用于武漢天喻軟件有限公司及其關聯(lián)公司。

    天喻軟件承諾遵守如下安全法律法規(guī)，在本政策與新增法律、法規(guī)發(fā)生沖突的情況下，以國家法律、法規(guī)為準。

                                       武漢天喻軟件有限公司

                                       二〇二三年三月九日