尊敬的合作伙伴：

浙江舜宇智领技术有限公司高度重视信息资产的安全与保护，将信息安全视为业务连续性和稳健发展的基石。为有效管理信息安全风险，保障我司自身、我们的客户以及包括贵司在内的所有合作伙伴的利益，我司已制定并实施了严格的信息安全要求。

一、 告知目的

本告知书旨在：

1.正式告知贵司我司信息安全方针的存在及其核心要求。

2.明确阐述贵司作为我司的业务相关方，在与我司合作过程中，接触、处理或存储我司任何信息资产（包括但不限于：业务数据、客户信息、员工信息、技术资料、商业秘密、系统访问权限等）时，所应承担的信息安全责任和义务。

3.促进合作双方共同构建安全、可靠、值得信赖的业务环境。

二、 信息安全方针

实施风险管理，完善安全措施，保证信息安全，提升顾客信任

诠释：通过系统的识别公司在业务运营，顾客服务过程中所涉及的所有信息资产，进行科学而有效的分类，并确定其风险，采取适当的控制措施，降低风险，确保信息资产的安全，提升顾客信任度，维持业务持续性。

三、 核心信息安全要求

我司信息安全方针的核心原则和要求包括，但不限于：

1.  保密性 (Confidentiality):

Ø  严格保护我司及我司客户、员工的非公开信息免遭未经授权的访问、使用或披露。

Ø  贵司接触到的任何我司保密信息，仅限用于履行双方合同约定之目的。

2.  完整性 (Integrity):

Ø  确保我司信息资产的准确性和完整性，防止未经授权的篡改、破坏或丢失。

Ø  贵司在处理我司信息时，应采取必要措施保障其完整性。

3.  可用性 (Availability):

Ø  确保授权用户在需要时能够可靠地访问所需的信息和系统（在合同约定范围内）。

Ø  贵司提供的服务（如涉及）应满足约定的可用性要求。

4.  合规性 (Compliance):

Ø  遵守适用的信息安全法律法规、行业标准（如《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等）及合同约定。

5.  访问控制 (Access Control):

Ø  严格遵循“最小权限原则”，仅授予贵司及其人员履行合同职责所必需的最小信息访问权限。

Ø  贵司需对其人员访问我司信息资产的行为进行严格管理和监督。

6.  数据分类与处理 (Data Classification & Handling):

Ø  我司信息资产根据敏感性和重要性进行分类（例如：密1、密2、一般）。贵司需按照我司要求或双方约定，对不同类别的信息采取相应的保护措施。

7.  物理与环境安全 (Physical & Environmental Security):

Ø  若贵司在其场所处理或存储我司信息资产，需提供适当的安全防护措施（如门禁、监控、防火防盗等）。

8.  网络安全 (Network Security):

Ø  若贵司需连接我司网络或系统，必须使用安全的连接方式（如VPN），并确保其自身网络的安全性，防止成为攻击我司的跳板。

9.  安全事件报告 (Security Incident Reporting):

Ø  贵司有义务：在发现或怀疑发生涉及我司信息资产或系统的安全事件（如数据泄露、丢失、篡改、未授权访问、网络攻击、感染恶意软件等）时，必须在2小时内通知我司指定的联系人（见下文）。

Ø  配合我司进行事件调查与处置。

10.人员安全 (Personnel Security):

Ø  贵司应确保接触我司信息资产的人员具备相应的安全意识和技能，并已签署保密协议。

Ø  在人员调动或离职时，及时撤销其访问权限。

11.业务连续性 (Business Continuity):

Ø  贵司应具备适当的业务连续性计划，以保障向我司提供的服务在发生中断时能及时恢复。

12.审计与监督 (Audit & Monitoring):

Ø  我司保留在合理通知后，对贵司履行信息安全义务的情况进行检查或审计的权利（方式可能包括问卷、现场检查、第三方审计报告审查等），贵司应予以配合。

四、 联系我们

如您有任何疑问，或需要报告安全事件，请通过以下方式联系我司信息安全负责人：

邮箱：xjma@sunnyoptical.com