ISO/IEC 27001 ISMS 概述
AMT 已建立并通过 ISO/IEC 27001:2022 信息安全管理体系(ISMS)认证,覆盖关键业务范围并每年接受外部复审。
- 认证范围
产品研发 / 平台运维 / 客户支持 / 数据中心运营全链条纳入 ISMS。
- 控制框架
依据 ISO/IEC 27001:2022 附录 A 控制项,结合 ISO 27002 实施指南落地。
- 持续复审
每年由认可机构进行外部监督审核,三年一次再认证。
14 类安全控制
AMT 的安全控制依据 ISO 27002 组织为以下控制域,覆盖策略、人员、技术与运营全维度。
信息安全策略
统一安全方针与管理评审机制。
安全组织
明确安全角色、职责与隔离。
人员安全
入职背调、保密协议与安全意识培训。
资产管理
资产清单与数据分级分类。
访问控制
最小权限、MFA 与定期权限复核。
加密
静态 + 传输全程加密与密钥管理。
物理安全
数据中心门禁、监控与环境控制。
运营安全
变更管理、日志与恶意代码防护。
通讯安全
网络分区与安全传输策略。
系统获取与开发
安全开发生命周期(SDL)与代码审查。
供应商关系
次处理者尽调与合同安全条款。
事件管理
事件分级、响应与复盘流程。
业务连续性
灾备、RTO/RPO 目标与演练。
合规
法律法规、知识产权与隐私合规。
渗透测试与漏洞管理
- 年度第三方渗透测试
每年由独立安全机构对生产环境进行黑盒 + 灰盒渗透测试,重大版本前增量测试。
- 漏洞修复 SLA
高危 24 小时、中危 7 天、低危 30 天内闭环;客户可申请脱敏后的修复说明。
- 持续扫描
依赖组件与镜像持续 SCA / 漏洞扫描,纳入 CI 管道。
- 漏洞披露渠道
通过 security@amt.com.cn 接收外部安全研究者的负责任披露。
客户审计支持
面向强合规客户的 CISO / 采购合规,AMT 提供标准化的审计配合材料。
- ISO 27001 证书副本
客户可申请 ISO/IEC 27001 证书副本与适用性声明(SoA)摘要。
- 安全调查问卷
支持 SIG / CAIQ 等通用安全调查问卷模板的填写与回复。
安全常见问题
AMT 的 ISO 27001 认证范围包含哪些?
覆盖产品研发、平台运维、客户支持与数据中心运营。客户可申请证书副本核验范围。
能否提供安全调查问卷或合规材料?
可以。我们支持 SIG / CAIQ 等通用模板,并可在 NDA 下提供脱敏的安全文档。
数据是否加密?
所有客户数据在静态与传输过程中均加密,密钥集中管理并定期轮换。