文档中心
安全合规
ZEGO 安全合规白皮书

ZEGO 安全合规白皮书

更新时间：2024-05-23 14:59

1 导读

2015 年 6 月，深圳市即构科技有限公司（以下简称 “ZEGO”）作为一家全球云通讯服务商正式成立，企业/开发者可通过接入 ZEGO 提供的服务低门槛地获得实时音视频通讯能力，尤其在弱网环境下仍然可以实现高质音画、稳定可靠。

公司自成立伊始，就专注自研音视频引擎，在音频前处理、网络自适应和跨平台兼容性等方面，达到国际一流水平，同时充分利用基础云服务商的能力，构建了 MSDN 海量有序自学习数据网络，服务覆盖全球，涵盖上百个音视频互动业务场景，单日时长突破 30 亿分钟。

为帮助开发者及客户更好的了解 ZEGO 对安全与隐私的保障能力，特编写《ZEGO 安全合规白皮书》（以下简称“白皮书”），介绍产品和服务的安全及合规能力。

本白皮书适用于使用 ZEGO 服务的不同类型和规模的企业客户及个人客户（后文统称为“您”），您可从此份白皮书中了解 ZEGO 的信息安全与隐私保护框架及具体安全措施。

2 责任共担模型

云通讯是通过云计算商业服务模式，将多种通信方式（如：在线语音、视频图像、电子邮件、文字聊天等）进行融合的通信平台服务，以减少甚至消除通信滞后的可能性。面对快速发展的趋势，云通讯的安全性及合规性也受到了巨大挑战。ZEGO 作为一家全球云通讯服务商，致力于为客户提供了一个环境灵活、即时、可扩展，且安全、易于使用的托管环境。

我们将在后面章节介绍 ZEGO 作为云通讯服务提供方，如何与客户共同保障云通讯的安全性和合规性。我们绘制了安全责任共担模型，明确在云通讯服务中ZEGO与客户各自所需承担的安全责任，并展示ZEGO所具备的安全保障能力与合规性，具体如下图所示：

ZEGO 作为云通讯服务提供方，负责云通讯本身的安全；客户作为服务使用者，需要对自身收集的数据、应用平台和基础设施负责，并结合自身业务特性，对 ZEGO 服务进行合理配置和安全控制，保障自身数据、应用程序、平台、系统和网络的安全。

3 安全组织与人员

3.1 安全组织

ZEGO 充分认识到在大数据时代，信息的多元化存储将为企业带来新的挑战。为保障 ZEGO 自身的安全、开发者和用户的数据安全，ZEGO设置了专门的信息安全与隐私保护管理组织和岗位，并明确信息安全与隐私保护专门组织及相关岗位人员的职责与权限，以确保ZEGO信息安全与隐私保护体系的适宜性、充分性和有效性。同时，ZEGO任命了全球数据保护官（DPO），统筹并负责ZEGO全球数据安全、隐私保护及合规等相关工作。

3.2 人员管理

ZEGO 在员工任用前、任用中及任用终止的不同阶段采取了以下具体的安全管控措施，从而树立全员的信息安全意识，明确传达内部信息管控要求，达到规范人员管理方面的信息安全与隐私保护工作，以加强内部的有序管理，降低人员对业务连续性及安全性带来的潜在风险：

任用前：ZEGO 委托第三方独立专业机构对拟录用的人员依据岗位特性对教育学历、过往工作经历、在职表现等进行真实性确认和背景调查，对其经历背景确认无误后才可办理录用手续。
任用中：员工入职时，ZEGO 与员工签订劳动合同之外，还需签订保密协议、知识产权协议等，相关保密及知识产权要求有效时间会延续至离职后。员工在职期间需遵守 ZEGO 各项安全及隐私保护管理要求，不得在未经授权的情况下泄露公司机密信息及客户个人信息，并定期参与 ZEGO 员工信息安全与隐私意识培训。
任用终止：在员工提交离职后，需按照 ZEGO 定义的员工离职流程执行，确保逻辑和物理访问权限及相关 IT 资产的及时回收，消减人员变动对组织安全性带来的风险。

3.3 安全意识培训及宣导

ZEGO 从新人入职培训、在岗安全培训以及宣传活动等多个维度进行安全意识培训及宣导，以提高员工信息安全与隐私保护意识，降低网络安全违规风险和影响，保障组织业务正常开展：

新人入职培训：员工入职时，统一进行线下安全和隐私保护培训，且员工需在试用期完成对应的线上培训及考核。
在岗安全培训：ZEGO 针对负责不同业务模块的员工，进行不同频次的、针对性的安全培训，主要围绕网络安全意识、客户数据及隐私保护要求等进行网络安全学习和在线考试，并根据业务特性定期更新课程内容和考试大纲。
专题宣传活动：ZEGO 定期开展面向全体员工的信息安全和隐私保护宣传活动，包括但不限于典型案例宣传、网络安全与隐私保护相关法律法规的学习等。

3.4 安全违规问责+安全奖励

ZEGO 建立内部信息安全问责机制，对违反信息安全方针、标准的行为，根据违反规定的程度、性质和造成后果的严重程度进行问责，对于违反国家法律的责任者，将依法追究其法律责任。

同时，ZEGO 在内部也建立奖励机制，鼓励员工主动反馈所发现的安全风险或系统漏洞，根据反馈问题的程度、性质和可避免或减少的损失等维度进行评估，给予当事人适当的奖励，以此减少 ZEGO 内部及产品的安全风险和漏洞，提高 ZEGO 产品的安全性，并形成良好的内部安全文化。

3.5 第三方安全管理

为加强对供应商/服务提供商（后文统称为“第三方”）的管理，ZEGO 在第三方评估及准入、第三方尽职调查、服务安全管理、服务监控与评价和服务终止维度制定了安全控制措施，减少安全风险，防范公司信息资产损失，保障客户数据与隐私安全。

第三方评估及准入：在第三方服务引入前，ZEGO 会根据服务内容、范围、性质对其进行风险识别和评估，制定对应的风险处置措施，不因第三方活动的引入而增加整体安全剩余风险。
第三方尽职调查：针对重要的第三方，ZEGO 在与其签订合同前会深入开展尽职调查，包括但不限于：服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价、持续经营情况等。
服务合同及要求：与第三方签订服务合同时，会约定服务范围、服务内容、服务水平、双方安全与数据保护责任、违约及赔偿条款等。
服务安全管理：ZEGO 制定了充分的信息安全管控措施，防范因第三方活动引起的信息泄露、信息篡改、信息不可用、非法入侵、物理环境或设施遭受破坏等风险，例如：第三方人员访问控制、第三方服务变更管理等。
服务监控与评价：ZEGO 对第三方服务过程进行持续监控，定期进行安全检查，获取第三方自评估或独立审计机构出具的报告。
服务中断或终止：ZEGO 为防范重要第三方的服务中断或终止风险，制定了第三方服务业务连续性管理计划及预案，消减第三方服务突发事件对组织的影响。

4 开发安全

ZEGO 在现有产品开发生命周期中有机融合安全与隐私保护要求，在需求分析与评审、设计、编码、测试和维护等产品生命周期的各阶段和源代码管理实施对应安全控制措施，以此减少产品中漏洞的数量，实现安全“左移”，降低漏洞修复成本，并把风险降低到最小程度，构建更安全的软件组件和解决安全合规需求。

4.1 需求分析与评审

在产品开发前进行合规性分析和业务风险分析，合规性分析是依据适用的法律法规、行业标准与管理办法等内容，研判业务在合规层面的正当性，ZEGO 有充分的安全资源投入开发建设，以确保有能力满足业务相关合规要求；风险分析是基于行业内调研常见安全风险及组织内部知识库进行业务安全风险分析活动，以此输出业务安全需求基本内容，指导后续安全设计工作。

在需求分析结束后，组织内部召集不同角色成员进行安全需求评审会议，对安全需求分析结果内容进行逐一讨论与确认，对于不符合要求的安全需求按照 PDCA 闭环方式进行优化调整，确保安全需求分析结果是满足合规性要求和有效控制安全风险。

4.2 设计阶段

ZEGO 开发团队基于权限分离原则、最小权限原则、纵深防御原则等基本安全设计原则，以安全需求分析结果为输入、通用软件架构为基石进行产品安全架构设计，通过参考 STRIDE 的威胁建模方法，降低攻击者利用潜在弱点或漏洞的机会以减小攻击面，避免安全功能未能覆盖安全与隐私保护需求而带来的风险。

ZEGO采用攻击意图辨别、识别高风险功能模块、攻击树等多种识别手段来梳理软件可能面临的各类威胁情况，形成符合实际情况的威胁评估结果。

4.3 编码阶段

ZEGO 在内部发布了通用以及特殊语言安全编码规范，开发人员根据所选择的开发语言遵循对应的开发语言编码规范，在编码阶段严格执行安全隔离元素、参数名标准化等规范内容，确保源代码在符合规范的前提下良好实现业务功能与安全功能，同时满足业务与安全需求，降低在编码开发阶段生产不安全代码的风险。

开发人员在开发测试服务器上进行账号创建时经过审批授权，确保一人一账号，每一个开发人员使用最小且必需的权限来完成工作，符合最小化权限要求。在环境隔离方面采取物理或逻辑隔离方式严格实现开发环境、预发布环境与生产环境互相隔离，生产环境真实数据不用于非生产环境，保证生产数据安全、降低数据泄露风险。

4.4 测试与维护阶段

根据威胁评估结果，ZEGO 对产品进行包括但不限于安全功能实现的验证、安全策略实施的验证、威胁缓解措施实施的验证、安全实现测试等安全工作。

当安全测试环节检测出产品存在安全漏洞时，ZEGO 采取漏洞发现、定级、跟踪与修复闭环的漏洞管理过程，避免产品出现带病上线的风险。如果产品涉及到第三方开发组件，ZEGO 还会定期验证第三方提供的安全补丁和更新并且同步更新，保护产品不受第三方组件已知漏洞的影响。

最后，所有 ZEGO 服务或产品在正式上线前均经过完整的安全测试，测试结果获得内部评审批准后，方可正式上线。

4.5 源代码安全

ZEGO 团队在源代码保护方面通过账号管理、权限控制、版本迭代控制、安全审计等多种安全保护措施，确保源代码的完整性，避免源代码出现非授权的修改和访问，防止直接影响软件代码安全性。

5 运营运维安全

5.1 访问控制

5.1.1 安全区域访问控制

ZEGO 建立了明确的安全区域访问控制策略，针对物理区域实施访问控制管理，ZEGO 依据信息资产敏感程度对公司区域进行划分，设立不同级别的隔离区域，每个区域之间有门禁系统，基于人员角色对进出权限进行控制，避免由于未经授权人员的擅自进入，造成系统运行中断、设备丢失或损坏，数据被窃取或篡改；针对网络区域访问的控制管理，ZEGO 在网络边界及各网络区域之间部署防火墙等访问控制设备，并采取白名单和黑名单相结合的访问控制策略，对进出网络的数据量所包含的内容及协议进行管控，建立可靠的网络边界。

5.1.2 员工访问控制

ZEGO 基于零信任原则配置终端安全管理系统并建立内部账号生命周期管理（LCM）流程，以实现所有内部员工及第三方人员账号身份信息状态（账号 ID 为唯一标识符）更新，包括员工从入职、调岗到离职，以及第三方人员从合作、共享到合作终止的过程。同时，ZEGO 为特定员工角色确定适当的访问控制规则、访问权及限制，清晰地管理身份权限、定义访问策略，预判风险，使正确的人员能够在不同的场景下访问正确的资源，防止未授权的访问，从而抵御潜在威胁，保护关键资产。

5.1.3 客户访问控制

ZEGO 服务支持客户指定访问区域以适应不同国家或地区的法律法规，产品内的数据及消息传输都将限定在指定区域范围内的 ZEGO 服务器。ZEGO 目前支持客户自主划定访问区域，只需要该区域有稳定高可用机房节点即可，具体区域范围、节点数量、网络质量等都可按客户需求定制。当客户限定访问区域后，客户音视频数据及消息将不会访问指定区域以外的服务器。

5.2 漏洞管理

ZEGO 建立了漏洞识别、风险评估、漏洞处理和报告的机制，以降低信息系统及其支撑软硬件系统的脆弱性被外部威胁所利用的可能性。ZEGO 主动对知名公开漏洞库、开源社区、安全网站等信息源进行监测，及时感知 ZEGO 产品相关的漏洞信息，达到及时识别和上报信息系统漏洞。除此之外，ZEGO 会定期购买第三方渗透测试服务，从外部角度审视产品安全情况，挖掘出产品潜在的漏洞、以及脆弱环节、薄弱点，并及时进行修复，加强系统的安全性。

同时，ZEGO 针对识别的漏洞进行严重等级评估，结合漏洞在 ZEGO 产品或系统中被利用的风险评估结果及可能造成的影响决定处理优先等级。ZEGO 针对优先级高的漏洞制定并落实漏洞修补方案，在漏洞修补完成后，内部形成漏洞处理报告用于经验沉淀，必要时面向客户发布漏洞修补信息。

在整个漏洞处理的过程中，ZEGO 会严格控制漏洞信息的范围，仅在处理漏洞的相关人员之间传递，降低漏洞处理过程中被他人攻击的风险。

5.3 变更管理

ZEGO 针对操作系统、应用软件、信息处理设施和系统等有严格的变更控制，包含重大变更的标识和记录、变更的策划和测试、变更影响评估、变更申请批准以及回退计划等，部分变更实现标准化并使用自研云效系统实现自动化部署，减少人为操作带来的风险，使变更给组织带来的安全风险变得有序可控。

5.4 日志与事件管理

ZEGO 对系统用户活动、异常情况、故障、安全事件等进行记录并定期审视。涉及用户个人信息的日志在得到用户授权许可后，ZEGO 依据“最小化使用”原则，采集日志信息用于故障分析。同时，日志信息作为事件追溯关键因素之一，按当地法律法规要求进行留存。

ZEGO 针对安全事件制定管理及响应流程，建立管理责任制以确保安全事件处理流程在组织内得到充分落实。ZEGO 根据安全事件对公司或客户造成的影响对安全事件进行分级，并依据事件报告、事件调查处理与纠正措施流程对安全事件进行处理，在故障排除或采取必要措施降低影响后，会对事故的原因、类型、损失、责任进行鉴定，对于违反公司信息安全方针、程序及安全规章所造成的信息安全事故责任者将依据内部管理规定进行处罚。同时，ZEGO 依据国家或业务当地法律法规标准，制定事件上报流程，充分满足合规要求。

5.5 业务连续性与灾难恢复管理

在发生突发中断事件或渐进中断事件可能导致组织运营及交付产生中断时，为尽可能的保障正在运行的业务不中断，ZEGO 制定了针对整个组织的业务连续性计划（BCP），并定期和内外部环境有显著变化时，对此计划进行审视和修订，整体流程如图所示：

业务影响分析和评估：ZEGO 通过业务影响分析和风险评估识别出关键业务，并确定关键业务的恢复优先级和恢复要求。
业务连续性策略与程序：ZEGO 基于业务影响分析结果以及“成本风险平衡原则”，制定和实施业务连续性恢复策略和业务连续性程序。
演练和测试：ZEGO 定期对业务连续性计划进行桌面演练或功能演练，验证技术和通信的恢复能力，包括人员的可用性。
灾备及冗余：ZEGO 在全球范围内部署多个分布式数据中心，当某个数据中心遭受攻击或发生故障时，通过分布式技术确保不会影响整体业务正常运行，有效保障业务数据实时可用。同时，ZEGO 通过公有云提供基于快照技术的云备份服务，周期性实时备份重要数据，并定期进行备份数据恢复验证数据可用性。除此之外，ZEGO 采取部署软件负载均衡（如SLB、CLB等），以及多链路网络和不间断电源（UPS）等基础信息处理设施设备的冗余，从多方面保障业务连续性。
灾难恢复计划：为保证在紧急情况发生时，尽快恢复备用站点上目标系统、应用程序或计算机设施基础设施的可操作性，ZEGO 制定了针对整个组织的灾难恢复计划（DRP），并定期或在当内外部环境有显著变化时，对此计划进行审视和修订。

6 基础设施安全

6.1 云服务安全

ZEGO 向国际知名云服务提供商采购第三方 IaaS 服务，在全球范围内部署多个服务器节点，在符合业务开展所属地合规要求的情况下，用户在使用时遵循地域就近原则和当下负载情况分配服务器节点。同时，结合公有云能力及分布式服务器节点部署，ZEGO 制定了可实时监测及防御 DDoS 攻击的方案，保障服务持续可用。

ZEGO 根据自身安全需求制定具有安全特色的云服务器安全基线，涵括登录限制、服务权限最小化、补丁更新等内容，并定期对安全基线进行更新和审计，确保契合业务需求。同时，ZEGO 配置基于知识和基于行为的入侵检测系统（IDS）用于监控和分析入侵过程，并将风险修复工作（包括弱密码、补丁、漏洞等）结合到主机管理流程中，保障主机安全。

公有云服务作为业务支撑关键因素之一，ZEGO 选择多家国际云服务提供商合作，并定期审阅或评估所使用的第三方服务商公布的审计报告，保障云服务安全可靠。部分云服务商安全性可参考如下链接：

6.2 网络安全

ZEGO 采用成熟可靠的三层网络架构，确保重要生产网络与办公网络相互隔离，每个安全域之间都有网络防火墙实现精细化网络访问控制、在网络关键位置部署入侵检测（IDS）安全防护设施检测网络攻击行为，提早发现异常，降低安全事件发生的风险。同时，ZEGO 通过在办公网络部署蜜罐、访问控制、权限限制以及入侵防护技术（IPS）等主动安全防御措施，检测和阻止内外威胁。

ZEGO 为每个客户创建资源区间，并制定身份识别与基于角色的访问控制策略，仅允许需要访问资源的用户组访问，确保不同客户之间资源隔离，保障不同客户资源相互独立以及资源处理环境的安全。

除此之外，ZEGO 对网络和终端设备配置硬件木马和漏洞检测、服务器设备的USB接口禁用等设备安全控制方案，防止计算机网络病毒通过物理设备入侵导致数据泄露或其他安全性风险。

6.3 物理与环境管理

为了保障信息系统在执行信息活动时不会因为自然因素或人为因素破坏，而导致活动中断、数据泄露等信息安全事件，ZEGO 对支持关键业务过程的区域（例如自有机房等）进行独立物理隔离，并配置门禁系统（基于人员角色对进出权限进行控制）、火灾报警系统、摄像头监控系统等基础设施，以避免安全威胁和环境危险。同时，对支持关键业务过程的设备配置 UPS（不间断电源），以免受电源故障或其他电力异常的损害。

7 数据安全与隐私保护

7.1 数据生命周期管理

为了保障网络系统的正常运行，维护数据的机密性、可用性和完整性，ZEGO 从数据的全生命周期（包含数据收集、传输、存储、处理、共享、销毁阶段）制定适用的技术和管理安全控制措施，确保数据流转过程中不会发生被篡改、丢失和泄露等危害客户数据安全的情况。各阶段的安全控制措施如下：

数据采集：ZEGO 以当地法律法规为红线，依据“最小化”“业务所需”为原则，在隐私政策中充分告知客户信息采集的目的、范围、使用方法等，征得客户授权同意后，方可采集业务数据。同时，ZEGO 通过输入校验、身份验证等方式确保数据的完整性和真实性；利用 TLS 安全协议确保数据传输不被篡改、不被窃取，保障认证服务器的真实性。

而 ZEGO 客户所收集的用户数据，例如 App 登录信息、账号信息等，均由客户负责其安全性并保管，不在 ZEGO 平台留存。
数据传输：ZEGO 在不同业务场景下使用传输通道 TLS/SSL 加密、AES/RSA 数据内容加密、签名验证、传输通道两端的主体身份鉴别和认证等数据传输安全管控措施，以及对数据传输安全策略变更的审核和监控方案，多方面保障数据传输过程中数据 CIA 属性（机密性、完整性和可用性）。
数据存储：ZEGO 遵循 “存储时间最小化”的数据存储原则，对采集的客户个人信息依据数据敏感程度制定不同的数据存储期限策略，对于超出保存期限的数据进行匿名化或销毁。同时，ZEGO 执行数据加密存储，并依据当地合规要求制定数据备份和存储策略。如客户对自身数据的修改、副本提供或删除等数据处理提出特殊申请，ZEGO 将在满足合规要求的情况下配合客户进行数据处理。
数据使用：ZEGO 遵循“目的限制”的数据使用原则，所采集的数据仅用于隐私政策中阐明的用途，不会用于用户精准画像分析、信息系统自动化决策等未获得用户授权的数据处理活动。

同时，ZEGO 遵循“最小化使用”原则，明确在不同业务场景下数据的使用目的，通过访问控制及加密等措施控制使用范围，确保数据不超出与客户约定的使用范围，客户同意或为满足法律法规要求和公众利益等情形除外。ZEGO 基于核心业务场景、数据重要性等，对数据、系统功能、运营环境等资源实现隔离控制，保障不同客户数据相互独立以及数据处理环境的安全。

ZEGO 对数据的使用活动均有日志记录，通过自动化工具、日志审计等方式对数据违规使用行为进行有效识别、监控，并定期对数据使用目的、数据使用范围、数据使用方式对个人信息安全的影响进行评估，确保数据使用的正当性、必要性、合规性和安全性。
数据共享：ZEGO 遵循“最小化”“必要性”原则进行对内以及对外的数据共享。

在 ZEGO 内部共享数据时，在确保内部分享是正当的、合法的和必要的同时，ZEGO 会确保传输方式的安全（如对数据传输通道、软硬件加密），并基于业务角色的控制访问权限，加强数据保护意识等方式，以消减数据在传输过程中受到各种类型的威胁导致数据被窃取和破坏的风险。同时，ZEGO 内部部署了零信任终端管理平台，对员工共享数据行为进行监控和审计，确保没有违规操作和违规外泄行为。

在对外共享数据时，ZEGO 会隐私政策中告知用户有关外部接收方的信息、数据共享内容的及目的等，在获得授权同意后才对外提供相关内容。同时在数据共享前与第三方签署数据保护协议（DPA），明确数据的使用目的、使用范围和使用方式、第三方的数据保护责任等，保障用户数据安全。
数据销毁：在服务终止、保存期限已届满、个人撤回同意、处理目的已实现、无法实现或者为实现处理目的不再必要等场景下（当地法律法规有特殊要求除外），ZEGO 会对已存储数据采取硬销毁或软销毁两种方式进行处理。如需销毁的数据涉及第三方，ZEGO 也会书面通知相关第三方进行数据销毁，并跟踪数据处理结果。

7.2 隐私影响性分析（PIA）

ZEGO 作为云通讯服务商，当在新产品或服务开发、变更或外部环境发生重大变化时，ZEGO 会基于产品功能、国家或当地数据保护法案及其相关指南要求等开展隐私风险识别，对个人信息处理活动开展隐私影响评估，根据评估结果、业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界，调整安全控制措施，使个人信息处理过程处于风险可控的状态。

7.3 数据分级分类及风险评估

ZEGO 结合数据类型特点、业务运营需求等，明确数据分级分类原则和方法，制定了数据分级分类管理制度，对不同级别的信息资产，在信息访问控制、信息发布、标识及存储等方面定义不同的管控要求。

同时，ZEGO 基于资产、风险、安全措施、威胁和脆弱性风险要素，参照国际风险评估标准和管理规范，对信息资产的价值、资产面临的潜在威胁、已采取的防护措施等进行分析，判断安全事件发生的概率和可能造成的损失，识别 ZEGO 面临的安全风险，根据风险评估结果制定相应控制措施，并定期跟进和复评，实现风险的动态监控和闭环管理。

8 安全隐私资质与法律符合性

目前，ZEGO 完成多个业务系统通过国家网络安全等级保护备案（三级），并获得多个国际认可的信息安全及隐私保护管理体系认证：ISO/IEC 27001:2022、ISO/IEC 27701:2019、ISO/IEC 27018:2019，以此证明自身的隐私合规和安全管理能力。

8.1 公安部信息安全等级保护三级认证

依据《网络安全法》第二十一条，网络安全等级保护是我国的一项基本国策，是国家网络安全工作的基本制度，是维护国家信息安全的根本保障。国家公安机关作为网络安全等级保护的主管部门，负责网络安全等级保护工作的监督、检查和指导。完成信息系统的等级保护备案与测评，说明企业已根据相关要求履行了相关安全保护义务，有能力保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。

ZEGO 实时音视频（RTC）、小艺帮、Talkline、艺术学习教育系统等服务平台已通过公安部信息系统网络安全等级保护备案（三级），并定期接受第三方专业机构测评，意味着ZEGO相关信息系统的安全保障能力，已达到国家对相应级别信息系统的安全保护要求。也表明ZEGO识别和应对信息安全威胁的能力得到提升，能有效减少安全漏洞的影响，降低数据泄露或被窃取、篡改的的风险，具备为用户提供安全可靠的服务的能力。

8.2 ISO/IEC 27001:2022 信息安全管理标准

ISO/IEC 27001:2022是由国际标准化组织 (International Standardization Organization，简称 ISO) 发布的信息安全管理体系标准，它以其严格的审查标准和权威的认证体系，成为全球应用最广泛与典型的信息安全管理标准，主要针对组织的开发安全、通信安全、操作安全和信息系统安全等内容进行规范。

ZEGO信息安全管理体系获得第三方认证机构DNV的 ISO/IEC 27001:2022 认证，证明ZEGO在安全管理制度、安全技术和安全组织及人员等层面均付出了卓有成效的努力，表明管理层履行了相关责任。

8.3 ISO/IEC 27701:2019 隐私信息管理体系

SO/IEC 27701:2019 是由国际标准化组织发布的隐私信息管理体系标准，是对ISO/IEC27001的补充和扩展。ISO/IEC 27701将隐私保护的原则、理念和方法，融入到信息安全保护体系中，并且对个人身份信息控制者和处理者进行了较为详细且落地性强的规定，提供了针对个人隐私保护的具体要求和指导。

ZEGO 根据 ISO/IEC 27701:2019 标准要求建立并持续改进隐私信息管理体系（PIMS），通过了第三方认证机构DNV的认证评审，代表着ZEGO 在隐私信息保护方面已建立科学、完备的管理机制，可降低数据泄露和滥用的风险，具备保障个人信息的保密性、完整性和可用性的能力，从而确保在处理个人信息时符合适用的隐私法律法规、并有效保护数据主体的权益。

8.4 ISO/IEC 27018:2019 公有云个人可识别信息管理体系

ISO/IEC 27018:2019 公有云中个人可识别信息保护管理体系，是针对云服务商对云中个人数据的安全防护的国际标准。它是对ISO/IEC 27001和ISO/IEC27002标准的扩展，为云服务供应商如何处理个人身份信息（PII）提供了一套实务守则，以保护公共云中的个人身份信息（PII）不受侵犯。

ZEGO通过ISO/IEC 27018:2019 认证，代表着ZEGO在云端环境存储和处理个人数据的安全保障能力得到了进一步提升。

8.5 合规遵从性

除 ISO 体系认证外，ZEGO 还确保遵从当地法律法规的监管要求，例如：

中国：《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》等法律法规及国家标准。
新加坡：《个人信息保护法》、《个人数据保护（数据泄露通知）条例》、《个人数据保护（谢绝来电登记）条例》等。
印度：《信息技术法》、《医疗法》等。

此外，ZEGO 安全合规团队每年度开展定期产品安全和隐私影响评估，确保产品始终遵从相关法律法规要求。

9 总结

本文描述了 ZEGO 为客户提供的云通讯服务在信息安全与隐私保护所做的努力，有助于客户详细了解 ZEGO 安全控制措施，让客户安全、放心地使用 ZEGO 云通讯服务。

本文仅供参考，不具备法律效应或构成法律建议。客户应酌情评估自身使用云通讯服务的情况，并确保在使用 ZEGO 服务时自身的数据安全、应用安全以及基础设施安全。