跳到内容

软件政策 💾

1. 目的和指导原则

本策略规范了在公司拥有和管理的设备上获取、安装和使用所有软件的行为。我们的目标是为员工提供最佳工具,以促进创新和生产力,同时维护安全稳定的技术环境。

  • 安全第一: 我们的数据和系统的完整性至关重要。
  • 法律合规: 我们仅使用获得适当许可和批准的软件。
  • 生产力与协作: 我们对工具进行标准化,以确保我们全球团队之间的无缝协作。

2. 标准软件套件 💻

公司提供的所有电脑都预装了一套标准的、经过批准的软件,以涵盖核心业务功能,并包含最新的安全更新。

核心应用类别

虽然具体的应用程序列表由安全团队维护,但标准套件包括:

  • 操作系统: 最新版本的 macOS。
  • 生产力套件: 用于文档、电子表格和演示文稿的核心应用程序(例如,Google Workspace、Microsoft Office)。
  • 沟通: 公司批准的用于电子邮件、聊天和视频会议的工具(例如,Slack、Google Meet)。
  • 安全: 强制性的防病毒、防火墙和设备管理软件 (Rippling)。
  • Web 浏览器: 经过批准的浏览器,如带有必需安全扩展程序的 Google Chrome。
  • 技术工具: 对于开发人员和技术职位,这包括批准的 IDE、代码编辑器和其他开发实用程序。

3. 软件审批和供应商生命周期 📥

为了保持安全性和兼容性,所有未包含在标准套件中的软件都必须在安装前获得批准。

团队成员访问

本节中的某些链接只能由 Ultralytics 团队成员访问。

审批和安装流程

  1. 经理批准: 在开始之前,请检查供应商是否已存在于我们的批准的供应商数据库中。确认后,向您的直属经理发送软件请求,包括明确的业务理由和成本(如有)。
  2. 提交供应商入职请求: 您的经理或代表经理的任何团队成员必须通过供应商入职表提交请求。 这是了解我们使用的工具可能存在的风险的必要步骤。
  3. 多小组审查:申请将由法律和安全团队审查,以确保在批准前进行全面评估。
  4. 最终批准:法律和安全团队批准后,您的经理将提供最终签批。您可以通过此跟踪概述跟踪进度和最终签批状态。
  5. 购买和安装:对于付费软件,按照标准报销程序办理

禁止使用未经授权的软件

严禁安装任何未经批准的软件。这包括在公司设备上安装个人软件、未经许可或 "破解 "的应用程序,以及任何可能危及系统安全的工具。

持续的供应商管理

  1. 跟踪供应商变更:监控已批准的供应商是否有任何可能影响安全、财务或合规性要求的重大修改。
  2. 提交变更申请:更新时,通过供应商变更表提交详细信息。这可确保我们的法律和安全团队能够评估任何新风险。需要报告的主要变更包括安全事件、数据类别变更、供应商离职、工具所有权变更或超过 500 美元/年的价格变更。
  3. 审查过程:安全、法律和财务团队将对变更进行评估,以确定是否需要额外的批准或行动。

4. 工具访问申请流程 🛠️

请求访问

团队成员可通过Vanta平台申请使用工具,支持通过Slack或Vanta平台两种方式提交请求。

如何提交请求

通过Slack

  • 打开Vanta应用,导航至"首页"标签页并选择 Submit access request
  • 详情请参阅Vanta 帮助文章

维亚·万塔

申请中应包含的内容

提交访问请求时:

  1. 选择您需要的工具
  2. 选择适当的用户角色(如适用)
  3. 提供明确的商业依据
  4. 若需提升权限(例如管理员、所有者),请注明并说明需求。
  5. 提交审批请求

一旦系统审批人批准您的请求,系统管理员将尽快为您配置访问权限。配置完成后,您将收到来自Slack中Vanta应用的通知以及一封确认邮件。

访问请求工作流

flowchart TD
A@{ label: "Log into Vanta and navigate to <a href='https://app.vanta.com/c/ultralytics/access/systems/request'>My access requests</a> dashboard, or look up Vanta app in Slack, and Submit access request" } --> B{"Did you find the tool you need?"}
    B -- Yes --> C["Select the tool you need and request access"]
    B -- No --> D["Follow <a href='https://handbook.ultralytics.com/tools/software/#3-software-approval-vendor-lifecycle'>New Software Approval Process</a>"]
    n3["Need access to a tool?"] --> A
    C --> n4["Did the Approver approve your request?"]
    n4 -- Yes --> n1["Admin will provision you access or inform you how to gain access if the tool relies on shared credentials."]
    n4 -- No --> n5["The Approver will provide you with the rejection reason."]

    A@{ shape: rect}
    n3@{ shape: rect}
    n4@{ shape: diam}
    n5@{ shape: rect}

    A:::Sky
    C:::Sky
    n3:::Sky
    n1:::Pine

    classDef Pine stroke-width:1px, stroke-dasharray:none, stroke:#254336, fill:#27654A, color:#374D7C
    classDef Sky stroke-width:1px, stroke-dasharray:none, stroke:#374D7C, fill:#E2EBFF, color:#374D7C

    style A fill:#e1f5ff,stroke:none
    style C fill:#d4edda,stroke:none,color:#374D7C
    style n3 fill:#e1f5ff,stroke:none
    style n1 fill:#d4edda,stroke:none,color:#374D7C

系统审批人员的最佳实践

系统审批人可通过电子邮件、Slack或直接在Vanta平台内审核访问请求。更多信息请参阅Vanta指南。

审批指南

  • 及时响应:一个工作日内审核请求
  • 验证必要性:确保所请求的访问权限符合团队成员的职责范围
  • 应用最小权限原则:仅批准所需的最低访问级别
  • 确认理由:高级角色仅应在存在明确、有据可查的业务需求时方可批准。

系统管理员最佳实践

系统管理员负责在批准后为工具分配访问权限。分配过程并非自动化,必须在每个工具内手动完成。

审批指南

  • 及时响应:在批准后一个工作日内提供访问权限
  • 验证批准:授予访问权限前请确认批准详情
  • 授予最低权限:除非明确批准更高权限,否则仅分配最低必要访问权限。
  • 在Vanta中记录:授予访问权限后,将请求标记为"已配置" 如需协助,请通过Slack频道#it-support#compliance联系安全与合规团队。

5. 可接受使用政策 🛡️

商业用途与个人用途

公司提供的软件和设备主要用于业务目的。不过,我们也允许有限、合理的个人使用:

  • 影响您的工作表现或职责。
  • 损害公司系统的安全性或完整性。
  • 违反任何其他公司政策。
  • 不会给公司带来任何额外费用。

禁止的活动

严禁在公司设备上进行以下活动:

  • 将软件用于任何非法目的,包括侵犯版权。
  • 安装或分发未经许可、盗版或未经授权的软件。
  • 访问、下载或传播攻击性、歧视性或色情材料。
  • 规避或禁用安全措施,包括杀毒软件和 MDM 软件。
  • 通过未经授权的平台共享公司机密信息或数据。
  • 参与任何可能损害公司声誉或系统的活动。

6. 安全与合规 🔒

每位员工都有责任保护我们的数字资产。

系统与安全软件

  • 防病毒和恶意软件保护:所有设备必须安装并始终运行公司批准的安全软件。篡改该软件属于违反政策的行为。
  • 系统更新:随时更新操作系统和所有应用程序。尽可能启用自动更新,及时修补漏洞。
  • 防火墙:必须在所有计算机上启用内置操作系统防火墙。

数据安全

  • 处理敏感数据:仅使用公司批准的应用程序和安全加密渠道来存储或传输机密或敏感信息。
  • 备份:您有责任确保您的重要工作文件保存在经认可的云存储解决方案(如Google Drive)中,而不仅仅是本地设备上的文件。

密码管理

  • 密码管理器:必须使用公司认可的密码管理器。这有助于为每项服务创建和存储强大、唯一的密码。
  • 多因素身份验证 (MFA):必须在所有支持 MFA 的账户上启用 MFA,尤其是Google Workspace、Slack 和 Rippling 等关键系统。

7. IT支持 🤝

如何获得帮助

如果您有任何软件相关问题,请通过 #it-support Slack 频道联系我们。

服务级别协议 (SLAs)

我们的团队会对请求进行优先排序,以确保关键问题得到迅速处理。

  • 危急(全系统故障、安全漏洞):1 小时响应
  • 高(个人无法工作):4 小时响应
  • 正常(小问题、软件请求):24 小时响应

本政策有助于我们维护一个安全、合规、高效的软件环境。如有任何疑问,请联系您的经理或安全团队。



📅创建于1个月前 ✏️更新于13天前
sokrisba glenn-jocher