飞书安全白皮书.pdfVIP

⻜书安全⽩⽪书

版本（V1.1)

⻜书安全⽩⽪书

版本变更记录

⽇期版本说明

2018年12⽉01⽇V1.0版本创建

2019年01⽉10⽇V1.1增加部分内容

⻜书安全⽩⽪书

⽬录

前⾔3

⼀.安全团队及职能3

⼆.合规与隐私性3

三.⼈员安全4

四.客户端安全5

4.1运营环境安全5

4.2数据安全5

4.3安全漏洞防护5

4.4客户端安全策略5

五.⽹络安全5

5.1⽹络访问控制5

5.2DDOS及⽹络攻击防御6

5.3⽹络传输加密6

六.服务器安全6

七.应⽤安全7

7.1安全开发流程7

7.2⽤户账号安全7

7.3漏洞与应急事件处置7

⼋.数据安全8

8.1数据加密8

8.2KMS密钥管理服务8

8.3访问控制及授权8

8.4数据删除9

九.物理基础设施安全9

9.1机房的物理访问授权9

⼗.灾难恢复与业务连续性10

10.1备份与灾难恢复10

10.2业务连续性保障10

10.3应急演练10

⼗⼀.变更控制10

⻜书安全⽩⽪书

前⾔

飞书是北京飞书科技有限公司为企业、个⼈提供的办公套件SaaS服务，功能包

括即时通讯、⽂档协作、⽇历、会议室预订、⾳视频通话等。飞书产品具有⾼

度的可扩展性与可⽤性。我们采⽤业界领先的技术，对产品、⽤户数据进⾏全

⽣命周期的安全保障。飞书产品的设计、开发和运营充分考虑了各国的合规性

以及⽤户个⼈信息隐私性要求，保证产品满⾜业务运营之国家⽤户对安全合规

性、个⼈隐私性以及数据保护的法律法规和原则要求。

⼀.安全团队及职能

飞书科技作为SaaS服务提供商，⼀直都把⽤户业务和数据的安全保护列为最⾼

优先级⼯作。公司具有完善的基础架构安全以及⽤户业务、数据安全保护体系，

可以为⽤户提供从物理到应⽤层⾯的全⽅位防护。

飞书产品安全团队由安全管理与合规、业务安全、数据安全、应急响应、安全

⼯具开发团队构成。⼯作内容包括产品设计安全评估、代码安全审阅、漏洞扫

描、渗透测试、威胁情报、⼊侵检测、应急响应、数据安全、安全合规等。

⼆.合规与隐私性

飞书科技⾼度重视产品的合规性，由安全与合规部专职负责，积极对标国内和

国际最⾼标准合规性要求。⽬前飞书产品已通过国家及国际的多项合规性认证，

包括公安部等级2.0保护三级、ISO27001等认证。标志着我们在信息安全管理、

服务质量管理、IT服务管理等⽅⾯达到了更规范化、更标准化的⽔平，为公司

全⾯质量体系的改进和完善奠定坚实的基础。

ISO27001是⼀套获得业界⼴泛认可的安全管理体系标准，其⼀直被认为是国际

最权威、最严格的信息安全体系认证标准，被全球⼴泛接受。飞书的数据中⼼、

管理体系、研发、职能部门通过此项认证意味着我们在信息安全管理领域已经

⻜书安全⽩⽪书

与国际标准对标，具有充分的信息安全风险识别和控制能⼒，可以为全球客户

提供安全可靠的服务。

《GB/T22239-2008信息安全技术信息系统安全等级保护基本要求》简称信息

安全等级保护，是中国国家标准化管理委员会发布的信息安全标准，是中华⼈

民共和国信息安全保障的⼀项基本制度。等级根据信息系统的重要程度，从低

到⾼分为1⾄5个等级，不同安全等级实施不同的保护策略和要求。飞书采⽤的

是3级信息系统的保护策略，并通过了专业测评机构的测评。说明飞书产品在有

能⼒帮助客户具备三级等保所要求的：安全事件的发现、应对能⼒，信息系统

受到破坏时的恢复能⼒。

飞书科技积极跟进国内、国际对产品合规的要求，通过安全管理与合规团队对

接各级监管机构，确保提供的产品和服务符合要求。

飞书产品有专门的隐私团队，对⽤户隐私协议、产品的隐私性保护设计、⽤户

隐私数据的收集与使⽤进⾏审查，确保⽤户的隐私数据被妥善使⽤和处理，并

且对⽤户保持合理的透明度。

三.⼈员安全

员