資訊安全管理 已認證

1. 關於 ISO/IEC 27001:2022

ISO/IEC 27001 是資訊安全管理體系(ISMS)的國際標準。2022 年修訂版將附錄 A 重構為四個主題 — 組織類(37 項控制)、人員類(8 項)、物理類(14 項)和技術類(34 項)— 共 93 項控制。認證意味着已由有資質的機構按標準覈驗過 ISMS 的設計與運行情況。

我們的認證由 BSI Group持有,該機構在英國認可服務局(UKAS)下取得資質。證書編號 IS 776421。該證書可在 BSI 客戶目錄中獨立查詢.

2. 資訊安全管理體系範圍

證書上註明的已認證 ISMS 範圍如下:

「提供加密貨幣交易、託管、保證金借貸和收益產品服務,包括按以下文件設計、營運與維護配套基礎設施、面向客戶的平臺與後臺系統: 2025-08-04 發佈的適用性聲明 v3.2。」

地理範圍覆蓋以 bitexasia 品牌營運的全部實體:新加坡(總部)、香港、都柏林與倫敦交付中心。範圍內的外包服務:雲基礎設施供應商、KYC 供應商、鏈上託管合作夥伴。

3. 適用性聲明

適用性聲明(SoA)是我們 ISMS 與認證機構之間的契約 — 列出每一項附錄 A 控制、說明它是否適用,以及在內部控制庫中的記錄位置。SoA v3.2(2025-08-04)聲明:

• 91 of 93 項附錄 A 控制適用; 2 excluded 並附有正當理由:
  • A.7.10(存儲介質) — 排除原因:不使用任何可移動物理介質;所有客戶與營運數據存放在採用硬件密鑰保護的加密雲存儲中。
  • A.7.11(配套設施) — 對於沒有本地生產系統的辦公場所部分排除;在數據中心區域完整適用。
• All applicable 項控制於認證審計日已實施並有效運行。
• 2 項控制存在 尚未關閉的改進機會 (不符合項已在證書簽發前解決,記錄在管理評審會議紀要中)。

4. 附錄 A 控制覆蓋

每個主題的要點:

組織類控制(A.5)

資訊安全策略(A.5.1)、交易臺與託管臺的職責分離(A.5.3)、對接觸客戶數據的每一家第三方進行的供應商安全評估(A.5.19–A.5.23)、整合到 SIEM 的威脅情報管道(A.5.7)。

人員類控制(A.6)

依角色敏感度進行的背景審查(A.6.1)、所有僱傭合同中正式列明的資訊安全責任(A.6.2)、配套釣魚演練的季度安全意識培訓(A.6.3)、僱傭關係結束後仍生效的保密協議(A.6.6)。

物理類控制(A.7)

在辦公場所與數據中心實施分層物理安保 — 訪客登記、配備反尾隨門廳的工牌通行、託管冷存儲簽名基礎設施的房間設有生物識別管控(A.7.1–A.7.4)。執行清潔桌面與清潔屏幕政策(A.7.7)。

技術類控制(A.8)

這是最大的主題,也是與交易所最密切相關的控制集中之處。靜態加密(AES-256)與傳輸加密(TLS 1.2+)(A.8.24)、配有代碼審查和 CI 中 SAST/DAST 的安全開發生命週期(A.8.25–A.8.28)、採用 HSM 的密碼學密鑰管理(A.8.24)、具備防篡改保留能力的全面日誌(A.8.15–A.8.17)、冗餘與經過演練的業務連續性計劃(A.8.13–A.8.14)。

5. 監督審計計劃

ISO/IEC 27001 證書有效期為三年,並需通過年度監督審計以確認 ISMS 持續有效運行。我們的安排:

• 第 1 階段審計(文檔審查): 2025-07-14 — 通過,無重大發現
• 第 2 階段審計(實施): 2025-08-11 to 2025-08-22 — 通過,2 項輕微不符合項 (均在證書簽發前關閉)
• 證書簽發: 2025-09-12
• 第 1 次監督審計: 2026-08 (upcoming)
• 第 2 次監督審計: 2027-08
• 再認證審計: 2028-07(在證書 2028-09-11 到期之前)

6. 證書驗證

證書可通過 BSI 客戶目錄獨立查詢,網址為 bsigroup.com/en-GB/our-services/certification/certificate-and-client-directory-search 通過輸入證書編號 IS 776421 或搜索「bitexasia」。

證書、適用性聲明摘要以及附錄 A 控制覆蓋圖也一併包含在 SOC 2 Type II 報告中 — 請參閱 SOC 2 page 瞭解申請流程。

7. 完整證書與聯繫方式

證書 PDF 掃描件可應要求提供,請發送郵件至 audits@bitexasia.com。如需就具體附錄 A 控制項或 SoA 進行深入諮詢,請在請求中註明控制編號;我們將在 5 個工作日內回覆。