Login
認證 · ISO/IEC 27001:2022

資訊安全管理 已認證

認證机構:BSI 集团 · 证书 IS 776421 · 颁发于 2025-09-12,有效期至 2028-09-11

1. 关于 ISO/IEC 27001:2022

ISO/IEC 27001 是資訊安全管理体系(ISMS)的國际標准。2022 年修订版将附录 A 重構為四个主題 — 组织类(37 项控制)、人員类(8 项)、物理类(14 项)和技术类(34 项)— 共 93 项控制。認證意味着已由有资質的机構按標准核验过 ISMS 的设计与运行情况。

我们的認證由 BSI Group持有,该机構在英國认可服務局(UKAS)下取得资質。证书编號 IS 776421。该证书可在 BSI 客戶目录中獨立查询.

2. 資訊安全管理体系范围

证书上注明的已認證 ISMS 范围如下:

「提供加密货币交易、托管、保证金借贷和收益產品服務,包括按以下文件设计、运营与维护配套基礎设施、面向客戶的平台与后台系统: 2025-08-04 发布的适用性聲明 v3.2。」

地理范围覆盖以 bitexasia 品牌运营的全部實体:新加坡(总部)、香港、都柏林与伦敦交付中心。范围内的外包服務:云基礎设施供應商、KYC 供應商、链上托管合作伙伴。

3. 适用性聲明

适用性聲明(SoA)是我们 ISMS 与認證机構之间的契约 — 列出每一项附录 A 控制、说明它是否适用,以及在内部控制库中的记录位置。SoA v3.2(2025-08-04)聲明:

  • 91 of 93 项附录 A 控制适用; 2 excluded 并附有正当理由:
    • A.7.10(存储介質) — 排除原因:不使用任何可移动物理介質;所有客戶与运营數據存放在采用硬件密钥保护的加密云存储中。
    • A.7.11(配套设施) — 對于没有本地生产系统的办公场所部分排除;在數據中心区域完整适用。
  • All applicable 项控制于認證審計日已實施并有效运行。
  • 2 项控制存在 尚未关闭的改进機會 (不符合项已在证书签发前解决,记录在管理評审会議纪要中)。

4. 附录 A 控制覆盖

每个主題的要点:

组织类控制(A.5)

資訊安全策略(A.5.1)、交易台与托管台的职责分离(A.5.3)、對接触客戶數據的每一家第三方进行的供應商安全評估(A.5.19–A.5.23)、整合到 SIEM 的威胁情报管道(A.5.7)。

人員类控制(A.6)

依角色敏感度进行的背景审查(A.6.1)、所有雇佣合同中正式列明的資訊安全责任(A.6.2)、配套钓鱼演練的季度安全意识培训(A.6.3)、雇佣关系結束后仍生效的保密协議(A.6.6)。

物理类控制(A.7)

在办公场所与數據中心實施分层物理安保 — 访客登记、配备反尾随門厅的工牌通行、托管冷存储签名基礎设施的房间设有生物识别管控(A.7.1–A.7.4)。执行清洁桌面与清洁屏幕政策(A.7.7)。

技术类控制(A.8)

这是最大的主題,也是与交易所最密切相关的控制集中之處。静態加密(AES-256)与傳输加密(TLS 1.2+)(A.8.24)、配有代碼审查和 CI 中 SAST/DAST 的安全开发生命周期(A.8.25–A.8.28)、采用 HSM 的密碼学密钥管理(A.8.24)、具备防篡改保留能力的全面日志(A.8.15–A.8.17)、冗余与经过演練的业务连續性计划(A.8.13–A.8.14)。

5. 监督審計计划

ISO/IEC 27001 证书有效期為三年,并需通过年度监督審計以确认 ISMS 持續有效运行。我们的安排:

  • 第 1 阶段審計(文档审查): 2025-07-14 — 通过,无重大发现
  • 第 2 阶段審計(實施): 2025-08-11 to 2025-08-22 — 通过,2 项轻微不符合项 (均在证书签发前关闭)
  • 证书签发: 2025-09-12
  • 第 1 次监督審計: 2026-08 (upcoming)
  • 第 2 次监督審計: 2027-08
  • 再認證審計: 2028-07(在证书 2028-09-11 到期之前)

6. 证书驗證

证书可通过 BSI 客戶目录獨立查询,网址為 bsigroup.com/en-GB/our-services/certification/certificate-and-client-directory-search 通过输入证书编號 IS 776421 或搜索「bitexasia」。

The certificate, the Statement of Applicability summary, 与 Annex A control coverage map are also bundled in the SOC 2 Type II 报告 — see the SOC 2 page 了解申请流程。

7. Full certificate and contact

证书 PDF 扫描件可應要求提供,请发送邮件至 audits@bitexasia.com。如需就具体附录 A 控制项或 SoA 进行深入咨询,请在请求中注明控制编號;我们将在 5 个工作日内回複。

其他審計: SOC 2 Type II, 储备金证明, 渗透測試, 运营牌照, 新加坡 PSA 牌照.