信息及數據安全
世紀互聯深耕信息安全領域,依靠夯實的信息安全管理體系、嚴格的數據保護制度、信息安全系統和風險管理程序、扎實的員工信息安全培訓,不斷提升強化數據中心和云服務平臺運營管理能力,為客戶的信息及數據安全保駕護航。
體系建設
世紀互聯持續加強信息安全管理體系建設及落地,通過《合規與信息安全管理規定》《信息安全管理體系方針》與《信息安全風險管理程序》等制度,明確各業務的信息安全管理職責,為信息安全管理日常實踐提供規范化指導依據。
管理架構
世紀互聯設立合規與信息安全管理委員會,作為世紀互聯合規與信息安全管理工作的最高領導機構。委員會下設合規與信息安全工作組,負責日常信息安全管理落地,以保障業務依法合規、安全有序、高效運營為首要工作目標。
我們建立了信息安全風險識別管理機制,對擁有的信息資產進行全面梳理,定期實施風險評估,并通過緊急/重大信息安全事件響應機制,指導事件處置人員做出及時的應急響應,以最大程度降低事件可能造成的不良影響。與此同時,我們與工信部、網信辦、公安部等監管機構及其支撐單位建立順暢溝通機制,及時了解、評估法律環境變化,并轉化為針對性管理實踐。
體系認證
我們的數據中心具備信息系統安全集成服務資質、信息安全應急處理服務資質及信息安全風險評估服務資質,且均獲得由中國網絡安全審查技術與認證中心所頒發的三級服務資質認證證書。同時,集團主要業務運營所在區域已通過信息安全管理體系(ISO27001)認證。
在云服務層面,世紀互聯藍云已通過包括信息技術服務管理體系(ISO20000)、公有云個人信息保護管理體系(ISO27018)、可信云等國際國內多項信息安全及數據隱私相關權威認證。其中,ISO27018又稱“云隱保護認證”,旨在為公有云個人可識別信息處理者提供一套實務守則,保護公有云中的個人可識別信息(PII)不受侵犯,世紀互聯藍云已連續5年獲得此認證。
可信云是我國云計算領域信任體系的權威評估,世紀互聯藍云自2014年獲得首批可信云認證至今,已累計獲得11項可信云認證。本年度,世紀互聯藍云亦通過網絡安全等級保護三級評測,全面覆蓋基礎架構即服務(IaaS),平臺即服務(PaaS),軟件即服務(SaaS),為客戶提供從基礎網絡系統、云平臺到云應用的全方位云安全服務。
世紀互聯藍云已連續三年通過由獨立第三方審計機構開展的SOC審計,并獲得SOC1、SOC2、SOC3報告,標志著藍云在內部控制、安全性、可用性、進程完整性、保密性等方面的能力達到了業界權威標準要求。
信息安全管理
物理安全是我們開展信息安全管理的基礎。世紀互聯以國A標準進行數據中心的設計,符合安全等級保護三級標準中的物理環境安全要求。我們關注數據中心的周邊安全,在數據中心內部以及外圍人員進出區域均安裝監控設施;數據中心及辦公樓入口處安裝閘機并設定出入權限;外來人員進入我們的運營區域需要登記并獲得許可后進入,以保護我們的設備設施,加強人員進入管控。在此基礎之上,我們結合客戶定制化需求,提供更高級別的物理安全管理。
在內部網絡安全層面,世紀互聯重點關注集團內部的網絡管理并持續規范員工行為。我們制定了《辦公網絡安全準入管理規定》《密碼管理制度》及《遠程訪問權限管理規定》等制度,為員工在不同工作環境中的安全操作提供規范化指導。員工必須滿足設備、網絡、賬號、IP、防火墻等全部規范要求后方獲得網絡準入許可。員工辦公設備均安裝數據防泄露(DLP)終端,針對電腦內部的所有程序進行管理,并對信息傳輸工具進行監控,避免重要信息泄露。此外,我們每周均對重要信息系統的敏感操作開展安全審計工作。
在外部網絡安全層面,世紀互聯積極監控并響應潛在的網絡安全威脅。我們通過部署信息安全產品,每日對集團辦公網絡進行病毒、惡意攻擊等方面的安全監測;同時,我們每月開展漏洞掃描及滲透測試工作以評估現有網絡安全系統的完善性并進行改善。針對多種類型的網絡攻擊問題,我們制定專項防御方案,例如通過高可用統一威脅管理(UTM)、Web應用防火墻(WAF)、流量清洗等方式,排除惡意和非授權入侵,進行網絡邊界防御;通過網絡檢測與響應(NDR)、終端檢測與響應(EDR)、日志審計等方式,提高對高級持續性威脅(APT)以及后滲透階段的檢測發現能力,進行縱深防御。
隱私與數據保護
世紀互聯使用世界領先的加密方法、協議和算法來保護客戶數據在其基礎架構中的傳輸安全和存儲機密性。為了充分保護客戶云計算環境的安全,世紀互聯采用了多種安全保護技術和手段。我們在與客戶進行項目前期技術選型過程中,會充分調研客戶對于信息安全的要求,并制定符合客戶安全要求的云平臺信息安全方案,包括但不限于云平臺選型、安全組件的選型、安全策略的建議、網絡隔離的建議等。
我們制定了隱私保護政策,以保證個人數據與隱私的安全。在數據收集過程中,我們基于“最小化”的原則進行數據采集;我們給予員工及客戶授權、管理和刪除個人信息的權利,并向其告知數據使用途徑,保障其知情權和決定權;同時,我們建立有完善的數據保護流程,最大限度保障數據安全。
人員培訓
我們高度重視員工信息安全文化與意識的培養,結合各崗位所面臨的信息安全風險的差異,提供針對性培訓,涵蓋信息安全法規、理念、制度及技術等多個維度。集團對員工開展多種形式的信息安全培訓,包括數據與隱私保護相關培訓;在新員工入職培訓項目中增設信息安全模塊;不定期針對信息安全相關法律法規開展專項培訓等。
本年度,我們外聘安全專家為全體員工講解信息安全等級保護三級2.0要求,增強員工信息安全專業能力,員工信息安全受訓比例達100%。
與合作伙伴共贏
世紀互聯擁有多元的業務合作伙伴,致力于與供應商建立共贏互惠的合作關系。我們嚴格落實責任采購,積極識別并防控供應鏈各環節風險,助力全產業鏈共同構建一個開放、互利的合作環境。
閉環采購管理
世紀互聯嚴格遵守國家法律法規及業內相關規定,通過《采購管理規定》《供應商管理細則》《采購人員行為規定》等制度明確采購各環節職責分工、規范采購人員行為、嚴格把控合作供應商質量,落實閉環的采購管理。
本年度,世紀互聯進一步優化供應商準入管理,通過“標準準入”和“快速準入”的區分,實現了供應商管理效率的提升。我們進一步完善了針對不達標供應商的分類機制,將其分類為整改供應商、不合格供應商、暫停合作供應商以及供應商黑名單,以便更有針對性地幫助供應商解決問題。
與此同時,我們還搭建了供應商關系管理(SRM)系統。通過SRM系統,我們可以實現線上供應商尋源、供應商認證及供應商全生命周期管理等功能,加強采購過程的可視化和可追溯化。
截止報告期末,我們共擁有在庫供應商2,623家,其中包括港澳臺地區供應商5家、其他國家地區供應商5家。
可持續供應鏈
世紀互聯致力于打造可持續的供應體系,識別并防控采購各個環節可能發生的風險,從供應商入圍資質審核、現場考察、內部評估測試、入圍公示到入選等環節實施全鏈條審查模式,多維度評估考核供應商綜合表現。
在保障采購需求、及時履行約定的同時,我們積極推動供應商提升可持續發展水平。在供應商管理的各工作流程中,我們有針對性地加入對供應商ESG風險的考量,重點關注其在環保低碳、信息安全、勞工權益、職業健康安全及廉潔誠信方面的表現。
