世紀(jì)互聯(lián)深耕信息安全領(lǐng)域,依靠夯實(shí)的信息安全管理體系、嚴(yán)格的數(shù)據(jù)保護(hù)制度要求、信息安全系統(tǒng)和風(fēng)險(xiǎn)管理程序、扎實(shí)的員工信息安全培訓(xùn),不斷強(qiáng)化數(shù)據(jù)中心和云服務(wù)平臺(tái)運(yùn)營管理能力,為客戶的信息及數(shù)據(jù)安全保駕護(hù)航。
世紀(jì)互聯(lián)持續(xù)加強(qiáng)信息安全管理體系建設(shè)及落地,通過《合規(guī)與信息安全管理規(guī)定》《信息安全管理體系方針》與《信息安全風(fēng)險(xiǎn)管理程序》等制度,明確各業(yè)務(wù)的信息安全管理職責(zé),為信息安全日常實(shí)踐提供規(guī)范化指導(dǎo)依據(jù)。根據(jù)《合規(guī)與信息安全管理規(guī)定》,包括管理者在內(nèi)的所有員工均需堅(jiān)持履行有關(guān)義務(wù),我們搭建了清晰的上報(bào)流程,以供員工在發(fā)現(xiàn)可疑情況時(shí)報(bào)告疑慮、問題和缺陷。
我們建立了完善的信息安全管治架構(gòu),對(duì)信息安全工作進(jìn)行監(jiān)督和執(zhí)行。審計(jì)委員會(huì)代表董事會(huì)對(duì)集團(tuán)定期報(bào)告中有關(guān)網(wǎng)絡(luò)安全事項(xiàng)的披露保持監(jiān)督。集團(tuán)的信息安全計(jì)劃由我們的首席信息安全官(CISO)進(jìn)行監(jiān)督,各業(yè)務(wù)和職能部門之間進(jìn)行協(xié)作,并聽取管理層和董事會(huì)的意見。CISO負(fù)責(zé)制定和執(zhí)行集團(tuán)的信息安全戰(zhàn)略,其主要目標(biāo)是保護(hù)集團(tuán)的信息和技術(shù)資產(chǎn),包括對(duì)網(wǎng)絡(luò)威脅進(jìn)行監(jiān)控、報(bào)告、管理和補(bǔ)救。
我們獲得了由中國網(wǎng)絡(luò)安全審查認(rèn)證和市場(chǎng)監(jiān)管大數(shù)據(jù)中心所頒發(fā)的災(zāi)難備份與恢復(fù)一級(jí)及安全運(yùn)維二級(jí)服務(wù)資質(zhì),我們的數(shù)據(jù)中心還具備信息系統(tǒng)安全集成三級(jí)服務(wù)資質(zhì)、信息安全應(yīng)急處理三級(jí)服務(wù)資質(zhì)及信息安全風(fēng)險(xiǎn)評(píng)估三級(jí)服務(wù)資質(zhì)。我們持續(xù)開展數(shù)據(jù)中心及應(yīng)用系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)(三級(jí)),以識(shí)別信息系統(tǒng)存在的安全問題,為信息安全建設(shè)提供整體解決方案,保障系統(tǒng)穩(wěn)定運(yùn)行。同時(shí),我們開展了SOC2 TypeⅡ?qū)徲?jì),獲得由專業(yè)的第三方會(huì)計(jì)師事務(wù)所依據(jù)美國注冊(cè)會(huì)計(jì)師協(xié)會(huì)(AICPA)審計(jì)準(zhǔn)則,針對(duì)某數(shù)據(jù)中心的互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)體系的安全性和可用性相關(guān)的控制設(shè)計(jì)適當(dāng)性和運(yùn)行有效性出具的獨(dú)立評(píng)估報(bào)告。目前,集團(tuán)主營業(yè)務(wù)所涉及的多場(chǎng)所已獲得了信息技術(shù)服務(wù)管理體系(ISO/IEC 20000)及信息安全管理體系(ISO/IEC 27001)認(rèn)證。
在云服務(wù)層面,世紀(jì)互聯(lián)藍(lán)云已通過包括信息技術(shù)服務(wù)管理體系(ISO/IEC 20000)、信息安全管理體系(ISO/IEC 27001)、公有云個(gè)人信息保護(hù)管理體系(ISO/IEC 27018)、可信云、三級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)等多項(xiàng)信息安全及數(shù)據(jù)隱私相關(guān)權(quán)威認(rèn)證,為客戶提供全方位的云安全服務(wù)。
在集團(tuán)信息安全管理體系下,我們從物理安全及內(nèi)外部網(wǎng)絡(luò)安全等方面,制定安全保障措施及應(yīng)急響應(yīng)流程,保證數(shù)據(jù)安全風(fēng)險(xiǎn)管控行動(dòng)的及時(shí)性和有效性。
以GB 50174-2017《數(shù)據(jù)中心設(shè)計(jì)規(guī)范》中A級(jí)數(shù)據(jù)中心標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)中心設(shè)計(jì);同時(shí),符合網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)中的物理環(huán)境安全要求。
在數(shù)據(jù)中心及辦公樓入口安裝閘機(jī),并設(shè)定出入權(quán)限,加強(qiáng)人員出入管控;在數(shù)據(jù)中心內(nèi)部及外圍人員進(jìn)出區(qū)域安裝監(jiān)控設(shè)施。
制定《信息安全管理策略》《辦公網(wǎng)絡(luò)安全準(zhǔn)入管理規(guī)定》《密碼管理制度》及《遠(yuǎn)程訪問權(quán)限管理規(guī)定》等制度,規(guī)范內(nèi)部網(wǎng)絡(luò)管理及員工行為。
員工必須滿足設(shè)備、網(wǎng)絡(luò)、賬號(hào)、IP、防火墻等全部規(guī)范要求后,才可以獲得網(wǎng)絡(luò)準(zhǔn)入許可;員工辦公設(shè)備均安裝數(shù)據(jù)防泄露(DLP)終端,管理電腦內(nèi)部的所有程序,監(jiān)控信息傳輸工具,避免重要信息泄露。
每周均對(duì)針對(duì)重要信息系統(tǒng)的敏感操作開展安全審計(jì)工作。
在外部網(wǎng)絡(luò)安全層面,我們通過部署信息安全產(chǎn)品,每日對(duì)集團(tuán)辦公網(wǎng)絡(luò)進(jìn)行病毒、惡意攻擊等方面的安全監(jiān)測(cè);每月及每季度開展漏洞掃描及滲透測(cè)試工作,以評(píng)估現(xiàn)有網(wǎng)絡(luò)安全系統(tǒng)的完善性并進(jìn)行改善;定期進(jìn)行業(yè)務(wù)合規(guī)性審核,并開展內(nèi)外部IT審計(jì)。
針對(duì)多種類型的網(wǎng)絡(luò)攻擊問題,我們制定專項(xiàng)防御方案,例如通過高可用統(tǒng)一威脅管理(UTM)、Web應(yīng)用防火墻(WAF)、流量清洗等方式,排除惡意和非授權(quán)入侵,進(jìn)行網(wǎng)絡(luò)邊界防御;通過網(wǎng)絡(luò)檢測(cè)與響應(yīng)(NDR)、終端檢測(cè)與響應(yīng)(EDR)、日志審計(jì)等方式,提高對(duì)高級(jí)持續(xù)性威脅(APT)以及后滲透階段的檢測(cè)發(fā)現(xiàn)能力,進(jìn)行縱深防御。
世紀(jì)互聯(lián)重視數(shù)據(jù)與隱私保護(hù),遵守包括《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī),制定適用于全集團(tuán)的《隱私聲明》,對(duì)可能收集的信息類型及性質(zhì)、如何使用該等信息、信息的授權(quán)同意、如何保留、儲(chǔ)存和保護(hù)該等信息等內(nèi)容進(jìn)行闡明。
我們將數(shù)據(jù)保護(hù)措施融入到產(chǎn)品和服務(wù)開發(fā)中,并對(duì)保護(hù)措施進(jìn)行持續(xù)改進(jìn)。在保護(hù)措施上,我們通過采取訪問控制、漏洞掃描、防火墻、數(shù)據(jù)隔離、傳輸加密等主動(dòng)性、被動(dòng)性保護(hù)措施,為個(gè)人信息的處理活動(dòng)提供充分保障。
世紀(jì)互聯(lián)高度重視員工信息安全文化與意識(shí)的培養(yǎng)。結(jié)合各崗位所面臨的差異性信息安全風(fēng)險(xiǎn),我們提供針對(duì)性培訓(xùn),涵蓋信息安全法規(guī)、制度、理念及技術(shù)等多個(gè)維度。同時(shí),我們?cè)谛聠T工入職培訓(xùn)項(xiàng)目中增設(shè)信息安全模塊。2023年,集團(tuán)邀請(qǐng)外部專家開展信息安全、網(wǎng)絡(luò)安全和隱私保護(hù)—信息安全管理體系(ISO/IEC 27001)標(biāo)準(zhǔn)專項(xiàng)培訓(xùn),覆蓋集團(tuán)主要業(yè)務(wù)部門,整體提升信息安全管理能力。截至2023年末,世紀(jì)互聯(lián)全體員工信息安全受訓(xùn)比例達(dá)100%。
世紀(jì)互聯(lián)的穩(wěn)定發(fā)展離不開合作伙伴的支持,我們與供應(yīng)商建立共贏互惠的合作關(guān)系,打造綠色、可持續(xù)供應(yīng)鏈。
世紀(jì)互聯(lián)嚴(yán)格遵守國家法律法規(guī)及業(yè)內(nèi)相關(guān)規(guī)定,通過《采購管理規(guī)定》《供應(yīng)商管理細(xì)則》《采購人員行為規(guī)范》等制度明確采購各環(huán)節(jié)職責(zé)分工、規(guī)范采購人員行為、嚴(yán)格把控合作供應(yīng)商交付質(zhì)量,落實(shí)閉環(huán)的采購管理。本年度,集團(tuán)對(duì)供應(yīng)商關(guān)系管理(SRM)系統(tǒng)進(jìn)行優(yōu)化,實(shí)現(xiàn)線上供應(yīng)商尋源、供應(yīng)商認(rèn)證及供應(yīng)商全生命周期管理等功能,加強(qiáng)采購過程的可視化和可追溯化。
在供應(yīng)商準(zhǔn)入階段,我們通過科學(xué)的評(píng)價(jià)考核體系,對(duì)供應(yīng)商進(jìn)行客觀、公正的評(píng)價(jià),篩選合格的供應(yīng)商入圍。我們亦通過劃分“標(biāo)準(zhǔn)準(zhǔn)入”和“快速準(zhǔn)入”類別,優(yōu)化準(zhǔn)入流程,進(jìn)一步實(shí)現(xiàn)供應(yīng)商管理效率的提升。對(duì)于已有供應(yīng)商,我們定期開展評(píng)審,對(duì)供應(yīng)商服務(wù)意識(shí)、產(chǎn)品質(zhì)量、履約能力等方面進(jìn)行綜合評(píng)估,以篩選出優(yōu)質(zhì)供應(yīng)商。針對(duì)考核不達(dá)標(biāo)的供應(yīng)商,我們將其分類為整改供應(yīng)商、不合格供應(yīng)商、暫停合作供應(yīng)商、供應(yīng)商黑名單,以便更有針對(duì)性地幫助供應(yīng)商解決問題。
截至2023年末,我們共擁有在庫供應(yīng)商2,854家,其中包括港澳臺(tái)地區(qū)供應(yīng)商5家、其他國家和地區(qū)供應(yīng)商5家。
世紀(jì)互聯(lián)致力于打造可持續(xù)的供應(yīng)鏈體系,識(shí)別并防控采購環(huán)節(jié)可能發(fā)生的風(fēng)險(xiǎn),從供應(yīng)商入圍資質(zhì)審核、現(xiàn)場(chǎng)考察、內(nèi)部評(píng)估測(cè)試、入圍公示到入選等環(huán)節(jié)實(shí)施全鏈條審查模式,多維度評(píng)估考核供應(yīng)商綜合表現(xiàn)。
我們對(duì)合作期間的供應(yīng)商開展績(jī)效評(píng)估,在保障采購需求、及時(shí)履行約定的同時(shí),我們積極推動(dòng)供應(yīng)商提升可持續(xù)發(fā)展水平。在供應(yīng)商管理的工作流程中,我們有針對(duì)性地加入對(duì)供應(yīng)商ESG風(fēng)險(xiǎn)的考量,重點(diǎn)關(guān)注其在環(huán)保低碳、信息安全與隱私保護(hù)、勞工權(quán)益、職業(yè)健康安全及廉潔誠信方面的表現(xiàn)。
400-651-9966
