EN
EN

信息及数据安全


世纪互联深耕信息安全领域,依靠夯实的信息安全管理体系、严格的数据保护制度、信息安全系统和风险管理程序、扎实的员工信息安全培训,不断提升强化数据中心和云服务平台运营管理能力,为客户的信息及数据安全保驾护航。



体系建设



世纪互联持续加强信息安全管理体系建设及落地,通过《合规与信息安全管理规定》《信息安全管理体系方针》与《信息安全风险管理程序》等制度,明确各业务的信息安全管理职责,为信息安全管理日常实践提供规范化指导依据。



管理架构



世纪互联设立合规与信息安全管理委员会,作为世纪互联合规与信息安全管理工作的最高领导机构。委员会下设合规与信息安全工作组,负责日常信息安全管理落地,以保障业务依法合规、安全有序、高效运营为首要工作目标。



我们建立了信息安全风险识别管理机制,对拥有的信息资产进行全面梳理,定期实施风险评估,并通过紧急/重大信息安全事件响应机制,指导事件处置人员做出及时的应急响应,以最大程度降低事件可能造成的不良影响。与此同时,我们与工信部、网信办、公安部等监管机构及其支撑单位建立顺畅沟通机制,及时了解、评估法律环境变化,并转化为针对性管理实践。



体系认证



我们的数据中心具备信息系统安全集成服务资质、信息安全应急处理服务资质及信息安全风险评估服务资质,且均获得由中国网络安全审查技术与认证中心所颁发的三级服务资质认证证书。同时,集团主要业务运营所在区域已通过信息安全管理体系(ISO27001)认证。



在云服务层面,世纪互联蓝云已通过包括信息技术服务管理体系(ISO20000)、公有云个人信息保护管理体系(ISO27018)、可信云等国际国内多项信息安全及数据隐私相关权威认证。其中,ISO27018又称“云隐保护认证”,旨在为公有云个人可识别信息处理者提供一套实务守则,保护公有云中的个人可识别信息(PII)不受侵犯,世纪互联蓝云已连续5年获得此认证。



可信云是我国云计算领域信任体系的权威评估,世纪互联蓝云自2014年获得首批可信云认证至今,已累计获得11项可信云认证。本年度,世纪互联蓝云亦通过网络安全等级保护三级评测,全面覆盖基础架构即服务(IaaS),平台即服务(PaaS),软件即服务(SaaS),为客户提供从基础网络系统、云平台到云应用的全方位云安全服务。



世纪互联蓝云已连续三年通过由独立第三方审计机构开展的SOC审计,并获得SOC1、SOC2、SOC3报告,标志着蓝云在内部控制、安全性、可用性、进程完整性、保密性等方面的能力达到了业界权威标准要求。



信息安全管理



物理安全是我们开展信息安全管理的基础。世纪互联以国A标准进行数据中心的设计,符合安全等级保护三级标准中的物理环境安全要求。我们关注数据中心的周边安全,在数据中心内部以及外围人员进出区域均安装监控设施;数据中心及办公楼入口处安装闸机并设定出入权限;外来人员进入我们的运营区域需要登记并获得许可后进入,以保护我们的设备设施,加强人员进入管控。在此基础之上,我们结合客户定制化需求,提供更高级别的物理安全管理。



在内部网络安全层面,世纪互联重点关注集团内部的网络管理并持续规范员工行为。我们制定了《办公网络安全准入管理规定》《密码管理制度》及《远程访问权限管理规定》等制度,为员工在不同工作环境中的安全操作提供规范化指导。员工必须满足设备、网络、账号、IP、防火墙等全部规范要求后方获得网络准入许可。员工办公设备均安装数据防泄露(DLP)终端,针对电脑内部的所有程序进行管理,并对信息传输工具进行监控,避免重要信息泄露。此外,我们每周均对重要信息系统的敏感操作开展安全审计工作。



在外部网络安全层面,世纪互联积极监控并响应潜在的网络安全威胁。我们通过部署信息安全产品,每日对集团办公网络进行病毒、恶意攻击等方面的安全监测;同时,我们每月开展漏洞扫描及渗透测试工作以评估现有网络安全系统的完善性并进行改善。针对多种类型的网络攻击问题,我们制定专项防御方案,例如通过高可用统一威胁管理(UTM)、Web应用防火墙(WAF)、流量清洗等方式,排除恶意和非授权入侵,进行网络边界防御;通过网络检测与响应(NDR)、终端检测与响应(EDR)、日志审计等方式,提高对高级持续性威胁(APT)以及后渗透阶段的检测发现能力,进行纵深防御。



隐私与数据保护



世纪互联使用世界领先的加密方法、协议和算法来保护客户数据在其基础架构中的传输安全和存储机密性。为了充分保护客户云计算环境的安全,世纪互联采用了多种安全保护技术和手段。我们在与客户进行项目前期技术选型过程中,会充分调研客户对于信息安全的要求,并制定符合客户安全要求的云平台信息安全方案,包括但不限于云平台选型、安全组件的选型、安全策略的建议、网络隔离的建议等。



我们制定了隐私保护政策,以保证个人数据与隐私的安全。在数据收集过程中,我们基于“最小化”的原则进行数据采集;我们给予员工及客户授权、管理和删除个人信息的权利,并向其告知数据使用途径,保障其知情权和决定权;同时,我们建立有完善的数据保护流程,最大限度保障数据安全。



人员培训

我们高度重视员工信息安全文化与意识的培养,结合各岗位所面临的信息安全风险的差异,提供针对性培训,涵盖信息安全法规、理念、制度及技术等多个维度。集团对员工开展多种形式的信息安全培训,包括数据与隐私保护相关培训;在新员工入职培训项目中增设信息安全模块;不定期针对信息安全相关法律法规开展专项培训等。



本年度,我们外聘安全专家为全体员工讲解信息安全等级保护三级2.0要求,增强员工信息安全专业能力,员工信息安全受训比例达100%。




与合作伙伴共赢



世纪互联拥有多元的业务合作伙伴,致力于与供应商建立共赢互惠的合作关系。我们严格落实责任采购,积极识别并防控供应链各环节风险,助力全产业链共同构建一个开放、互利的合作环境。



闭环采购管理



世纪互联严格遵守国家法律法规及业内相关规定,通过《采购管理规定》《供应商管理细则》《采购人员行为规定》等制度明确采购各环节职责分工、规范采购人员行为、严格把控合作供应商质量,落实闭环的采购管理。



本年度,世纪互联进一步优化供应商准入管理,通过“标准准入”和“快速准入”的区分,实现了供应商管理效率的提升。我们进一步完善了针对不达标供应商的分类机制,将其分类为整改供应商、不合格供应商、暂停合作供应商以及供应商黑名单,以便更有针对性地帮助供应商解决问题。



与此同时,我们还搭建了供应商关系管理(SRM)系统。通过SRM系统,我们可以实现线上供应商寻源、供应商认证及供应商全生命周期管理等功能,加强采购过程的可视化和可追溯化。



截止报告期末,我们共拥有在库供应商2,623家,其中包括港澳台地区供应商5家、其他国家地区供应商5家。



可持续供应链



世纪互联致力于打造可持续的供应体系,识别并防控采购各个环节可能发生的风险,从供应商入围资质审核、现场考察、内部评估测试、入围公示到入选等环节实施全链条审查模式,多维度评估考核供应商综合表现。



在保障采购需求、及时履行约定的同时,我们积极推动供应商提升可持续发展水平。在供应商管理的各工作流程中,我们有针对性地加入对供应商ESG风险的考量,重点关注其在环保低碳、信息安全、劳工权益、职业健康安全及廉洁诚信方面的表现。



全球具有重要影响力的网络空间基础设施服务提供商